Vous êtes dans : Accueil > Tribunes libres >

Compromission d’une DMZ, la théorie des missionnaires

Cédric Cartau, MARDI 04 JUILLET 2017

Dans un article (1) du 18 juin dernier, le magazine 01net détaille le mode opératoire de l’attaque contre TV5 Monde. Et je vous en conseille fortement la lecture, car cela donne à réfléchir, pour ceux qui ne se sont jamais frottés à ce sujet. Cet article m’interpelle d’autant plus que l’un des confrères RSSI de CHU a fait réaliser, sous contrôle bien entendu, une prestation d’intrusion à distance basée sur le même principe et que, dans mon CHU, nous avons aussi fait la même chose (sous un format un peu différent puisqu’il s’agissait d’un exercice d’intrusion interne).  

Le principe est simple, et nul besoin d’être une diva de l’octet pour jouer le film, côté attaquant s’entend. Le pirate commence tout d’abord par scanner la surface Web de l’entreprise afin de récupérer des informations basiques : nombre de machines, OS et versions, services ouverts, etc. À ce stade, la topographie des lieux est découverte. Il s’agit ensuite de récupérer a minima les logiciels tournant sur chaque serveur : Apache, IIS, MySQL, etc., et surtout leur version. À partir de là, tout devient plus simple : dès qu’un composant est identifié comme n’étant pas dans sa toute dernière version patchée, il suffit de rechercher les vulnérabilités connues de ce composant (pas difficile, elles sont toutes publiées et en libre accès) avant d’utiliser un kit d’attaque (très facile, ils sont en téléchargement libre sur le Net) pour exploiter la faille et mettre un pied dans la porte. Cela peut se matérialiser par un dépôt de fichiers, un détournement de service, un compte ouvert par défaut, etc. Puis, c’est la technique de l’ouverture : une fois mis le pied, on cherche à passer la tête et le bras pour prendre le contrôle de la machine ciblée, juste assez pour pouvoir rebondir sur la machine suivante, saut qui se fera en augmentant le niveau de privilèges. De proche en proche, le pirate finit par pénétrer tout le réseau jusqu’à obtenir les privilèges root. Dans le cas du CHU cité plus haut, sans aucuns moyens ni connaissances, le consultant a mis moins d’une semaine, depuis l’extérieur, pour devenir admin du domaine AD interne. Dans le cas d’une intrusion interne (accès au réseau LAN sans avoir à passer la barrière du pare-feu), il faut entre 24 et 48 heures, et encore sans se presser. 

La difficulté de l’exercice est de le faire de façon suffisamment silencieuse pour que cela ne se remarque pas. Les RSSI ont des montres, mais les pirates ont le temps. De plus, qui va chercher des signaux faibles d’attaque sur un parc de plusieurs dizaines ou centaines de machines ? Le cas du piratage de Sony Pictures, avec exfiltration de Go de données, est emblématique : avant l’exfiltration (qui a été la toute dernière étape de l’attaque), les pirates ont agi de façon silencieuse pendant des jours, voire des semaines.

L’expérience montre que rien ne peut résister à un attaquant suffisamment motivé pour y passer le temps nécessaire. Alors que faire quand on est du côté des gendarmes ? Blinder suffisamment son système pour décourager l’adversaire, rien de plus. Parier sur le fait que l’attaquant est tout de même un humain, et qu’au bout d’un moment à tourner autour du quartier de viande il abandonnera et ira chercher une autre proie. Dérouler les fondamentaux du métier (systèmes à jour, mots de passe robustes, etc., cf. les mesures de l’Anssi) reste l’alpha et l’oméga du métier. Car ce qui compte, désolé d’écrire cela, ce n’est pas d’être inattaquable, c’est d’être juste un peu moins vulnérable que le voisin. 

Deux missionnaires dans la forêt se retrouvent nez à nez avec un lion et se mettent à courir à toutes jambes. Dans leur fuite, l’un demande à l’autre : « Tu crois que l’on court assez vite pour semer le lion ? » L’autre lui répond : « Je ne cherche pas à courir plus vite que le lion, seulement à courir plus vite que toi. »

(1)   http://www.01net.com/actualites/pirater-une-chaine-de-tv-internationale-mode-d-emploi-1187805.html 

#chu#rssi