You are on page 1of 45

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd.

. Toute divulgation, toute distribution et tout usage non autoriss sont


strictement interdits.
Les AET
POUR

LES NULS

DITION SPCIALE LIMITE

Par Klaus Majewski, CISSP, CISA

A John Wiley and Sons, Ltd, Publication

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Les AET pour les Nuls, dition spciale limite
Publi par
John Wiley & Sons, Ltd
The Atrium
Southern Gate
Chichester
West Sussex
PO19 8SQ
Angleterre
Pour obtenir des informations dtailles sur la cration dun livre Pour les Nuls personnalis pour
votre entreprise ou organisation, veuillez contacter CorporateDevelopment@wiley.com. Pour
obtenir des informations sur la licence de la marque Pour les Nuls pour des produits ou services,
veuillez contacter BrandedRights&Licenses@Wiley.com.
Visitez notre site Internet www.customdummies.com
Copyright 2016 de John Wiley & Sons Ltd, Chichester, West Sussex, Angleterre
Tous droits rservs. Il est interdit de reproduire, de stocker dans un systme dinterrogation ou de
transmettre sous une forme ou par tout autre moyen lectronique, mcanique, de photocopie,
denregistrement, de scannage ou autre, tout ou partie de la prsente publication, sauf au titre des
dispositions de la loi anglaise Copyright, Designs and Patents Act 1988 ou dune licence mise par
Copyright Licensing Agency Ltd, 90 Tottenham Court Road, London, W1T 4LP, R.-U., sans
lautorisation crite de lditeur. Les demandes dautorisation auprs de lditeur doivent tre
adresses Permissions Department, John Wiley & Sons, Ltd, The Atrium, Southern Gate,
Chichester, West Sussex, PO19 8SQ, Angleterre, par e-mail permreq@wiley.com, ou par
tlcopie au (44) 1243 770620.
Marques de commerce: Wiley, le logo de Wiley, For Dummies, le logo du personnage Dummies
Man, A Reference for the Rest of Us!, The Dummies Way, Dummies Daily, The Fun and Easy Way,
Dummies.com, ainsi que la prsentation des produits sont des marques de commerce ou des
marques dposes de John Wiley & Sons, Inc. et/ou de ses socits affilies aux tats-Unis et dans
dautres pays, et ne doivent pas tre utiliss sans autorisation crite. Toutes les marques de
commerce sont la proprit de leurs dtenteurs respectifs. John Wiley & Sons, Inc., nest pas
associe aux produits ou aux fournisseurs mentionns dans le prsent livre.
LIMITE DE RESPONSABILIT/DNI DE GARANTIE: LDITEUR, LAUTEUR ET TOUTE AUTRE
PERSONNE IMPLIQUE DANS LA PRPARATION DU PRSENT LIVRE NE FONT AUCUNE
DCLARATION OU NACCORDENT AUCUNE GARANTIE QUANT LEXACTITUDE OU
LINTGRALIT DU CONTENU DU PRSENT LIVRE ; EN PARTICULIER, ILS NIENT
SPCIFIQUEMENT TOUTES LES GARANTIES, Y COMPRIS SANS AUCUNE LIMITE, LES GARANTIES
DADQUATION UN USAGE PARTICULIER. AUCUNE GARANTIE NE PEUT TRE CRE OU
PROLONGE PAR DES DOCUMENTS DE VENTE OU DE PROMOTION. LES CONSEILS ET
STRATGIES CONTENUES DANS LE PRSENT LIVRE PEUVENT NE PAS TRE ADAPTS
TOUTES LES SITUATIONS. LE PRSENT LIVRE EST VENDU, TANT ENTENDU QUE LDITEUR
NOFFRE PAS DE SERVICES JURIDIQUES, COMPTABLES OU AUTRES SERVICES PROFESSIONNELS.
LES LECTEURS QUI VEULENT OBTENIR UNE AIDE PROFESSIONNELLE DOIVENT SADRESSER
UN PROFESSIONNEL COMPTENT. NI LDITEUR, NI LAUTEUR NE SERONT TENUS
RESPONSABLES DES DOMMAGES DCOULANT DU CONTENU DU PRSENT LIVRE. LA MENTION
DUNE ORGANISATION OU DUN SITE INTERNET DANS LE PRSENT LIVRE EN CITATION ET/OU
COMME SOURCE POTENTIELLE DE RENSEIGNEMENTS SUPPLMENTAIRES NE SIGNIFIE PAS
QUE LAUTEUR OU LDITEUR ENTRINENT LES RENSEIGNEMENTS OU LES RECOMMANDATIONS
QUE PEUVENT FOURNIR LORGANISATION OU LE SITE INTERNET. EN OUTRE, LES LECTEURS
DOIVENT SAVOIR QUE LES SITES INTERNET MENTIONNS DANS LE PRSENT LIVRE PEUVENT
AVOIR CHANG OU DISPARU DEPUIS LA CRATION DU LIVRE.
Wiley dite galement ses livres sous divers formats lectroniques. Certains contenus publis
peuvent ne pas tre disponibles au format lectronique.
ISBN: 978-1-118-43271-6
Imprim et reli en Grande-Bretagne par Page Bros, Norwich
10 9 8 7 6 5 4 3 2 1

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Introduction
B ienvenue dans le livre sur Les AET pour les Nuls, un
guide des techniques de contournement de la scurit
qui sont devenues une proccupation srieuse pour le secteur
informatique. Cela ne signifie pas pour autant que la scurit
informatique nest pas dj une source majeure dinquitude;
au contraire, au cours des dix dernires annes, nous avons
connu une recrudescence des menaces informatiques, des
cybercrimes et des rglementations de conformit. Toutefois,
des recherches rcentes ont permis de voir sous un nouveau
jour lactivit de protection. tant donn que des moyens
dvasion avancs mettent en chec le modle de protection
employ couramment par la majorit des organisations, il
nous incombe de repenser les modles de scurit tradition-
nels. Et cest lobjectif de ce livre.

propos de ce livre
Ce livre apporte une vue densemble sur la scurit des
rseaux, et il explique comment les cyber-pirates pntrent
sur des rseaux protgs grce des mthodes caches
ou actuellement indtectables. Les Techniques dvasion
Avances (AET ou advanced evasion techniques) contournent
toutes les solutions de scurit rseau traditionnelles. Elles
permettent de diriger une attaque travers le rseau ou den
exploiter les dispositifs systme: les pare-feux de scurit,
les systmes de dtection des intrusions (IDS) et de prven-
tion des intrusions (IPS) et mme les routeurs chargs de
linspection approfondie des paquets.

Ce livre vous permettra de bien comprendre les AET et il vous


apportera des suggestions et des conseils utiles pour vous aider
aller de lavant. Si vous travaillez dans le secteur gouvernemen-
tal, militaire, bancaire ou toute autre infrastructure critique, lisez
ce livre pour savoir contre quoi vous luttez et comment mieux
vous protger contre ces techniques dvasion avances.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
2 Les AET pour les Nuls

Hypothses idiotes
Pour la rdaction de ce livre, nous avons fait certaines
suppositions votre gard:

Vous possdez des connaissances lmentaires sur les


rseaux informatiques et leur utilisation au sein et en
dehors dune organisation.
Vous connaissez la terminologie sur la scurit (vous
savez par exemple faire la diffrence entre un bug et une
nouvelle fonctionnalit).
Vous ressentez le besoin dvaluer la scurit rseau de
votre organisation.
Vous avez une approche proactive de linformatique
et vous dsirez comprendre la direction que prend le
modle de scurit.

Comment utiliser ce livre?


