Exploit Corner

p. 06 CVE-2018-20718 : exécution de code arbitraire dans Pydio

Malware Corner

p. 14 Utilisation de services en ligne légitimes par les malwares

Forensic Corner

p. 22 Investigation numérique sous macOS / HFS+

Dossier

p. 28 Introduction au dossier
p. 29 Rançongiciels 101
p. 40 Rançon sur téléphone mobile : les entrailles d’Android/Koler
p. 46 Détection des rançongiciels, ou comment lutter contre nos propres outils de sécurité ?

Réseau

p. 55 OpenStack et la gestion des vulnérabilités

Système

p. 65 Programmation UEFI

Organisation & Juridique

p. 76 ISO 27701 : le Système de Management des Informations Privées (SMIP)

L'actualité de la SSI a été riche ces dernières semaines avec une nouvelle vague de rançongiciels ayant touché plusieurs structures et tout particulièrement le CHU de Rouen [1]. Cette attaque a été très médiatisée du fait de l’impact particulièrement tangible et compréhensible même pour la partie de la population la plus hermétique aux enjeux du numérique. En effet, l'hôpital a dû revenir au papier pendant plusieurs heures, les patients devant être admis aux urgences ont été invités à se rendre dans un autre hôpital de la région et, dans certains cas, la distribution de médicaments a été suspendue pour éviter des erreurs de prescription à cause de l’inaccessibilité des dossiers patients.

Cette attaque démontre la rapide évolution de la menace et des outils offensifs utilisés. Les entreprises ou administrations, à moins de travailler sur des domaines sensibles, pouvaient espérer n’avoir à gérer que les attaques venant de codes malfaisants conçus pour infecter les postes des particuliers. Un poste infecté dans un réseau avait un impact relativement réduit, se détectait facilement, et son éradication se résumait le plus souvent à une remasterisation du poste compromis après avoir sauvegardé les documents sur le poste. A contrario, les pirates utilisant des outils tels que CLOP [2], qui a touché le CHU de Rouen, attaquent le réseau interne afin de s’y propager. Pour cela, ils cherchent, comme le ferait un pentester, à réaliser une escalade de privilèges sur les contrôleurs de domaines avant de chiffrer le maximum du système d'information, sauvegardes comprises.

L’apparition de ces menaces est d’autant plus critique que les infrastructures bien au chaud derrière les firewalls depuis deux décennies sont particulièrement vulnérables. Le parc n’est le plus souvent pas exploité de manière homogène et subsistent beaucoup d’exceptions à commencer par les postes de travail les plus critiques tels que ceux des administrateurs informatiques et des VIP. En cas d’attaque par rançongiciel c’est le bain de sang avec des données critiques disséminées sur des postes de travail non sauvegardés ou des sauvegardes sur disques externes également chiffrées... Même pour les équipes ayant mis en place une architecture avec des contrôleurs de domaines, un stockage des documents côté serveur et des sauvegardes hors ligne, l’impact reste extrêmement important en cas d’infection pour peu que le parc soit composé de centaines voire de milliers de machines. La remasterisation des postes en parallèle d’une analyse forensic pour déterminer le vecteur d’infection et éradiquer tout code malveillant ne se compte pas en heures, mais en jours, voire en semaines [3].

Le mieux serait évidemment d’éviter toute infection, mais il est très compliqué de sécuriser correctement son réseau interne. Lors d’un test d’intrusion interne, le temps pour obtenir des privilèges sur les contrôleurs de domaine excède rarement la journée quand bien même les administrateurs sont sensibilisés à la sécurité. Une des premières difficultés vient des équipes de direction qui ont une certaine propension à favoriser la facilité des usages en sous-évaluant les risques pesant sur le parc informatique. Les quelques autorisations données au compte goutte peuvent rapidement faire tache d’huile et s’étendre à beaucoup de directions métiers. Les équipes informatiques se retrouvent à devoir autoriser des comptes administrateurs aux utilisateurs n’ayant pas la patience d’ouvrir un ticket pour l’installation d’un logiciel… et qui en profiteront pour désinstaller l’antivirus qui fait ralentir leur machine. S’ajoutent à ces problèmes organisationnels des protocoles réseau tels que DHCP ou Ethernet dont la sécurité est restée figée il y a 30 ans et des architectures Active Directory qui sont parmi les briques techniques les plus complexes à comprendre et à sécuriser [4].

Nous avons donc tous les ingrédients d’un cocktail explosif et il est aujourd’hui particulièrement complexe de réduire le risque à un niveau acceptable sauf à repenser en profondeur la gestion de parc… et peut-être relancer la mode des terminaux légers.

Cedric Foll / cedric@miscmag.com / @follc

[1] https://www.lemonde.fr/pixels/article/2019/11/18/frappe-par-une-cyberattaque-massive-le-chu-de-rouen-force-de-tourner-sans-ordinateurs_6019650_4408996.html

[2] https://www.cert.ssi.gouv.fr/uploads/CERTFR-2019-CTI-009.pdf

[3] https://www.letelegramme.fr/finistere/brest/l-ubo-touchee-par-un-cryptovirus-22-11-2019-12439861.php

[4] https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-active-directory/