Les analystes affirment que de nombreuses entreprises prennent des mesures en matière de sécurité physique qu’elles n’auraient jamais envisagées dans le monde virtuel, mettant ainsi leur entreprise en danger.
Une attaque récente contre un ferry français, au cours de laquelle un attaquant aurait branché un petit ordinateur appelé Raspberry Pi sur le réseau pour tenter de s’introduire dans les opérations du navire, offre une leçon importante aux RSSI d’entreprise : un analyste a estimé que la moitié de toutes les entreprises seraient probablement compromises par la même attaque sur leur environnement physique.
Le ferry a été « immobilisé samedi dans le port de Sète, dans le sud de la France, alors qu’il s’apprêtait à naviguer vers l’Algérie » en raison de la tentative d’attaque, selon un rapport de Bloomberg. L’appareil Raspberry Pi « était associé à un modem cellulaire, permettant un accès à distance au réseau informatique interne du ferry et aux connexions externes ».
La bonne nouvelle est que la tentative d’attaque a été stoppée grâce aux bonnes procédures de sécurité à bord, selon l’article. « Les enquêteurs ont déclaré que la ségrégation entre les réseaux de bureau et opérationnels, ainsi que l’absence d’accès à distance aux contrôles critiques, empêchaient les mouvements latéraux et excluaient les scénarios de sabotage ou de détournement. »
Enterprise contrôle « surveiller les mauvaises routes »
La question qui se pose aux responsables de la cybersécurité des entreprises est de savoir dans quelle mesure leurs bâtiments terrestres (bureaux, magasins, stations-service, succursales bancaires, installations de fabrication, etc.) auraient résisté à une attaque physique similaire. Les analystes et autres experts en sécurité n’étaient pas optimistes quant à la façon dont ils s’en seraient sortis.
« La plupart des programmes de sécurité d’entreprise sont encore conçus pour le mauvais type d’intrus. Ils sont conçus pour la personne qui s’introduit par effraction, pas pour celle qui entre. Et l’histoire des appareils malveillants est le signal le plus clair de ce changement », a déclaré Sanchit Vir Gogia, analyste en chef chez Greyhound Research. « Un appareil de classe Raspberry Pi doté d’un modem cellulaire n’est pas seulement un gadget intelligent, c’est un moyen de créer un nouveau périmètre depuis l’intérieur de votre bâtiment. »
Il a souligné qu’un attaquant « n’a pas besoin de combattre vos pare-feu s’il peut les contourner. Il n’a pas besoin de battre votre VPN s’il peut amener sa propre connexion Internet dans votre armoire de câblage. C’est la partie qui devrait garder les RSSI éveillés, car cela signifie que beaucoup des contrôles que nous organisons surveillent les mauvaises routes. Si le trafic part via le cellulaire, il ne traverse pas vos passerelles surveillées. Votre SOC peut tout faire correctement et ne verra toujours rien. «
Fred Chagnon, directeur de recherche principal chez Info-Tech Research Group, partage les préoccupations de Gogia.
« La plupart des bureaux disposent de dizaines de ports Ethernet actifs dans les halls d’entrée, sous les tables de conférence et dans les couloirs. Ceux-ci devraient être désactivés administrativement au niveau du commutateur par défaut. Un port ne devrait être activé que lorsqu’une adresse MAC spécifique et autorisée est vérifiée via l’authentification 802.1X », a déclaré Chagnon.
Il a ajouté : « Les acteurs modernes de la menace utilisent MAC Spoofing pour faire ressembler un Raspberry Pi à un téléphone ou une imprimante VoIP légitime. Les RSSI devraient investir dans des outils, comme Sepio ou des NAC avancés, qui effectuent des empreintes digitales de la couche physique. Ces outils analysent les caractéristiques électriques et temporelles du matériel pour détecter si une « imprimante » est en réalité un implant basé sur Linux. «
Chagnon a également encouragé l’utilisation intensive de verrous de port nécessitant une clé et d’un certain type de ruban inviolable sur le châssis et les ports. « Les contrôles de sécurité devraient inclure la recherche de câbles supplémentaires, de hubs USB non autorisés ou de petits boîtiers qui ne correspondent pas à l’inventaire des actifs », a-t-il ajouté. « Si une porte vers une zone restreinte est ouverte et qu’un nouveau périphérique inconnu apparaît simultanément sur ce commutateur local, le SOC doit recevoir une alerte corrélée de haute priorité. »
Paddy Harrington, analyste principal chez Forrester, a déclaré que de nombreux responsables de la sécurité d’entreprise « oublient à quel point ces éléments sont susceptibles d’être attaqués » et ont spécifiquement désigné les appareils IoT et OT comme des cibles principales. Selon Harrington, trop de responsables de la sécurité examinent ce que les appareils fantômes, tels que les trackers de fitness, sont censés faire, et ne se concentrent pas sur l’accès que l’appareil pourrait obtenir en guise de début d’attaque par porte dérobée.