Louvrage Les AET pour les Nuls se divise en quatre chapitres
concis mais dbordant dinformations. Voici un aperu de ce
qui vous attend:

Chapitre 1, Comprendre le risque de scurit, vous


permettra de passer en revue les concepts des attaques
de rseaux, des patchs et des diffrents niveaux de
protection.
Chapitre 2, Tenants et aboutissants des techniques
dvasion avances, commence par lhistoire des con-
tournements et passe ensuite aux choses srieuses, grce
des mcanismes et des exemples faciles comprendre.
Chapitre 3, Considrer la menace un niveau lev,
focalise sur les systmes de contrle industriels et le
cadre rglementaire et explique pourquoi les AET sont
utilises dans des attaques ciblant les organisations
forte valeur.
Chapitre 4, Protection contre les AET, propose des
conseils et des astuces utiles pour vous aider valuer
la scurit de vos systmes.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Introduction 3

Icnes employes dans ce livre


Pour trouver facilement les informations les plus utiles,
nous employons des icnes pour mettre laccent sur les
messages cls:

La cible attire votre attention sur un conseil de tout premier


ordre.

Le nud souligne les informations importantes retenir.

Mfiez-vous de ces piges potentiels.

Quelle est la dmarche suivre?


Vous pouvez adopter lapproche traditionnelle et lire ce livre
du dbut la fin. Ou alors sauter des passages ou des chapi-
tres, en vous servant des titres de sections pour vous guider
et trouver les informations dont vous avez besoin. Quel que
soit le mode de lecture que vous choisissez, vous ne pourrez
pas vous tromper. Les deux mthodes aboutissent au mme
rsultat: une meilleure comprhension des AET, du type de
risque quelles reprsentent pour votre organisation et de la
mthode de protection employer.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
4 Les AET pour les Nuls

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 1

Comprendre le risque
de scurit
Dans ce chapitre
tat actuel de la cybercriminalit
Fonctionnement des attaques de rseau
Lien entre la vulnrabilit et les patchs
Limites de la scurit multicouche

C e chapitre vous fournit les informations lmentaires sur


ltat actuel de la scurit sur Internet. Nous examinons
lInternet du point de vue dun cybercriminel et dcouvrons
limage tout en rose quelle renvoie de cet angle. Nous dcou-
vrons exactement ce que constitue une attaque de rseau, qui
les excute et comment. Nous envisageons les patchs pour cor-
riger les bugs et montrons quils peuvent devenir la source de
certaines vulnrabilits. Pour finir, nous tudions la dmarche
couramment utilise pour lutter contre les attaques la scurit
multicouche et son chec face aux AET.

Comment les cybercriminels


oprent-ils?
Quand on se place du point de vue dun cybercriminel,
lInternet tout entier offre une multitude de cibles. Certaines
sont bien protges, mais la plupart peuvent tre facilement
pirates. Les ordinateurs personnels, par exemple, sont souvent
des cibles faciles. Les criminels peuvent les utiliser comme
des plates-formes pour lancer des attaques contre dautres
ordinateurs.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
6 Les AET pour les Nuls

Chiffrer les cots du Cybercrime


Une tude mene en 2015 par The de code malveillant, le dni de ser-
Ponemon Institute tablit le cot vice, les attaques Web, les attaques
moyen annuel de la cybercriminalit internes, etc. Lnergie et le secteur
sur un panel de 252 grandes organisa- financier sont plus fortement impac-
tions $7.7 millions par organisation. ts financirement que les secteurs
Les incidents subis par ces entreprises de la sant, de lagriculture et de
taient provoqus par lutilisation lautomobile.

Il nexiste pas de police de lInternet, et aucune loi ne rgit


correctement la cybercriminalit. Ainsi, les dlits commis
dans le monde virtuel sont moins risqus pour les criminels
que ceux quils ralisent dans le monde rel. Il est donc
logique de privilgier le monde du crime virtuel parce que le
risque dtre pris est trs limit et que mme si on est pris, les
peines de prison sont courtes.

De plus, les cybercriminels peuvent atteindre des millions


de cibles dans le monde, ce qui veut dire que chaque crime
na pas besoin dtre important. Par exemple, si vous volez
100euros chacune de vos cibles et que vous avez 1million
de cibles, vous rcoltez un bnfice de 100millions deuros.
Chaque victime a subi une perte de 100, un montant telle-
ment faible que la police ne prendra mme pas la peine de
faire une enqute.

Dans ces conditions, il est facile de comprendre pourquoi la


cybercriminalit a rcemment pris de lampleur et pourquoi
elle sest industrialise et professionnalise.

Comment fonctionnent les


attaques de rseau?
Il existe deux types dattaque: lune base sur le rseau et
lautre sur lhte. Le tableau 1-1 explique les diffrences.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 1: Comprendre le risque de scurit 7
Tableau 1-1 Comparaison des attaques de
rseau et de lhte
Type Lieu de Exemple Type de protection
dattaque lattaque employe
Attaque de Sur le rseau Le ver Dispositifs de scurit
rseau Conficker rseau
Attaque de Localement Le virus Les logiciels antivirus
lhte au niveau de Melissa et les systmes de
lhte cible scurit de lhte

Dans ce livre, nous nous concentrons sur les attaques de


rseau parce que les AET fonctionnent principalement avec
ce type dattaque. Les AET dguisent les attaques de rseau
de telle manire que les dispositifs de scurit rseau ne les
reconnaissent pas comme des attaques ou des exploits, ce qui
permet aux criminels daccder des cibles sur le rseau.

Qui sont les acteurs dune


attaque de rseau?
Une attaque de rseau typique compte trois acteurs:

Systme du pirate: Envoie un trafic rseau dattaque


vers le systme cible et essaie douvrir une brche pour
arriver le contrler distance.
Systme de scurit rseau: Il est normalement install
entre le pirate et le systme ciblequil est charg de
protger contre les attaques.
Systme cible: Peut aller dun ordinateur portable
normal au serveur spcifique dun progiciel de gestion
intgr (PGI) dune entreprise.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
8 Les AET pour les Nuls

Conficker: toujours dactualit


Dcouvert en novembre 2008, le ver recueil de donnes en provenance
Conficker exploite des vulnrabilits de 660 millions de systmes dans le
au niveau du Service Serveur des monde, fait tat du nombre de fois
ordinateurs Windows, en utilisant une que Conficker ait t dtect sur une
requte distance (RPC) pour infiltrer priode de deux ans et demi: environ
la machine cible. Parmi les victimes 220 millions doccurrences sont vo-
connues de Conficker on compte ques. Les recherches sur le sujet
lArme Franaise, qui a du immobil- dmontrent que les infections sont
iser des avions de chasse en 2009, des lutilisation de mots de passe
mais aussi la Police de Manchester, faibles ou vols et lexploitation de
qui sest vue contrainte de couper son vulnrabilits pour lesquels les cor-
rseau pendant trois jours en 2010. rectifs navaient pas t appliqus.
Conficker continue malheureusement
Le Security Intelligence Report de
dinfecter des ordinateurs aujourdhui.
Microsoft (avril 2012), bas sur un

Droulement dune
attaque typique
Voici les tapes du droulement dune attaque de rseau
typique:

1. Collecte dinformations.
Lattaquant essaie de trouver autant dinformations
que possible sur le systme cible et son environnement.
Il peut employer des sources dinformations diffren-
tes, comme la base de donnes publique WHOIS, les
pages Web et le systme des noms de domaine (DNS).
Il peut aussi recourir lingnierie sociale et essayer
dobtenir des informations auprs des employs de
lentreprise o se trouve le systme cible. Dautre part,
lInternet regorge de logiciels diffrents de collecte
dinformations que lattaquant peut employer pour
recueillir automatiquement davantage dinformations
sur le systme cible.
2. Recherche des vulnrabilits.
LInternet fournit un grand nombre dinformations sur
les vulnrabilits des diffrents systmes dexploitation

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 1: Comprendre le risque de scurit 9
et des applications. Et lattaquant peut utiliser des
logiciels spcifiques pour les dcouvrir.
3. Slection de la mthode dattaque approprie.
Lattaquant doit choisir une attaque adapte pour
exploiter la vulnrabilit du systme cible.
4. Attaque.
Lattaquant essaie dexcuter son propre code dans
le systme cible ou douvrir une invite de commande
pour crer une connexion fiable de contrle distance
du systme cible.
5. Vol dinformations.
Lattaquant recherche des informations stockes dans
le dispositif. Selon ce quil brigue, il peut soit voler
linformation enregistre, soit utiliser le dispositif comme
une plate-forme pour lancer une nouvelle attaque plus
approfondie au cur de lenvironnement de sa cible.

