Détection des attaques : la région EMEA donne l'impression de s’améliorer

Le chiffre peut paraître encourageant. Mais il convient de le prendre avec prudence : peut-être les équipes de Mandiant ont-elles été simplement amenées, l’an passé, à intervenir auprès d’organisations considérablement plus matures que par le passé. De fait, le rapport M-Trends de la division Mandiant de FireEye fait état d’un délai moyen de détection des intrusions de 106 jours dans la région Europe, Moyen-Orient et Afrique (EMEA), contre 469 jours lors de l’édition précédente. Mais ce rapport s’appuie sur les observations des analystes de FireEye réalisées lorsqu’ils ont été appelés à l’aide. La représentativité de l’échantillon est donc probablement plus que limitée. Dans la région, ce sont surtout, dans l’ordre, des organisations des secteurs des services financiers, des administrations publiques, et du commerce de détail et de l’hôtellerie qui ont été étudiées. 

Et FireEye n’invite d’ailleurs pas au moindre optimisme : pour lui, la réduction du délai de découverte peut être en partie attribuable à une meilleure posture de sécurité, mais également à « une progression significative des attaques conçues pour être identifiées rapidement », comme celles par ransomware ou par logiciel destructeur. Et l’on pense notamment là à Shamoon et StoneDrill.

En outre, pour FireEye, 106 jours, c’est 103 jours de trop. Il estime que ses experts « peuvent accéder aux identifiants d’un administrateur de domaine dans les trois jours » qui suivent leur intrusion dans l’environnement. Lors de la dernière édition du Forum International de la Cybersécurité (FIC), à Lille fin janvier, les équipes de BlueCyForce avaient eu l’occasion de souligner les mauvaises pratiques de protection du contrôleur de domaine susceptibles d’augmenter encore considérablement sa vulnérabilité. A l’échelle mondiale, le délai de détection s’établit en 2016 à 99 jours, contre 146 l’année précédente. 

Mais les organisations étudiées dans la région EMEA apparaissent d’autant moins préparées qu’il leur faut en moyenne 128 jours pour bouter un attaquant hors de leur environnement lorsque l’attaque est découverte par un tiers externe, contre 104 jours  outre-Atlantique. Globalement, 47 % des compromissions sont débusquées ainsi, dans le monde entier. 

Dans son rapport, FireEye met en avant des méthodes soulignant l’ingéniosité - certains parleront de sophistication - croissante des attaquants. Et cela commence par l’hébergement de charges utiles à télécharger sur des sites légitimes utilisant des connexions chiffrées en SSL, comme GitHub. Les équipes de Mandiant ont également observé des applications malicieuses pour Gmail, multipliant les astuces pour paraître légitimes, et permettant d’accéder aux données des utilisateurs, à partir d’une hameçonnage (phishing). De quoi contourner la protection supplémentaire offerte par l’authentification à double facteur, lorsqu’elle a été activée. Les utilisateurs d’Exchange ne sont pas plus à l’abri, avec des scripts PowerShell conçu pour fouiner dans les boîtes aux lettres - une technique qui ne laisse « que très peu de traces » -, jusqu’à profiter des mécanismes de délégation pour étendre la moisson. 

FireEye ne manque pas de déduire de ses observations des « recommandations tactiques », comme l’audit des applications connectées aux comptes des utilisateurs, de la G-Suite notamment, ou encore celui des délégations Exchange, l’enregistrement des traces d’activité PowerShell, l’utilisation rigoureuse de l’authentification à facteurs multiples, et bien sûr… la « formation des utilisateurs aux risques de sécurité », notamment lorsqu’ils autorisent des applications à se connecter à leurs comptes. De nombreux utilisateurs de Twitter viennent d’ailleurs d’en faire l’expérience malheureuse, jusqu’à l’expert Graham Cluley : leurs comptes ont été détournées par des pirates à des fins de propagande, par le biais d’une application tierce.

Dans un billet de blog, Jurgen Kutscher, vice-président et directeur exécutif de Mandiant, souligne que si les états-nations « continuent de placer la bar haut pour les attaques sophistiquées », certains cyber-délinquants ont acquis un niveau de compétence comparable, « au point que l’on ne voit plus la ligne séparant les deux ».  De quoi réduire encore la crédibilité déjà bien émoussée d’une accusation fréquemment portée.