Adrien Gendre, Vade Secure : « les assaillants essaient de s’attirer la confiance de leur cible »

Vade Secure organisait cette semaine sa première grand-messe annuelle. L’occasion pour l’éditeur français d’afficher ses ambitions internationales. Mais alors que les assaillants multiplient leurs efforts pour passer au travers des filtres, Adrien Gendre, architecte solution en chef chez Vade Secure, se penche sur les moyens mis en œuvre et leurs limites potentielles.

LeMagIT : Les cyber-délinquants ne manquent pas de créativité. Récemment, une campagne a été observée où ils utilisent des captchas pour cacher de fausses pages d’ouverture de session avec compte Microsoft des systèmes de protection de la messagerie électronique. Comment détecte-t-on ce genre de choses ?

Adrien Gendre : Cela renvoie à un sujet sur lequel nous avons travaillé pendant longtemps et que nous allons déployer dans trois semaines. Pour les captchas, nous avions déjà une technologie développée à l’occasion de la mise en place d’une fonctionnalité de désinscription automatique aux listes de diffusion, en 2012. Sur les pages de désinscription, il arrivait que l’on tombe sur des captchas.

Du coup, nous avons développé une technologie qui s’appuie d’abord sur différentes couches de gris pour faire ressortir le texte du captcha et pouvoir le faire passer au travers d’un moteur de reconnaissance optique de caractères (OCR) – avec jusqu’à 15 tentatives. Certains captchas sont particulièrement difficiles à traiter, mais sur le volume, on arrive à en résoudre 80 %.

Nous utilisons cette technologie pour analyser toute page à laquelle on souhaite accéder, soit pour désinscrire, soit pour détecter du phishing.

LeMagIT : Les cyberdélinquants utilisant des techniques conçues pour se protéger d’eux, par exemple avec les pare-feu applicatifs (WAF) contre certains bots, cela ne manque pas d’une certaine ironie…

Adrien Gendre : Oui… Ils essaient de s’attirer la confiance de l’utilisateur en utilisant un message soi-disant rassurant, mais contre lui. C’est la même idée que lorsqu’un pop-up vient soi-disant informer l’utilisateur que son navigateur, ou sa machine ne sont pas protégés et lui suggère d’installer un outil de protection gratuit… qui n’est autre qu’un maliciel. Là, c’est la peur d’être attaqué si l’on ne fait rien qui est utilisée, pour inciter à cliquer… et se faire compromettre de la sorte.

Avec le captcha, les assaillants essaient au passage de renforcer le sentiment de légitimité chez l’utilisateur, comme lorsqu’ils ajoutent un logo indiquant que leur e-mail d’hameçonnage est sûr et a été dûment vérifié.

LeMagIT : Comment détecter une opération particulièrement élaborée où l’assaillant a déjà compromis un élément d’infrastructure de sa cible pour y héberger sa fausse page Web d’authentification ?

Adrien Gendre : Cela relève d’attaques en deux phases. Ce que l’on observe le plus souvent, c’est un phishing pour entrer, compromettre une boîte de messagerie, puis l’utiliser pour à nouveau faire du hameçonnage, en interne. Dans la situation que vous décrivez, il faut clairement autre chose que des technologies basées sur des listes de réputation, d’autant plus que la page en elle-même ne relève probablement pas de quelque chose de générique, mais sera taillée sur mesure pour l’entreprise visée, en lien par exemple avec des systèmes internes.

Dans un tel cas, il est nécessaire d’analyser d’une part la manière dont l’e-mail a été construit, et d’autre part celle dont la page frauduleuse fonctionne, entre redirections, téléchargement de ressources externes, ou encore URL du composant chargé de récupérer in fine les données collectées sur la page Web. Les algorithmes d’apprentissage automatique tiennent compte de tous ces éléments.

LeMagIT : Et si toutes les ressources sont présentes en local, sans redirection ni collecte à l’extérieur ?

Adrien Gendre : Franchement, cela devient très très compliqué, surtout si tout est fait sans réutiliser d’éléments identifiables, venant d’un kit de phishing par exemple… Là, c’est très difficile.

À moins de monter un cran plus haut. Un système de gestion des informations et des événements de sécurité (SIEM) peut identifier une anomalie, telle qu’un utilisateur accédant une page Web sur un serveur où il n’est pas censé y avoir de serveur Web. Mais un pirate aura tout intérêt à privilégier… un serveur Web existant, pour éviter des difficultés liées aux pare-feu de l’entreprise. Clairement, il y a un niveau à partir duquel cela devient très compliqué.

LeMagIT : En juillet, vous avez annoncé une fonction de remédiation automatique pour Office 365, mais uniquement pour lui. Pour quelle raison ?

Adrien Gendre : Les Google Apps proposent le même type d’API nécessaires à cette fonctionnalité. Nous nous sommes d’ailleurs posé la question du coût d’un portage sur l’environnement de Google. Honnêtement, cela ne représenterait pas un travail énorme. Mais Office 365 représente de loin la plus grosse part de marché et c’est donc cette voie qui a été retenue pour assurer la croissance de l’entreprise. Et la même chose vaut pour les serveurs Exchange en local.