Cration des patchs


Le pirate ne peut pas lancer une attaque qui ouvrirait une
brche dans le dispositif sil ne trouve pas de points vul-
nrables dans le systme cible. En thorie, cest vrai. Mais la
pratique et la thorie sont deux choses diffrentes. Et les bugs
et les patchs engendrent des vulnrabilits.

Tous les programmes ont des bugs


Pour beaucoup, la solution de scurit suprme est un
logiciel sans bug, qui ne peut tre exploit par personne.
Malheureusement, la cration dun tel logiciel savre impos-
sible. Par le pass, larme amricaine a essay de crer un
logiciel dont on pourrait prouver mathmatiquement quil ne
contenait aucun bug. Ce projet a t trs coteux et le pro-
gramme effectivement cr tait assez court. Cette tentative
na pas t renouvele.

Des tudes ralises sur la qualit des logiciels ont indiqu


que dans mille lignes de code, on trouve toujours au moins
trois bugs.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
10 Les AET pour les Nuls

Les logiciels modernes contiennent plusieurs millions de


lignes de code, si bien quil est impossible de trouver tous les
bugs pendant la phase interne de contrle de la qualit. Les
systmes dexploitation et les applications contiennent des
bugs. Les mises jour des logiciels de Microsoft et dAdobe
sont de bons exemples de fournisseurs qui corrigent les prob-
lmes dcouverts jusquici dans leurs produits.

Comment les patchs


corrigent les bugs
Les diteurs savent que leurs logiciels contiennent tous des
bugs. Cest pour cette raison quils fournissent sans cesse des
correctifs. Ils le font par lintermdiaire du patch: un proces-
sus manuel ou automatique qui fournit aux usagers des cor-
rectifs pour le logiciel.

Malheureusement, un laps de temps scoule entre la dcou-


verte dun bug, llaboration dune solution et le dploiement
du patch. Cest pendant ce laps de temps que les attaques et
les exploits russissent.

Certaines circonstances accentuent la vulnrabilit:

Il est possible quun patch provoque une panne du serveur


de production au lieu de le corriger. (Le systme cible
de lattaquant est un ensemble compos du systme
dexploitation de base et du logiciel commercial, qui con-
tiennent tous des bugs. Pour simplifier les choses, nous
appelons ce type dordinateur et son logiciel un serveur
de production.) Les patchs corrigent les bugs mais peu-
vent aussi introduire des modifications logicielles qui
finissent par toucher les processus mtier.
Dans les entreprises qui prennent leur scurit trs au
srieux, les patchs sont dabord tests avant dtre appli-
qus, pour tre sr quils ne provoqueront pas une panne
du serveur de production. Mais ce processus allonge le
laps de temps pendant lequel le serveur de production est
vulnrable.
Il est impossible de corriger des serveurs de production
critiques, comme des ordinateurs qui contrlent des trait-
ements (le poste de commande dune machine papier ou
dun racteur nuclaire par exemple), parce quon ne peut

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 1: Comprendre le risque de scurit 11
pas les relancer ou les perturber pendant quils contrlent
un processus. Consultez le Chapitre 3 pour en savoir plus.
Les IPS avancs peuvent servir appliquer des patchs vir-
tuels et bloquer les flux ciblant la vulnrabilit jusqu ce
que le patch rel puisse tre mis en production.

Comprendre que la scurit


multicouche ne suffit pas
Les professionnels de la scurit rseau sattellent de nom-
breuses faons au problme de vulnrabilit des serveurs. La
scurit multicouche est lune dentre elles.

Il est possible que les dispositifs de scurit rseau disposent


de plusieurs couches qui peuvent raliser des tches diffren-
tes. Par exemple, en primtre dune organisation, des pare-
feux et concentrateurs du rseau priv virtuel limitent le trafic
qui va atteindre lorganisation. La couche suivante pourrait
tre compose de systmes de prvention des intrusions (IPS)
qui inspecterait le trafic pour dtecter un logiciel malveillant
ou une attaque.

Sil existe un moyen de contourner la scurit rseau en


couches ou les patchs virtuels, les serveurs de production
vulnrables sont alors une nouvelle fois en danger. Cest
exactement ce que peuvent faire les AET. Les patchs et la
scurit rseau multicouche ne suffisent pas toujours pour
protger les organisations.

Cest exactement comme si vous aviez verrouill toute votre


maison pour vous protger contre les cambrioleurs mais que
vous ayez laiss la porte de derrire grande ouverte. Avec les
AET, les cybercriminels peuvent contourner les couches de
scurit pour avoir facilement accs vos serveurs de produc-
tion. Par ailleurs, les AET ne laissent aucune trace dtectable par
une analyse forensique, car les systmes de scurit rseau
actuels ne peuvent pas les voir ni les dtecter. Ils ne signalent
donc pas des points analyser ultrieurement.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
12 Les AET pour les Nuls

Prendre conscience de
la menace invisible
Chaque dcisionnaire doit tre conscient de lexistence des AET
et en tenir compte dans les dcisions de gestion des risques.
lheure actuelle, trs peu de gens ont entendu parler des AET,
ce qui signifie que ce sont des outils trs prcieux pour les
cybercriminels.

A lheure actuelle les dispositifs de scurit rseau ne cernent


pas les AET, qui ne laissent donc aucune trace dtectable par
une analyse forensique. Daprs Spencer Mott, le vice-prsident
et CEO de la socit de jeux vido Electronic Arts, (interview
2012 publie dans Infosecurity magazine), il existe deux types
de directeur de scurit informatique: ceux qui ont subi une
attaque, et ceux qui ignorent quils ont en subi une.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 2

Tenants et aboutissants
des techniques dvasion
avances
Dans ce chapitre
Connatre les AET
Suivre la recherche sur les techniques dvasions avances
Comprendre les principes de base des AET
Etudier des AET luvre
Constater les problmes associs aux systmes de scurit
rseau actuels

D ans ce chapitre, nous allons tout vous dire sur les AET:
ce quelles sont, le niveau de risque de scurit quelles
posent, comment elles fonctionnent et pourquoi elles passent
outre les systmes de scurit rseau traditionnels.

Dfinition des AET


En matire de conception des protocoles Internet (IP), un des
principes essentiels est celui de la robustesse:

Lexcution dun protocole doit tre robuste. Chaque protocole


doit pouvoir fonctionner avec dautres crs par des personnes
diffrentes. Mme si lobjectif de cette spcification est dtre
explicite propos du protocole, des interprtations diffrentes
sont possibles. En gnral, lexcution dun protocole doit
suivre un mode de rception ouvert tandis que le mode

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
14 Les AET pour les Nuls

denvoi doit rester conventionnel. Cest--dire quil doit


veiller envoyer des paquets de donnes sans erreur,
mais il doit accepter tous les paquets de donnes quil peut
interprter (c.--d. ne pas sopposer aux erreurs techniques
quand la signification reste claire).
RFC 760 Protocole Internet standard du Ministre britannique
de la dfense, janvier 1980

Ce principe technique solide constitue la pierre angulaire de


lInternet.

Toutefois, les protocoles Internet sont souvent compliqus et


permettent des interprtations diverses dans lexcution. Les
systmes de scurit rseau peuvent avoir du mal dtecter
une attaque si le pirate utilise une combinaison inhabituelle
de proprits de protocoles rarement utilises. De plus,
lattaquant peut rendre la dtection encore plus difficile en
crant dlibrment un trafic rseau qui ne tient pas compte
des protocoles conventionnels. Si en bout de chane, le trafic
est interprt de faon ouverte, une attaque peut arriver
destination sans tre dtecte. Ces techniques de dguise-
ment sont collectivement appeles des techniques dvasion.

Une technique dvasion avance permet dinstaller, sans quil


soit dtect, un code malveillant connu:

En associant plusieurs mthodes connues de contour-


nement en vue de crer une nouvelle technique qui est
installe simultanment sur plusieurs couches du rseau.
En ayant la capacit de modifier les combinaisons de
contournement pendant lattaque.
En vitant linspection grce une conception intelligente.