« Vous ne devriez pas pouvoir accéder à un port Ethernet et brancher quoi que ce soit. Cet appareil doit être authentifié », a déclaré Harrington, ajoutant qu’il estime que 50 % de toutes les entreprises font trop d’économies en matière de sécurité des appareils. « Pourquoi les ampoules IoT devraient-elles avoir accès aux données financières ? » il a demandé.
Lorsqu’il confronte les responsables de la sécurité d’entreprise sur la sécurité physique, dit-il, il se heurte à des représailles. Par exemple, lors d’une récente discussion sur la segmentation du réseau, le dirigeant lui a déclaré : « Segmenter notre environnement à ce degré va prendre beaucoup de temps et d’efforts, et nous redirigeons notre argent ailleurs. »
Harrington a déclaré: « Je suis désolé, mais c’est une mauvaise excuse. »
Cependant, un responsable de la sécurité, Flavio Villanustre, RSSI du groupe LexisNexis Risk Solutions, a déclaré que ces types d’attaques physiques peuvent être difficiles à bloquer.
« La prolifération d’ordinateurs monocarte peu coûteux et très performants tels que le Raspberry Pi a rendu ce problème beaucoup plus difficile. La détection d’intrusion dans le réseau aurait dû détecter des anomalies de comportement, mais c’est plus facile à dire qu’à faire si vous disposez d’un grand réseau complexe et que le Raspberry Pi ressemble à un autre appareil IoT normal », a souligné Villanustre. « Et cela suppose qu’il était même connecté au réseau, plutôt qu’à un ancien bus série dans les systèmes de contrôle du navire. »
Procédez avec prudence
Villanustre a encouragé toute personne découvrant un tel dispositif à procéder avec prudence.
« La déconnexion de l’appareil pourrait entraîner la perte d’informations médico-légales importantes si l’on n’y prend pas garde. Il n’est pas trop difficile d’équiper l’appareil d’une petite batterie ou d’un supercondensateur qui lui donnerait suffisamment de temps pour s’effacer s’il était déconnecté du réseau ou altéré d’une manière ou d’une autre », a déclaré Villanustre. « Essayer d’envoyer de fausses informations est encore plus difficile, car il faudrait identifier les protocoles utilisés par l’appareil pour savoir quoi envoyer. Une plus grande préoccupation est si l’appareil est connecté à un autre appareil dans le navire et pourrait déclencher une action dommageable s’il était altéré. Il pourrait même faire exploser des explosifs. «
Kaveh Ranjibar, PDG de Whisper Security, a ajouté que son conseil pour faire face à ce type de découverte physique est « une isolation immédiate et une analyse médico-légale, mais avec une étape critique avant le retrait physique : cartographier le rayon d’explosion. Avant de débrancher la prise, capturez le trafic réseau de l’appareil. À qui parle-t-il ? Quels domaines interroge-t-il ? »
« Grâce à l’intelligence de l’infrastructure, vous pouvez souvent attribuer l’acteur en fonction du voisinage des serveurs de commande et de contrôle qu’il utilise, ce qui vous permet de comprendre s’il s’agit d’un script kiddie ou d’une opération GRU avant de toucher au matériel », a déclaré Ranjibar.
Ranjibar a déclaré que lorsque de tels appareils téléphonent à la maison, ils peuvent révéler de nombreuses informations utilisables.
« Un appareil malveillant comme un Raspberry Pi, même avec un modem cellulaire, n’est pas invisible. Il doit téléphoner à son domicile pour recevoir des commandes ou exfiltrer des données. Il crée une empreinte d’infrastructure : une nouvelle adresse IP, une résolution DNS ou une connexion à un numéro de système autonome (ASN) spécifique », a déclaré Ranjibar.
« Les RSSI doivent aller au-delà de la simple surveillance de leur réseau local interne », a-t-il ajouté. « Ils ont besoin d’une surveillance continue de l’infrastructure externe. Si un appareil sur votre navire ou dans votre bâtiment commence à communiquer avec un bloc réseau connu pour héberger des logiciels malveillants parrainés par l’État, ou si un nouvel actif fantôme apparaît sur votre périmètre, c’est votre fil déclencheur. Vous ne pourrez peut-être pas attraper la personne qui installe l’appareil, mais vous devriez attraper instantanément l’appareil lorsqu’il se connecte à Internet. «
