momius - Fotolia
Les enseignements des pirates iraniens
Les Etats-Unis ont récemment inculpé officiellement 9 ressortissants iraniens d’intrusion dans les systèmes informatiques de plus de 300 universités au travers le monde. De nombreuses leçons sont à retirer des pratiques détaillées.
Fin mars, un tribunal américain a accusé neuf personnes iraniennes de s’être introduites dans les systèmes d’information de 144 universités aux Etats-Unis et « au moins 176 » autres situées dans 21 autres pays. Selon le tribunal, elles œuvraient pour le compte du gouvernement, depuis « au moins 2013 » et auraient dérobé pour plus de 3,4 Md$ de propriété intellectuelle.
Ingénierie sociale
L’acte d’accusationdétaille les techniques employées. Pour les experts, il n’y a là rien de bien original. Mais cela n’empêche pas qu’il y ait des enseignements à en retirer. Tout d’abord, les attaquants auraient procédé à de l’ingénierie sociale, avec « reconnaissance en ligne sur les professeurs d’université, y compris pour déterminer leurs domaines de recherche et les articles académiques qu’ils avaient publiés ». Du renseignement dit « en sources ouvertes » préparatoire à la phase suivante.
La seconde phase se seraient appuyée sur du hameçonnage ciblé, où spearphishing : des courriels taillés sur mesure visaient à conduire leurs destinataires à agir de sorte à permettre aux attaquants « d’obtenir un accès non autorisé » à leurs ordinateurs. Là s’ajoute une couche d’usurpation d’identité, les e-mails en question étant construits pour donner l’illusion d’avoir été envoyés par un autre professeur d’université.
Plus de 100 000 professeurs auraient ainsi été visés à travers le monde, dont environ la moitié outre-Atlantique.
Hameçonnage ciblé
« En général, ces e-mails de spearphishing mentionnaient que l’émetteur avait lu un article récemment publié par le professeur visé », indique l’acte d’accusation. Mais à cette référence s’ajoutaient les liens vers des articles additionnels. Et c’est là que le piège pouvait se refermer sur la victime : certains liens pouvaient renvoyer vers un domaine malicieux choisi pour ses similarités avec un domaine authentique lié à l’université où enseignait la personne visée. Là, une page frauduleuse avait été mise en place pour assurer la collecte des identifiants de la victime. Un grand classique.
Une fois en possession d’identifiants valides, les attaquants pouvaient accéder au véritable compte universitaire de leur cible et s’y servir pour collecter de multiples données. Selon l’acte d’accusation, plus de 31,5 To de données auraient ainsi été dérobées, notamment pour être revendues en Iran.
Pulvérisation de mots de passe
Des organisations privées auraient également été visées. Mais là, les attaquants auraient utilisé une autre technique : celle de la pulvérisation de mots de passe (ou password spraying). Celle-ci vise à éviter le blocage des comptes utilisateurs visés pouvant survenir lors d’une attaque en force brute à partir d’un dictionnaire – après plusieurs échecs, un compte est fréquemment bloqué par sécurité.
Selon l’acte d’accusation, les pirates ont ainsi tout d’abord « collecté des listes de noms et d’adresses de messagerie associées avec l’entreprise » visée, toujours en s’appuyant sur des sources ouvertes, sur Internet. Ils ont ensuite arrosé tous les comptes identifiés avec un premier mot de passe dont ils jugeaient qu’il était très probablement utilisé. Puis avec un second, après un temps d’attente, puis un troisième, etc.
Une fois l’accès à un compte de messagerie obtenu, tout le contenu en était exfiltré et, « dans de nombreux cas, les accusés ont établi des règles de transfert automatique » pour pouvoir collecter en toute transparence tout nouveau message entrant.
Des stratégies de protection
Face à de telles méthodes, il existe des stratégies de défense, et cela d’autant plus qu’il n’y a finalement là rien de bien nouveau, et encore moins quoi que ce soit qui n’ait pas déjà d’autres victimes sur l’expérience desquelles il est possible de capitaliser.
Pour la pulvérisation de mots de passe, on pense naturellement, comme pour les attaques en force brute ou la réutilisation de mots de passe connus déjà compromis, à l’authentification à facteurs multiples et à l’interdiction de certains mots de passe. Microsoft a d’ailleurs publié début mars une série de recommandationsen ce sens.
Il existe également des méthodes de détection de ce type d’attaque par corrélation de journaux d’activité. De nombreux travaux détaillent ces méthodes, ici,là, ou encore dans les forumsde Splunk.
Et contre les tentatives de hameçonnage, il faut bien sûr compter avec les dispositifs de filtrage de la messagerie électronique, mais également la sensibilisation, entre autres.