Recherche des contournements


Le contournement nest pas un phnomne nouveau. Ptacek et
Newsham ont rdig un document acadmique en janvier 1998
intitul: Insertion, Evasion, and Denial of Service: Eluding
Network Intrusion Detection [Insertion, contournement et dni
de service: viter la dtection dune intrusion sur le rseau]. Ils
ont expliqu le fonctionnement de techniques de contournement

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 2: Tenants et aboutissants des techniques dvasion avances 15
simples, utilises par des pirates pour contourner les dispositifs
de scurit rseau.

En 2007, Forcepoint a commenc ses recherches sur les AET.


Ce projet a t lanc car le service de recherche et de dvel-
oppement (R&D) de Forcepoint narrivait pas trouver dans
le commerce de bons outils danalyse de contournement quil
pouvait employer pour tester les dispositifs de scurit rseau.
Lquipe du service R&D de Forcepoint charge danalyser les
vulnrabilits a donc dcid de crer son propre outil automa-
tis de dtection des techniques dvasion avances afin de
tester ses propres produits de scurit rseau.

Les chercheurs se sont tout dabord penchs sur les recher-


ches antrieures qui dcrivaient les diffrents types de
contournement et leur fonctionnement. Certains documents
techniques portant sur les contournements existaient, mais
ils nexpliquaient que des possibilits thoriques concernant
le fonctionnement potentiel des contournements. Aucun ne
dcrivait lexcution de ces concepts.

Ensuite, pour dcouvrir les outils dvelopps dans ce domaine,


lquipe a commenc analyser les outils open source ou
gratuits qui excutaient des techniques de contournement. Ils
nont dcouvert quun ou deux outils dont la couverture tait
minime.

Lquipe de Forcepoint a donc r-excut tous les outils de


contournement existants et a mis en uvre tous les concepts
expliqus thoriquement dans les documents techniques. Ce
faisant, ils ont dcouvert plusieurs centaines de nouveaux
contournements.

Lquipe a retenu quatre leons pendant lexcution de loutil


danalyse:

Il existe des contournements dans chaque protocole.


Il est possible de combiner des mthodes de contourne-
ment pour en crer de nouvelles.
Lordre des contournements combins est important.
Le nombre des diffrentes combinaisons de contourne-
ment est considrable.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
16 Les AET pour les Nuls

Quand lquipe danalyse des vulnrabilits a commenc


tester les produits de Forcepoint avec des techniques
dvasion avances, ils ont dcouvert que certaines dentre
elles contournaient les dispositifs de scurit. Ils ont cher-
ch savoir si les techniques dvasion avances pouvaient
galement contourner dautres produits de scurit. Cest
ainsi quils ont propos des organismes indpendants de
tester les principaux systmes de pare-feu et de prven-
tion des intrusions NG. Les rsultats obtenus se sont avrs
surprenants.

Les organisations indpendantes ont pu contourner tous


les dispositifs de scurit rseau tests, avec une facilit
dconcertante.

En gnral, ils ont excut lenvironnement danalyse pendant


deux secondes, et pendant cette priode, plusieurs AET ont
russi sinfiltrer. Mme des techniques dvasion trs basiques
ont contourn un grand nombre de dispositifs. Imaginez ce qui
se serait pass sils avaient excut le mme environnement
danalyse pendant un jour ou deux...

Lquipe danalyse des vulnrabilits sest inquite. Ce rsultat


tait dvastateur pour toute la communaut des professionnels
de la scurit Internet. Quasiment tous les dispositifs de scu-
rit rseau existants taient impuissants face aux AET. Il sem-
blait que les techniques dvasion avances reprsentaient un
domaine de scurit nglig, peut-tre parce quil nexistait
aucun bon outil danalyse dans ce domaine.

Lquipe a alors contact CERT-FI en Finlande, o le laboratoire


R&D tait install. (CERT-FI favorise la scurit en diffusant des
informations sur les menaces pour la scurit informatique.)
Lquipe a fourni 23 exemples o des techniques dvasion
avances parvenaient capturer le trafic et elle a demand
CERT-FI de diffuser cette information tous les fournisseurs de
scurit rseau concerns.

tonnamment, les fournisseurs de scurit rseau ont peu ragi.


Soit ils nont pas du tout rpondu, soit ils ont indiqu que les
AET ne reprsentaient pas un problme pour leurs systmes. Il
a fallu prs de deux ans et 287 nouveaux exemples de captures
de trafic par des techniques dvasion avances avant que les
fournisseurs de scurit rseau ne commencent comprendre
ltendue du problme.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 2: Tenants et aboutissants des techniques dvasion avances 17

Comprendre lampleur
considrable des AET
Lampleur des diffrentes AET est vaste. La situation est sem-
blable celle de lindustrie antivirus il y a 15 ans, quand tout
le monde savait quun norme problme de virus existait, mais
que personne dans lindustrie ne pouvait dire combien de virus
aller merger. Aujourdhui lindustrie antivirus a cess de cal-
culer le nombre existant de virus et variantes diffrents, simple-
ment parce quils taient trop nombreux. De la mme faon,
le potentiel des vasions avances est aujourdhui tellement
important quil est difficile apprhender.

Prenons un exemple:

Forcepoint a dcouvert 147 contournements atomiques en


2010. La possibilit de combiner deux contournements ou plus
largit lespace de contournement, qui devient encore plus
grand cause du nombre important de contournements atom-
iques combins.

Pensez un contournement potentiel comme un nombre


binaire de 147 chiffres. Chaque chiffre peut avoir une valeur
de 1 ou 0. Vous pouvez maintenant calculer le nombre de
valeurs diffrentes dun nombre binaire de 147 chiffres. La
rponse est 2 puissance 147 et le rsultat scrit en 44 chiffres.
Il sagit de toutes les combinaisons ordonnes possibles des
147 contournements atomiques.

Les combinaisons de contournements ne fonctionnent pas


toutes, mais une grande partie russira. Le dfi consiste
trouver les combinaisons les plus redoutables et de trouver leur
antidote. Cest la raison pour laquelle vous avez besoin doutils
danalyse automatise de techniques dvasion avances.

Analyse systmatique des


principes cls des AET
Les AET peuvent tre identifies selon certains principes
sous-jacents. Les AET

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
18 Les AET pour les Nuls

sont transmises dune manire trs ouverte (voir la


section prcdente de ce chapitre intitule Dfinition
des AET)
visent des dispositifs de scurit traditionnels.
ont recours des proprits de protocoles rarement
utilises
ont recours des combinaisons inhabituelles
tablissent un trafic rseau qui ne respecte pas les
spcifications strictes des protocoles
exploitent les limites techniques et dinspection des dis-
positifs de scurit: capacit de mmoire, optimisation
des performances, vices de conception et ainsi de suite

Les AET sont un moyen de dguiser des cyber-attaques pour


viter la dtection et le blocage par les systmes de scurit
informatique. Les AET permettent aux cybercriminels de livrer
un contenu malveillant sur un systme vulnrable en vitant
une dtection, qui mettrait normalement fin la menace. Les
systmes de scurit rseau sont inefficaces contre les AET de
la mme faon quun avion de chasse furtif peut attaquer sans
tre repr par un radar ou autre systme dfensif similaire.

Il ne suffit pas de compter uniquement sur la dtection des


anomalies ou des violations de protocoles pour bloquer des
techniques de contournement. Bien que certaines anomalies
et violations de protocoles se produisent uniquement quand
des AET sont utilises, la plupart des irrgularits apparais-
sent en raison dune excution lgrement dfaillante des
protocoles dans les applications couramment utilises sur
Internet.

Pour une dtection plus prcise, le trafic du rseau doit


tre analys et dcod couche par couche. tant donn que
lattaque peut tre dguise par des contournements sur de
nombreuses couches, il faut raliser une normalisation du
trafic rseau et une analyse soigneuse de la couche approprie.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 2: Tenants et aboutissants des techniques dvasion avances 19

tude dun exemple de


contournement simple
En 2009, un contournement trs simple a bien fonctionn sur la
plupart des dispositifs de scurit rseau: un contournement
par fragmentation. Cest un excellent exemple car il est si simple
et illustre cependant les vices de conception des dispositifs de
scurit rseau.

