Un de plus, encore un de trop

Nous allons plutôt nous livrer à une petite expérience de pensée qui consiste à se mettre dans la peau d’un attaquant pour savoir comment on s’y prendrait, afin de lister les contre-mesures potentielles – rien dans ce qui suit ne relève du secret technique, tous ces éléments sont largement disponibles dans les guides de bonnes pratiques de l’Anssi et dans le guide de cyber résilience de votre serviteur (tome 2[1]).

Le grand classique, ce sont les mails de phishing qui visent à récupérer les identifiants des utilisateurs. Les contre-mesures ne sont pas légion :

– la sensibilisation régulière, qui a ses limites : on estime que le nombre de personnes qui se font « attraper » est de l’ordre de quelques pour cent d’une large population, chiffre qui baisse avec les tests réguliers, mais qui atteint un plancher indépassable avec le turnover des personnels ;

– le MFA, à l’aide d’un second facteur tel le smartphone, la grille de bataille navale ou l’appli Authenticator (Google, par exemple), mais il a des limites : les comptes de service, les VIP, les comptes admin (qui sont rarement liés au MFA pour des questions opérationnelles trop complexes à exposer et nécessitent la mise en place d’un bastion d’admin, mais c’est une autre histoire) ;

– la montée des vérifications des mails avec la mise en œuvre de DMARC, SPF, DKIM : ce n’est pas un petit sujet. De faux positifs sont engendrés et le procédé peut être contourné par les attaquants, mais c’est toujours mieux que rien.

L’autre grand classique, observé récemment et en augmentation constante, c’est l’attaque par la Supply Chain : un fournisseur s’est fait compromettre son réseau et dérober ses identifiants d’accès en télémaintenance aux VPN de ses clients. Très peu de contre-mesures existent, à part la restriction des heures d’accès et l’ouverture du canal sur demande motivée. Le MFA est inutilisable dans ce cas, et même le bastion pour les accès externes est facile à contourner.

Nous pourrions continuer d’égrener sans fin les scenari d’attaque, qu’il s’agisse d’une intrusion par le LAN interne (se connecter directement à une prise RJ45 brassée dans un couloir), d’ingénierie sociale pure (même famille que la fraude au président), les attaques en force brute sur la surface Web, etc.
Nous pourrions continuer d’égrener sans fin les contre-mesures, qu’elles relèvent de la protection périmétrique ou du durcissement interne, du préventif ou du curatif, de la technique ou de l’organisationnel.

Un point frappe : en relisant le guide cyber précédemment évoqué et qui date de novembre 2021 (à peine 18 mois), une bonne partie des contre-mesures listées ci-dessus ou que je n’ai pas eu le temps de développer… ne s’y trouvent tout simplement pas. Et pourtant, je jure sur la tête du chihuahua de ma voisine de palier qu’en le publiant j’étais absolument certain d’être exhaustif – la version en ligne est d’ailleurs la seconde, avec la révision complète de la première qui datait de 12 mois.

Nous sommes tous en train de courir après des techniques qui, sans être d’une grande sophistication, sont redoutablement efficaces. Nous avons quasiment tous un train, voire plusieurs de retard. Et nous sommes tous en train de nous demander qui sera le prochain.

Rien que sur la question de l’ouverture des VPN en 24-365, il faudrait des pages pour décortiquer la raison pour laquelle nous avons tous mis en place ce qui est contraire aux règles élémentaires de prudence : ne pas devoir gérer des horaires dans les logiciels, des appels en heures non ouvrables qu’il faut quand même prendre hors contrat, clash avec un utilisateur, sous-investissement dans une démarche de prise de conscience collective, etc. En un mot : la facilité. Ce qui ne rend pas spécialement optimiste.

Alors, à un moment donné, il va falloir devenir coercitif. Fini les accès sans MFA, fini les comptes VPN fournisseurs sans revue ou ouverts à tous les vents 24-365, fini les prises de main à distance, extérieures, sans filtrage des IP externes et filtrage des IP de destination, fini les PC sous Windows antédiluvien, fini les fournisseurs qui veulent ouvrir des canaux bidirectionnels 24-365 « parce que c’est plus pratique pour travailler, tous les clients sont contents, mais pourquoi vous ne voulez pas Monsieur le RSSI ? On l’a fait partout ailleurs que chez vous », fini les accès à des Dropbox externes, fini les exclusions de l’AV résident sur tout un lecteur, fini les liens LAN to LAN où le fournisseur veut déposer une box ADSL dans votre datacenter (authentique), etc.

CHU de Brest jeudi, et les urgences du CHU de Bruxelles[2] samedi : soit on reste pessimiste, soit on se dit que cela doit cesser.

[1]   https://www.apssis.com/nos-actions/publication/550/guide-cyber-resilience-opus-2-cyberattaques.htm 

[2]   https://www-dhnet-be.cdn.ampproject.org/c/s/www.dhnet.be/regions/bruxelles/2023/03/11/bruxelles-le-chu-saint-pierre-victime-dune-cyberattaque-ce-samedi-Q76MG3GLKNCB5FI7UHDGOQ5KE4/?outputType=amp 

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.