Nos systèmes d'information ont connu une première convergence numérique dans les années 90, issue de fusion de trois couches d’univers similaires mais distincts : transport, support et information.
Le passage du PABX à l'IPBX et ses conséquences
On garde en tête l’emblématique passage du PABX à l’IPBX. Cette transformation a rendu possible l’attaque 3CX survenue en 2023(1), certainement la première “double supplychain attack”. Pour infecter plus de 12 millions de machines Windows et macOS, le groupe Lazarus a compromis l’infrastructure de l’éditeur 3CX et modifié leur logiciel de téléphonie en y insérant un implant malveillant. La mise à jour du logiciel légitime a déployé une menace sur les postes concernés. Cet exemple rappelle les possibilités offertes par la convergence, qui s’applique maintenant à l’industrie 4.0, aux smartcities ou encore au télétravail. La création de nouveaux ensembles “smart”, dont la présence physique est mondiale, ouvre des portes inespérées aux attaquants. Dans ce contexte, assurer la (cyber) sécurité tout autant que la sûreté des réseaux et d’un nombre d'actifs toujours plus conséquent, est un défi de taille.
Reconnaissance et Sécurité
Le champ d’application de la sûreté est large. Si nous le croisons avec Mitre Att&ck, la phase de Reconnaissance apparaît comme point commun évident. Six techniques permettent aux adversaires de recueillir activement ou passivement des informations pouvant être utilisées pour soutenir leur ciblage. Ces données comprennent des informations sur l'organisation cible, son infrastructure ou son personnel.
L'adversaire exploite ces informations pour passer aux autres phases de son attaque, telles que déterminer et hiérarchiser les objectifs après la compromission, ou orienter et diriger d'autres efforts de reconnaissance. En résulte le besoin de lutter contre les accès physiques non autorisés aux locaux, aux réseaux ou encore aux machines.
Les efforts menés dans ce sens sont constants, on vise par exemple le blocage ou la restriction des supports amovibles. Dans leur rapport “Jumping the air gap: 15 years of nation-state effort”, nos chercheurs sont remontés jusqu’en 2005, date de l’une des premières attaques documentées et réussies, menée par clef USB dans un environnement déconnecté. Elle fut suivie quelques années plus tard par StuxNet. Pour autant, les accès physiques ne nécessitent que quelques mètres à quelques centimètres pour activer le brouillage d’un signal wifi ou GSM, la coupure des câbles réseaux ou l’introduction sur le LAN d’un mini PC.
La menace des OT et Smart Buildings
Contrer ces premières actions de reconnaissance se complique avec l’arrivée massive des OT et la transformation des bâtiments en smart building. Ils multiplient les réseaux IP autant que les opportunités d'interconnexions, augmentant les points d’accès potentiels pour arriver à recueillir de précieuses informations sur l’organisation.
La fragilisation par la Convergence IT
Pour limiter l’intrusion physique, la sûreté emploie depuis de nombreuses années des mécanismes de défense, tels que le filtrage des accès. Mais la convergence de ces outils et leur inclusion dans la sphère IT les fragilise. La gestion des badges de contrôle d’accès s’effectue depuis une ou plusieurs machines laissées entre les mains d’utilisateurs souvent peu sensibilisés à la cyber sécurité. Ces outils deviennent à la fois une mine d’information comme un moyen de détourner des restrictions en modifiant les autorisations d’accès.
Il en est de même pour le bâtiment intelligent, boosté à l’IP, qui regorge de portes d’entrées vers les réseaux bureautique ou industriel. Interconnectés, la gestion des évacuations d’urgence, le PC sécurité, la vidéoprotection, la climatisation ou encore la gestion des badges d’accès sont un excellent moyen de récolter les informations nécessaires à une reconnaissance.
Ajoutons à l’espace protégé des locaux le télétravail. Il déplace régulièrement le poste de l’utilisateur dans un environnement hostile et non contrôlé. Celui-ci offre au minimum une vue sur l’écran, quand ce n’est pas l’accès complet à la machine. Florissants sur les réseaux sociaux, non seulement lors de la migration des experts cyber vers les grands événements de Lille ou de Monaco, le partage d’images de machines laissées sans surveillance atteste des efforts nécessaires de sensibilisation des utilisateurs et de leurs managers. Du point de vue de MITTRE ATT&CK, on imagine entre autres, la possibilité de dump mémoire, la récupération d’identifiants ou d’informations plus sensibles, usant parfois d'ingénierie sociale.
Collaboration entre Sûreté et Cybersécurité
Cette prise de conscience de l’implication de la sûreté dans la lutte, ou le succès, d’une attaque cyber, ne doit pas occulter la responsabilité du cyber. Distiller les bonnes pratiques aux services concernés, donner les moyens d’ajouter de l'authentification forte aux applications de sûreté sont les moyens habituels à notre disposition. Tout comme à son habitude, la cyber sécurité devra comprendre et s’adapter aux métiers et besoins spécifiques de ceux qu’elle entend protéger.
Mais l’enjeu lié à la sûreté est de taille. Elle peut être une alliée précieuse par son pouvoir de limiter les actions des attaquants dans les premières étapes de leur intrusion, en particulier l’aspect physique de celles-ci. Sur ce point le SOC est d’ailleurs souvent aveugle. S’il est conceptuellement envisageable que les logs en provenance des systèmes de badges ou de vidéo protection remontent dans les SIEM, leur traitement apporterait une complexité supplémentaire difficilement gérable en l’état. Il est préférable de prévenir plutôt que de guérir, d’éviter la fatigue des équipes en limitant le volume des alertes.
En travaillant de concert, sûreté et cybersécurité peuvent grandement optimiser nos précieuses ressources et limiter les infiltrations dans nos systèmes.
Cet article a été rédigé par notre expert Benoit Grunemwald et publié dans la revue Cyberun.net