Prenons le cas du ver Conficker (cf. chaptitre 1), dtect


pour la premire fois en novembre 2008. Ce ver exploite la
vulnrabilit du service serveur sur les ordinateurs Windows.
Il utilise un appel de procdure distance (RPC) spciale-
ment conu pour provoquer un dbordement de la mmoire
tampon et excuter un code malveillant sur lordinateur cible.
Les dispositifs de scurit rseau actuels dtectent tous le
ver Conficker, parce quil tait si connu son poque et quil
existe dj depuis plusieurs annes.

Le trafic sur un rseau TCP/IP (Transmission Control Protocol/


Internet Protocol) repose sur les paquets de donnes. Si nces-
saire, ces paquets peuvent tre fragments en paquets plus petits.
Pour implmenter une vasion trs simple, vous pouvez couper
le ver Conficker en deux fragments, que vous envoyez trav-
ers le dispositif de scurit rseau, en attendant dix secondes
entre les fragments. Malheureusement, le dispositif de scurit
rseau ne dtecte pas le ver Conficker modifi de cette faon.

Que sest-il pass?

En fait, les dispositifs de scurit rseau doivent pouvoir grer


des millions de connexions chaque seconde, ce qui implique
quils ne peuvent conserver quune partie de ces connexions en
mmoire. En 2009, la recherche du service R&D de Forcepoint
a dcouvert que la quantit normale de mmoire affecte au
trafic inspect correspondait environ sept secondes par
connexion.

Dans lexemple du ver Conficker, deux fragments sont envoys


dix secondes dintervalle. Alors, entre une et sept secondes,
le dispositif de scurit rseau sait quil a vu la premire partie
du ver Conficker et il attend de voir la dernire. Ainsi, le ver
Conficker tout entier correspondra lempreinte de dtection
et le dispositif interrompra le trafic.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
20 Les AET pour les Nuls

Mais aprs sept secondes, la partie mmoire de cette con-


nexion est renouvele et le dispositif de scurit rseau ne se
souvient plus davoir vu la premire partie du ver Conficker.
De cette manire, la seconde partie du ver entre sur le rseau
et le dispositif de scurit le laisse passer. Ds lors, les deux
parties du ver Conficker sont passes et elles peuvent exploiter
le systme cible.

Le service R&D de Forcepoint a ralis cette AET fragmen-


tation simple en 2009 et ce contournement ne fonctionne
probablement plus. Mais cet exemple dmontre quun contour-
nement fonctionne bien sur les systmes dont la mmoire est
trop faible par rapport au volume de trafic quils inspectent.
Tous les dispositifs de scurit rseau de 32 bits ont par exem-
ple une mmoire limite 4 Go. Dans lavenir, la plupart des
systmes de scurit rseau devraient reposer sur le 64 bits
afin davoir une quantit de mmoire suffisante pour grer cor-
rectement de grandes quantits de trafic.

Points faibles des dispositifs


de scurit rseau traditionnels
Les organisations dutilisateurs finaux sont confrontes
deux questions essentielles:

Pourquoi les dispositifs de scurit rseau traditionnels


sont-ils incapables doffrir une protection efficace contre
les techniques dvasion avances?
Pourquoi le problme des techniques dvasion avances
est-il impossible corriger de la mme faon quun
exploit normal?

La rponse vient de la gestion du trafic, de linspection et de


la dtection. Chacune de ces capacits a un rle critique
jouer pour tablir une protection adapte face aux techniques
dvasion avances au sein dun systme de prvention des
intrusions (IPS) ou un pare-feu NG.

Le dbit prime sur la scurit


Les systmes de scurit rseau devraient normaliser le
trafic au niveau de chaque couche. Mais un grand nombre de

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 2: Tenants et aboutissants des techniques dvasion avances 21
dispositifs de scurit rseau privilgient la vitesse sur la scu-
rit du rseau et prennent donc des raccourcis. Ils ninspectent
pas les quatre couches du protocole TCP/IP. De cette manire,
le systme de scurit est plus rapide, mais le rseau est davan-
tage expos aux techniques dvasion avances.

Les AET exploitent les raccourcis et les faiblesses des proces-


sus de normalisation et dinspection.

Pour en apprendre davantage sur les couches du protocole


TCP/IP, consultez louvrage de W. Richard Stevens: TCP/IP
Illustrated, Volume 1: The Protocols (Addison-Wesley, 1994).

Inspection base sur les


paquets de donnes
La plupart des systmes de scurit rseau traditionnels
inspectent simplement des segments ou des pseudo-paquets,
et ne peuvent pas inspecter un flux de donnes constant. Ce
problme fondamental de conception est extrmement dif-
ficile changer. En particulier dans le cas des solutions mat-
rielles; une nouvelle conception des quipements de scurit
signifierait une dpense importante en R&D.

Dans le cas des solutions matrielles, il est frquent que les


fonctions de manipulation de bas niveau des paquets soient
transfres du processeur (CPU) central vers un quipement
spcifique, afin dviter davoir besoin dun processeur puis-
sant. De plus, la consommation de mmoire est faible parce
que le matriel ne gre la fois que des segments courts du
trafic rseau.

Linspection base sur les flux de donnes exige une plus grande
capacit de mmoire et des processeurs plus puissants pour
continuer fonctionner un rendement correct. Passer de
linspection des segments linspection du flux de donnes
implique de modifier fortement les fonctions de base qui sont
excutes dans le matriel.

Pour la plupart des fournisseurs, une nouvelle conception de


leurs solutions matrielles ou un passage un environnement
64 bits pour mettre disposition une capacit de mmoire
plus importante est une mission impossible, si bien que
ltendue de linspection est sacrifie.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
22 Les AET pour les Nuls

Les AET exploitent linspection des segments ou des pseudo-


paquets en talant les attaques au niveau des limites de ces
segments ou pseudo-paquets.

Dtection base sur lutilisation


des exploits
Un rassemblage et une normalisation efficaces des protocoles
permettent de bien grer les techniques dvasion avances
et permettent une approche focalise sur les vulnrabilits
de dtecter et dempcher des attaques. Une approche base
sur les exploits qui dpend de la mise en correspondance
oriente sur les paquets de donnes est nettement plus vul-
nrable aux techniques dvasion avances et elle reprsente
un risque concret et un danger de scurit long terme.

Une telle approche ne pourra ni dtecter ni bloquer les attaques


des techniques dvasion avances parce que le nombre de
combinaisons possibles de contournement est astronomique.
Il est impossible de crer des signatures pour chaque com-
binaison de contournements comme le requiert lapproche
base sur linspection du flux de donnes pour dcouvrir les
exploits.

Un systme de scurit rseau typique contient entre 3000


et 10000 signatures actives tout moment donn. Imaginons
que vous criez un million de signatures de contournements
pour dtecter certaines techniques dvasion avances. Ce
nest pas faisable parce que la technologie matrielle actuelle
ne permet pas de grer une telle quantit de signatures tout
en gardant un dbit de trafic acceptable.

Il existe fort heureusement une autre mthode pour rsoudre


ce problme. Poursuivez votre lecture si vous voulez connatre
cette solution.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 3

Prendre en compte la
menace un niveau lev
Dans ce chapitre
Connatre les menaces avances et persistantes (APT).
Protection des systmes de contrle industriel

D ans ce chapitre, nous examinons les AET par rapport


aux grands systmes importants systmes de contrle
industriels pour vous aider comprendre limportance
dune protection contre la menace tous les niveaux dune
organisation.

Considrer les AET comme


un passe-partout pour les
Cybercriminels
Les AET ne sont pas encore bien connues et elles contournent
tous les systmes de scurit rseau. En consquence, elles
reprsentent des outils trs puissants pour les cybercriminels.

Les cybercriminels font un effort minimum face leur cible. Ils


ne veulent pas utiliser des mthodes excessives; aprs tout,
ils excutent leurs oprations comme une activit normale et
doivent donc contrler les cots.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
24 Les AET pour les Nuls

La dtection dune technique dvasion avance nest pas une


chose aise. Pour crer un outil de dtection des contourne-
ments, il a fallu plus de quatre ans Forcepoint et les dvel-
oppeurs taient des professionnels de la scurit rseau. Il
est donc logique que pour un cybercriminel, le dveloppement
dune AET soit onreux en termes dargent, de temps et de
rflexion.

