En matière de cybermenace, l’une des typologies d’offensives pouvant viser les éditeurs de logiciels s’avère être les attaques par rebond. Ces dernières peuvent permettre à des éléments malveillants d’obtenir des informations sur leurs cibles finales, en attaquant les outils délivrés par les éditeurs.
Les attaques par rebond représentent une entité à part entière de cyber-offensives dans les mains de pirates. Elles consistent en une attaque d’un ou plusieurs systèmes d’informations intermédiaires. La personne malveillante, de son côté, restera cachée et tentera de récupérer les informations dont elle a besoin sur sa cible finale.
Les éditeurs de logiciels sont des cibles parfaites de ce modus operandi. Bien qu’elles visent les clients finaux, ces attaques doivent être prises en comptes par ces acteurs. Face à l’accroissement de ces offensives, les entreprises doivent aller au-delà de la simple protection de leur système d’information pour embrasser l’ensemble de leur écosystème. Des fournisseurs aux clients en passant par les divers prestataires de services numériques et éditeurs de logiciels, avec des SI interconnectés. En cas de sinistre, la transversalité des équipes de gestion de crise (techniques, métiers, RH, juridique, communication, assurances…) avec la DSI/DSSI en chef de file s’impose ainsi comme une nécessité. Un point d’attention qu’adresse TECH IN France à l’occasion notamment de son groupe de travail sur la cybersécurité.
Consciente du danger que ces attaques représentent, l’ANSSI les décrit en ce sens : « En ciblant un ou plusieurs intermédiaires, les pirates parviennent à contourner les mesures de sécurité des organisations. La compromission d’un seul intermédiaire suffit parfois à accéder à plusieurs organisations ». Vincent Riou, Directeur cybersécurité CEIS et cofondateur de Bluecyforce précise : « l’enjeu est permanent et les éditeurs doivent comprendre que l’ensemble de la supply-chain est concernée par ces attaques ».
Différents modes d’action
Face à ce constat, il convient donc de dresser le portrait et les objectifs de ces attaquants. Deux grandes catégories peuvent ainsi se dégager. Tout d’abord, l’attaquant porte atteinte au système d’information dans la mesure où il cherche à en altérer le fonctionnement métier via l’utilisation de ransomwares. Dans un second temps, d’autres attaques visent à pénétrer les SI afin d’en soutirer des informations.
Serge Lefranc, Chef de la division réponse aux incidents à l’ANSSI explique : « nous sommes là dans la catégorie espionnage des menaces stratégiques. Ce qui est spécifique dans la relation client-fournisseur dans le cas d’attaques par rebond est que l’attaquant va chercher à entrer par d’autres moyens car sa cible finale est trop bien protégée. On constate une grande évolution sur le paradigme de la sécurité périmétrique ».
Le constat est donc patent, il demeure compliqué pour une société d’avoir une idée totalement claire et complète de l’ensemble de son système d’information et des connexions qui y sont liées. Selon l’ANSSI, ce mode d’action est donc de plus en plus utilisé par les attaquants. Le SI est donc de moins en moins isolé, permettant de facto aux attaquants de bénéficier de davantage de moyens d’action.
Il est donc important d’imposer une bonne gouvernance des politiques de sécurité au sein des entreprises mais également de leurs partenaires et sous-traitants. Une volonté particulièrement importante alors que se développent fortement les services en mode SaaS. Sylvain Fourey, Chief Information Officer (CISO/RSSI) Cegid explique : « sur la partie cloud, des contre-mesures comme les pares-feux, les outils anti-intrusion, le cloisonnement des réseaux nous permettent de nous prémunir des menaces. On ne peut pas se reposer uniquement sur notre savoir. Les pirates ont bien souvent une longueur d’avance donc il faut provoquer des tests de pénétration pour nous challenger en permanence dans une logique d’audit ».
La protection du logiciel importante
Dès lors, la protection du logiciel demeure importante, tout comme l’ensemble des bibliothèques embarquées dans ces derniers. Mathieu Chérouvrier, CIO d’IDnomic, spécialiste de la protection d’identités, ajoute : « On fonctionne en boîte noire ou en boîte grise avec des services de tests de pénétration pour déterminer de manière régulière la robustesse de nos outils. On fait également en sorte que l’ensemble des services ne puissent pas forcément communiquer entre eux. Ne se connecte que ce qui doit l’être ».
Le logiciel peut donc représenter une formidable porte d’entrée pour les attaquants. Parmi les sources d’infection, les mises à jour logicielles figurent en effet parmi les moyens les plus utilisés. Les solutions de sécurité tierces peuvent ainsi apporter une surcouche de sécurité nouvelle tout en laissant le contrôle à l’entreprise utilisatrice.
Mathieu Bonenfant, Chief Marketing Officer de Stormshield indique : « L’éditeur doit prendre en considération cette couche de sécurité nécessaire pour couvrir les vulnérabilités liées à ses solutions. Le chiffrement des informations sensibles avant leur partage dans des applications est une solution viable. Car en cas de compromission, les données ne seront pas lisibles ».
En conséquence, chaque éditeur doit donc veiller à ce qu’il puisse déployer des correctifs de sécurité rapidement et de manière régulière. Cela lui permet non seulement de circonvenir à une éventuelle infection mais également de rassurer ses propres clients. Ce contre-pouvoir doit alors éventuellement pouvoir passer outre les roadmaps et être déployé en urgence, parfois avant même une autre évolution prévue de longue date.
La réaction nécessaire en cas d’incident
Dès lors comment réagir en cas d’incidents consécutifs à des attaques par rebond. Une question majeure que se pose chaque éditeur afin de limiter les dégâts que peut provoquer une intrusion. Dans ce cadre, la cyberassurance peut se révéler un atout de taille dans les mains des éditeurs dans la mesure où ils couvrent les risques spécifiques à ces métiers. Christophe Gautié, Président fondateur d’Apollo Courtage explique : « Jusqu’à présent, n’étaient déclarés qu’un incident par mois en moyenne. Nous sommes désormais à environ trois incidents mensuels déclarés. Un tiers des déclarations sont relatives à de l’espionnage mais également du sabotage ou du rançonnage ou bien encore de la cyberfraude (falsifications de documents). »
Une attaque par rebond permet ainsi par exemple à des pirates d’être présents dans un système depuis plusieurs mois et d’y retirer les informations qu’ils désirent. Autre cas, un cambriolage physique a priori anodin a conduit au vol de quelques postes informatiques. Cela a conduit à une compromission importante pour rebondir de l’hébergeur vers le client final. Dans de telles périodes de crise, la relation entre éditeur et client doit s’avérer empreinte de transparence.
Parmi les exemples récents d’attaques par rebond, on se souvient par exemple de l’attaque visant le logiciel de nettoyage d’ordinateurs CC Cleaner. Les sources de ce dernier ont été modifiées. Ces changements ont été déployés sur certains utilisateurs, en particulier certaines sociétés bien précises ont pu être ciblées. Vincent Riou, Directeur cybersécurité CEIS et cofondateur de Bluecyforce : « Il est important de prendre des précautions quant à l’utilisation de bibliothèques externes à la société. Il existe une chaîne de confiance qu’il convient de mettre en place et de maintenir ».
Olivier Robillart