Les criminels utilisent donc les AET contre des cibles qui
sont trs difficiles ou dont la valeur est trs leve. Il sagit de
cibles dont les rseaux sont bien surveills et qui ont mis en
place plusieurs couches de scurit.

Par exemple, le professeur Andrew Blyth et son quipe de


luniversit de Glamorgan ralisent des analyses criminalis-
tiques des rseaux ds que des organisations gouvernementa-
les du Royaume-Uni sont pirates. Dans de tels cas, le rapport
indique que les pirates se sont servis dAET. Il a dclar que:
les AET reprsentent une grave menace pour la scurit des
rseaux et nous avons dj constat que des pirates les ont
utilises un peu partout.

Protection des systmes


de contrle industriels
Ce nest quavec larrive de Stuxnet en 2010 que les fournis-
seurs et entreprises de scurit ont commenc accorder
davantage dattention la scurit des rseaux de tlsurveil-
lance et dacquisition de donnes (SCADA) au sein des systmes
de contrle industriel (SCI).

La vulnrabilit des rseaux industriels et les consquences


ventuelles pour la scurit des personnes et de lenvironnement
impliquent que les responsables de la scurit des rseaux
industriels doivent faire des efforts considrables pour trouver
des solutions appropries.

Cependant, mme si les organisations ont renforc la scurit


autour de leurs rseaux SCADA, un autre malware datant de
lautomne 2011 le cheval de Troie Duqu a dmontr que les
mthodes dattaque conventionnelles et les failles de scurit
demeurent une grande menace pour ces systmes.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 3: Prendre en compte la menace un niveau lev 25
La scurit des systmes SCADA et SCI reste donc une
proccupation majeure aggrave par la prpondrance des
attaques de type AET.

Limiter lexposition
Il ne sagit pas simplement des rseaux SCADA, mais de tous les
systmes SCI qui sont confronts des problmes de scurit.
La Figure 3-1 dmontre que, mme si certaines organisations
sont plus cibles que dautres, chacune court le risque dtre
victime dun cybercrime seul le degr de probabilit varie.

Probabilit de
cybercrime
100%
Gouvernments,
dfense, finance, infrastructures Risque lev
critiques

Risque moyen
Haute technologie, mdias, commerce, industrie

Risque faible

Impact financir
Associations, TPE, Services politique, commercial
0% ou sur les DPI

Failble lev

Figure 3-1: Effets de lassaut des menaces avances sur diffrentes


industries.

En consquence, des travaux sont en cours pour trouver


des solutions qui peuvent sappliquer de faon gnrale.
Par exemple, la norme NERC-CIP (North American Electric
Reliability Corporation-Critical Infrastructure Protection) est
obligatoire aux tats-Unis pour les grands rseaux lectriques.
Cependant, il nexiste aucune rglementation uniforme
lchelle internationale concernant la protection des rseaux
ICS. En consquence un grand nombre de normes ou de
spcifications non officielles sont utilises, comme Achilles de
Wurldtech Security Technologie ou ISA Secure.

De mme, la recherche des failles de scurit possibles com-


mence tout juste merger. En 2011 par exemple, NSSLabs a

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
26 Les AET pour les Nuls

dcouvert des failles de scurit dans des automates program-


mables industriels (API) qui servent surveiller et inspecter
des systmes SCADA. Si des pirates venaient exploiter cette
faille, ils obtiendraient le contrle total du systme et celui du
processeur principal, et ils pourraient utiliser lAPI pour con-
trler tous les instruments connects quils dsirent, et mme
reprogrammer lAPI.

Patchs virtuels
Pour limiter les risques supports par les systmes SCADA,
on peut les soustraire au rseau. Les lignes dattaque sont
considrablement rduites sil nexiste aucune connexion
avec lextrieur. Mais il est souvent impossible de supprimer
compltement toutes les connexions. Pour cette raison, les
organisations et les entreprises dotes de systmes SCADA
emploient souvent des solutions de prvention des intrusions
pour assurer leur scurit.

Les systmes de prvention des intrusions (IPS) surveillent


lintgralit du flux de donnes et permettent lentre sur le
rseau en labsence totale de menace. Si un logiciel malveillant
tente dentrer dans le rseau, ils coupent automatiquement la
connexion avec les donnes et lempchent ainsi de pntrer
sur le rseau. Cette mthode de scurit permet galement
dappliquer des patchs virtuels sur des serveurs et des services
en protgeant les serveurs vulnrables qui seront corrigs
uniquement lors de la prochaine fentre dentretien: une
exigence essentielle pour les rseaux industriels.

Mais les AET dguisent ou modifient tellement les cyber-attaques


quelles ne sont ni identifies ni bloques par les systmes de
scurit avec pour consquence linfiltration non dtecte
dun contenu malveillant dans des systmes non protgs.
loppos des techniques de contournement simples, les AET:

Diffrencient les mthodes utilises pour dguiser une


attaque
Peuvent tre combines dune faon pratiquement
illimite
Utilisent le trafic rseau diffrents niveaux

De cette manire, elles fragilisent les mcanismes convention-


nels de scurit.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 3: Prendre en compte la menace un niveau lev 27
Les dispositifs qui inspectent le flux de donnes (notamment
NGFW et IPS) emploient diffrentes techniques, mais la plu-
part utilisent lanalyse de protocole et la dtection de signa-
tures. Cette technique dtecte certains schmas dattaque
qui caractrisent les logiciels malveillants au sein du trafic
rseau, qui exploitent les points faibles dun systme de com-
munication.

Mais si les types de menaces sont en volution constante, les


systmes de prvention des intrusions ont du mal dtecter
lattaque dissimule dans le paquet de donnes. Parfois, il suffit
dun petit changement, comme le dcalage dun segment, pour
ne plus ressembler aucun des types dattaques rpertoris
dans les systmes de prvention des intrusions. Rsultat: le
systme de scurit ne dtecte pas le code malveillant cach
et le laisse accder au rseau. tant donn quaucune alarme
ne signale une menace possible, les cybercriminels peuvent
alors naviguer librement dans le systme pour trouver un point
faible possible ou un serveur sans patchs.

tude dun exemple simple


Les cybercriminels semblent avoir une meilleure comprhen-
sion des AET que les fabricants de solutions dinspection de
la scurit rseau.

Imaginez une machine papier, une centrale nuclaire ou un


rseau lectrique. Ils sont tous contrls par un ordinateur ou
un systme informatique quelconque. Normalement, les ordina-
teurs de contrle sont dots de systmes dexploitation qui ont
t dvelopps cinq dix ans plus tt, et ils sont probablement
encore contrls sous Windows NT. La dure de vie dun sys-
tme de contrle industriel atteint facilement 15 ans.

Le problme provient du fait que lordinateur de contrle ne


peut pas tre rgulirement mis jour parce que les nombreuses
actualisations demandent un redmarrage de la machine. Ces
machines de lenvironnement de contrle industriel sont red-
marres une deux fois par an seulement loccasion dune
session de maintenance.

Alors, quand un nouveau patch est disponible pour lordinateur


de contrle, le personnel charg de la scurit rseau ne peut
pas lappliquer immdiatement. Il peut scouler six mois
avant que le personnel napplique le patch. Entre-temps, les

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
28 Les AET pour les Nuls

membres du personnel protgent lordinateur de contrle


grce des systmes de scurit rseau, comme des pare-
feux ou des systmes de prvention des intrusions NG. Mais
lordinateur de contrle est vulnrable tant que le patch nest
pas appliqu. Les cybercriminels profitent donc dune fentre
de tir.

Auparavant, les systmes de contrle industriel taient instal-


ls sur un rseau compltement spar, mais dernirement, les
administrateurs de systmes les ont connects des rseaux
internes de bureau et mme directement lInternet pour
certains dentre eux car ces activits exigent une connexion
des systmes extrieurs. Ainsi, les cybercriminels ont la
possibilit daccder ces systmes en passant par le rseau.

Ils utiliseront des exploits connus contre lordinateur de con-


trle non patch (Windows NT dans lexemple) puis utiliseront
des AET pour dissimuler lexploitation et contourner les sys-
tmes de scurit rseau. Ils peuvent maintenant prendre le
contrle de la machine papier, du racteur nuclaire ou du
rseau lectrique.

La leon retenir ici: vrifier que vous tes protg contre les
AET si vous excutez un environnement SCI dans lequel vous
ne pouvez pas appliquer immdiatement les patchs.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 4

Protection contre les AET


Dans ce chapitre
Comportement de votre rseau lors dun test de dtection dAET
Calcul des risques
Inspection du trafic
Adoption dune gestion centralise
Analyse des solutions dans un environnement rel

I l nexiste sur le march actuel aucun systme de scurit


capable de garantir une protection 100% contre les AET.
Contrairement aux menaces de type Stuxnet ou Conficker,
une simple mise jour du systme ne rgle pas le problme.
Le mode de fonctionnement des AET et le nombre mme des
combinaisons de contournements possibles impliquent quil
est extrmement difficile de se protger contre elles et le
combat ne fait que commencer.

Cependant, les organisations devraient prendre des mesures


pour renforcer leur protection contre cette menace. En fait,
toute organisation qui ne parvient pas comprendre ce risque
et le diminuer expose son rseau des dangers connus et
inconnus. Dans cette poque de cybercrime sophistiqu, de
nombreuses organisations agences gouvernementales et
entreprises comprises risquent de graves rpercussions si
elles ne parviennent pas se prparer lutter contre les AET.

Ce chapitre offre des conseils pratiques que les organisations


peuvent appliquer pour renforcer leur niveau de protection
contre les AET.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
30 Les AET pour les Nuls

Analyse de votre propre rseau


Armez-vous de connaissances: soyez conscient des failles de
votre rseau.

Forcepoint a commenc parler publiquement des AET vers


la fin de lanne 2010. Beaucoup ont vu des dmonstrations
dAET, mais ils nont pas t convaincus parce que les systmes
de scurit rseau utiliss dans ces dmonstrations ntaient
pas les leurs. Ils taient galement convaincus quils pouvaient
affter leurs systmes de scurit pour que les AET narrivent
pas les contourner.

Alors Forcepoint a propos une version portable dun


outil avanc de dtection de contournement, dnomm
ntievasion Readiness Test (AERT).

Lntievasion Readiness Test vous apporte:

Des donnes relles et objectives sur les capacits de


lutte contre le contournement de vos systmes de scu-
rit rseau actuels et prvisionnels.
Une valuation des risques de contournement pour la direc-
tion, sous la forme dun rapport danalyse avec donnes
danalyse lappui et dun plan consultatif dattnuation des
risques.

Cet outil emploie les propres systmes et configurations


de lorganisation exactement comme ils fonctionnent en
rel. De cette manire, les organisations bnficient dune
technique danalyse tout fait raliste et prcise. Lanalyse
elle-mme est excute par un prestataire de services tiers
indpendant pour garantir son objectivit et son indpen-
dance vis--vis des fabricants et des technologies.

Le tableau 4-1 indique dans quels cas lanalyse est requise.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 4: Protection contre les AET 31
Tableau 4-1 Sinformer sur le cyber-risque:
dterminer quand une dtection de
contournement est ncessaire
Contextes Dfis
valuation du niveau de scurit/ Dfinir sil existe ou non une
audits des systmes de scurit menace directe de contournement
actuels
valuer et grer correctement les
risques de scurit
valuation de nouveaux valuation des produits qui offrent
produits la meilleure protection contre le
pour les dcisions dinvestissement contournement
Vrification des prtentions des
diteurs
Nouvelle conception de la scurit Dterminer si votre niveau de
du rseau scurit est suffisamment lev
Dfinir lemplacement ou le reposi-
tionnement du systme de prven-
tion des intrusions/des systmes
dinspection approfondie des
paquets, et savoir quel type utiliser

Loutil Evader est une ressource Forcepoint conue spci-


fiquement pour automatiser les tests de contournement des
pare-feux.

Analyse des risques


Analysez votre infrastructure critique et les actifs les plus
importants de votre organisation:

Comment ils sont stocks


O ils sont stocks
Si vous sauvegardez ou non les informations

Classez vos actifs par ordre de priorit et dimportance pour


votre socit et assurez-vous que vos actifs et vos services
publics essentiels disposent de la meilleure protection pos-
sible contre les AET.
Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
32 Les AET pour les Nuls

Mthodes dinspection du trafic


Utilisez des mthodes dinspection du trafic pour rsoudre le
problme des techniques dvasion avances.

Une fois que vous avez identifi les actifs que vous protgez,
vous pouvez rpertorier toutes les diffrentes mthodes
daccs ces actifs. Si les cybercriminels veulent lancer une
attaque travers votre rseau, ils doivent emprunter ces
mmes chemins daccs pour atteindre vos informations.

En tant que spcialiste averti de la scurit rseau, vous


pouvez scuriser ces chemins daccs laide de solutions
de scurit rseau avances. Malheureusement, les solutions
conventionnelles ne sont pas suffisamment souples pour lutter
efficacement contre la menace des AET. Cependant, une
technologie baptise normalisation du trafic peut liminer des
contournements avancs du trafic rseau qui circulent sur ces
chemins daccs et rvler des attaques dissimules.

Familiarisation avec la
normalisation du trafic
Une analogie la langue franaise est utile pour comprendre
la normalisation du trafic.

Les contournements avancs sont comme des dialectes dif-


frents, utiliss pour dissimuler la signification relle des mots
exprims. Supposons par exemple que deux cybercriminels,
qui aimeraient dvaliser une banque, ont lintention de discuter
de leurs plans dans une salle pleine de gens sans que personne
dautre ne puisse comprendre ce quils cherchent faire. Si
les cybercriminels parlent normalement, les autres personnes
dans la salle pourront entendre ce quils disent et les arrter
sils comprennent quils vont dvaliser une banque. Pour viter
ce problme, les cybercriminels peuvent recourir non pas un,
mais plusieurs dialectes franais diffrents et les mlanger
avec des mots dargot trs spcifiques (comme une technique
dvasion avance), simplement pour sassurer quils sont les
seules personnes dans la salle vraiment comprendre ce quils
disent.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 4: Protection contre les AET 33
Maintenant, imaginez simplement que toutes les autres per-
sonnes dans la salle sont des agents de police (ou un sys-
tme de scurit rseau, si vous prfrez). Ils vont essayer
dcouter toutes les discussions autour deux pour trouver
ces cybercriminels en se concentrant sur des mots-cls
particuliers comme banque, vol, argent, or et
cls. Sils entendent lun de ces mots dans une discussion
particulire, ils en arrteront les participants et mettront fin
leurs actions. Cependant, ces cybercriminels sont dtermi-
ns et ils sont trs motivs pour dvaliser cette banque. Ils
ont consacr beaucoup de temps et defforts apprendre des
dialectes franais et des mots dargot particuliers pour pou-
voir discuter du vol de la banque sans que personne ne les
comprennent; ainsi ils emploient des techniques dvasion
trs avances pour dguiser leurs intentions et faire leur tra-
vail. Ce genre de groupe de cybercriminels est parfois dsign
comme une menace avance et persistante (APT ou advanced
persistent threat).

Dans cet exemple, la solution consiste comprendre les dia-


lectes et largot employs par les cybercriminels pour pouvoir
retraduire leur conversation en franais courant. Ce processus
de retraduction en franais courant des diffrents dialectes
ou la suppression des dialectes et de largot pour les remplacer
par des mots courants qui appartiennent au franais normal
sappelle la normalisation. Maintenant, ds que la langue est
comprhensible, il est possible de la scanner et de chercher
des termes particuliers comme banque, vol, etc., qui vous
indiquent que les cybercriminels se prparent dvaliser une
banque.

Vous pouvez procder de la mme faon pour le trafic rseau.


Si des cybercriminels emploient des AET pour dissimuler
leurs attaques, vous pouvez raliser une normalisation du
trafic rseau pour liminer les contournements et dvoiler
le trafic rel qui se cachait derrire eux. Vous pouvez alors
employer des processus standard de vrification des signa-
tures pour dtecter les attaques sur le trafic rseau normalis.
Dans le monde rel, ce processus est beaucoup plus complexe
que ce que nous avons dcrit ici, mais cette explication vous
fournit les informations essentielles. Si vous tes vraiment
intress et que vous dsirez en savoir plus, rendez-vous sur
www.forcepoint.com.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
34 Les AET pour les Nuls

Mise en uvre de la normalisation


du trafic
Les contournements avancs fonctionnent trs bien sur
tous les dispositifs de scurit rseau actuels car la plupart
des systmes de prvention des intrusions (IPS) ne peuvent
inspecter quune partie du flux de donnes. Ils ninspectent
pas la totalit du flux et ne peuvent donc pas normaliser
entirement le trafic rseau. En consquence, les techniques
dvasion avances permettent de dissimuler des attaques
sans quelles soient dtectes.

Pour que le processus de normalisation du trafic fonctionne


face aux AET, il doit tre mis en uvre entirement. Il ne sert
rien dexcuter quune partie du processus. En dautres termes,
il faut raliser une normalisation du trafic de lensemble du
flux de donnes, et pas seulement de certaines parties.

Le passage de linspection des paquets celui du flux complet


nest pas simple. Les changements requis sont considrables
concernant la manipulation de bas niveau des paquets, et
larchitecture du systme de scurit rseau doit tre fonda-
mentalement diffrente. Linspection du flux de donnes com-
plet demande plus de mmoire au systme de dtection des
intrusions et affecte la performance de celui-ci.

Pour ces raisons, un certain temps sera peut-tre ncessaire


pour que des systmes de scurit rseau capables dassurer
une protection totale contre les techniques dvasion
avances soient disponibles sur le march. Il a fallu prs de
cinq ans de recherche Forcepoint par exemple pour crer
une protection contre les techniques dvasion avances.
Cependant, personne ne dtient une protection absolue
contre les AET, mais les fournisseurs qui sont actifs cet
gard ont un norme avantage sur ceux qui ne font aucune
recherche dans ce domaine.

Les contournements existent depuis 1998 et restent trs effi-


caces contre les systmes de scurit rseau. Mais ne perdez
pas espoir: sachez quune normalisation complte du trafic et
une inspection du flux de donnes peuvent rsoudre le prob-
lme. Consultez le site Internet de Forcepoint pour en savoir
plus sur ces solutions.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 4: Protection contre les AET 35
Il faut toutefois exercer des pressions sur les fournisseurs
pour quils intgrent cette protection dans leurs produits.
Forcepoint collabore activement avec les laboratoires dessai
de systmes rseau, ICSA Labs et NSS Labs, pour inclure la
dtection des AET dans leurs programmes de test et de cer-
tification des systmes de scurit rseau. Actuellement, les
essais de ces laboratoires portent sur des contournements
trs simples, mais nous esprons sincrement qu lavenir,
ils passeront des tests AET plus ralistes. Un tel change-
ment obligerait tous les fournisseurs de scurit rseau faire
des recherches sur les AET et fournir une protection contre
elles pour passer les tests dICSA Labs ou de NSS Labs.

Dploiement dune approche


centralise
Les systmes base de signatures ne peuvent dtecter et blo-
quer que des AET prdfinies et bien connues. Si les contour-
nements voluent lgrement, ou sils sont combins dune
faon plus complexe, ces systmes ne les identifient pas.

La nature dynamique et en volution constante des contour-


nements implique quune gestion centralise reprsente la
seule dfense possible pour les rseaux et les actifs numriques
critiques.

Les organisations doivent constamment mettre jour la protec-


tion de leurs rseaux pour faire face aux menaces. Il est essen-
tiel davoir conscience de la situation, danalyser de faon
dtaille les mthodes dattaque et de comprendre comment
les exploits ont t ralises. Il ne suffit pas de savoir quelles
attaques ont t ralises; il faut galement savoir comment
les cybercriminels ont procd.

La diffrence qui existe entre le niveau de dtection des con-


tournements et le niveau de protection que proposent les dif-
frents diteurs de scurit rseau est considrable. Et tant
donn que les administrateurs de rseaux pourraient tre
incapables dassurer une protection proactive contre les AET,
leur seule option est dtre prts ragir immdiatement et
efficacement. En consquence:

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
36 Les AET pour les Nuls

Instaurer une surveillance centrale de tous les dispositifs


rseau quel que soit le fournisseur ou le type pour
dtecter toute activit suspecte
Circonvenir une attaque, la corriger, et rapidement
mettre jour et configurer les dispositifs rseau pour
minimiser les dgts

Une console dadministration unique et centralise permet


aux administrateurs de surveiller partir dun emplacement
unique, et de crer des configurations une seule fois, pour
ensuite les dployer sur tous les dispositifs du rseau.

Rvaluation de la
gestion des patchs
Quand cest possible, lapplication de patchs dans des sys-
tmes vulnrables apporte une protection suprme contre les
attaques rseau, quelles soient ralises par des AET ou non.
Les attaquants peuvent contourner des systmes de prven-
tion des intrusions ou des pare-feux NG, mais ils ne peuvent
pas sattaquer un systme patch.

tant donn que, mme dans les meilleures circonstances,


lessai et le dploiement dun patch prennent du temps, il est
important davoir disposition dautres solutions offrant des
patchs virtuels et dautres mesures de scurit.

Vrification de votre solution


actuelle de prvention
des intrusions
valuez vos systmes actuels de prvention des intrusions et
de vos pare-feux NG pour savoir sils peuvent protger votre
rseau contre les AET.

lheure actuelle, quel est leur degr defficacit contre


les contournements?

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre 4: Protection contre les AET 37
Vous permettent-ils de ragir rapidement des attaques
ou dappliquer facilement des mises jour ds quune
menace est dcouverte?

Soyez critique et anticipez: recherchez des solutions alter-


natives. Le tableau 4-2 prsente une comparaison entre le
produit de Forcepoint et dautres produits de scurit rseau
du march.

Tableau 4-2 Comparaison entre les protections


contre le contournement
Forcepoint Stonesoft NGFW Autres dispositifs de scurit
rseau
Visibilit de la pile complte Analyse dune slection limite
de couches
Forcepoint dcode et normalise
le trafic sur toutes les couches du
protocole
limination du contournement par Inspection des segments indivi-
la normalisation duels ou des pseudo-paquets
Le processus de normalisation
limine les contournements avant
linspection du flux des donnes
Dtection du flux de donnes des Dtection de codes malveillants
applications base sur les vulnrabilits et
les exploits; mise en correspon-
Les signatures des vulnrabilits dance des bannires uniquement
permettent de dtecter un exploit
dans les flux de donnes normaliss
dune application
Recherche et outils en interne Informations du domaine public
et outils tiers
Produit rsistant aux contourne-
ments dont la qualit est assure
par un fuzzing automatique pour
dtecter les contournements
Mises jour et mises niveau Couverture limite des contour-
nements et mises jour tardives
Mise jour automatique de la
technologie anti-vasions

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
38 Les AET pour les Nuls

Les AET ont chang jamais le paysage de la scurit. Si un


dispositif de scurit nest pas capable de grer un contourne-
ment, votre rseau est vulnrable quel que soit son taux de
blocage ou le nombre de certifications et de prix quil a
remports.

Tests conduits sur le terrain


De nombreux diteurs de scurit savent comment survivre
un contournement simul ou enregistr sil est prdfini
dans un environnement de laboratoire stable. Mais face un
exploit dguis par un contournement rel et dynamique, ces
systmes sont aveugles et incapables de protger les actifs
que sont vos donnes.

Si vous dsirez vraiment connatre le niveau actuel de votre pro-


tection contre les AET, testez les capacits anti-contournement
de vos systmes de scurit dans votre environnement en
faisant appel vos propres politiques et configurations.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Ltd. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
WILEY END USER LICENSE AGREEMENT
Go to www.wiley.com/go/eula to access Wileys ebook EULA.