Publié en avril dernier, le rapport annuel Symantec contient nombre d’éléments intéressants, relatifs à l’état des menaces dans le monde et à leurs évolutions. Le rapport complet est accessible ici (en anglais). Cet article a pour but de partager les éléments qui m’ont frappés, et de tenter de les relier à notre contexte régional, et en particulier aux campagnes d’attaques virales, particulièrement active ces dernières semaines.

Voici quelques points marquant :

  • Le nombre d’intrusion ou d’accès illégitime augmente de 23% de 2013 à 2014.
  • Le secteur de la santé est en tête des incidents recensés (116 incidents en 2014, soit 37% du total des incidents), et ce pour la quatrième année consécutive. Ces incidents ont conduit à l’exposition ou au vol de 7 millions d’identités de patients ou d’utilisateurs (soit 2% du total des identités corrompues ou exposées par ce type d’attaques).
  • D’une manière générale, 34 % des vols ou exposition de données concernent des données personnelles de santé.
  • Le nombre de vulnérabilités « 0-Day » est quasi stable, de 23 en 2013 à 24 en 20104 : c’est tout de même le record de tous les temps.
  • La durée moyenne de correction des « 0-Day » explose, de 4 jours en 2013 à 59 jours en 2014.
  • Lors des attaques virales au travers de la messagerie, 39% des fichiers vecteurs d’infections sont des « .doc » et 23 % des fichiers « .exe ».

Ici, une explication de texte est sans doute nécessaire : qu’est-ce qu’une vulnérabilité « 0-Day » ? En fait, c’est tout simplement une faille de sécurité non corrigée. S’il vous faut plus de détails, voyez ci-dessous au bas de l’article, ou directement sur le site de l’ANSSI.

Ce détail étant éclairci, quels enseignements tirer de ce constat ?

  1. Depuis l’temps qu’on vous l’disait ! On y est, le secteur de la santé est bel et bien une cible. Le grand nombre d’incidents est sans doute révélateur d’une faiblesse au niveau des premières lignes de défenses, même si ce nombre élevé d’attaque conduit à un nombre relativement moindre d’identités exposées, par rapport à d’autres secteurs.
  2. L’informatique est partout, on s’en sert de plus en plus, il y a de plus en plus d’outils… et donc de failles de sécurité : le nombre de vulnérabilités 0-Day s’accroit.
  3. On observe que les éditeurs ont de plus en plus de difficultés à corriger rapidement les failles repérées, ceci est sans doute un reflet de la complexité croissante des outils et services proposés.
  4. La recrudescence d’attaque virales sur le premier semestre 2015 montre que le syndrome gagne les solutions d’anti-virus. Plusieurs établissements de la région ont fait état d’attaques virales non détectées par des systèmes pourtant à jour.

Alors voilà. Maintenant, qu’est-ce qu’on fait ? Et bien, on en revient aux bonnes pratiques, pour se protéger au mieux :

  • Sensibiliser tous les utilisateurs, en particulier concernant la conduite à tenir face à un courriel de provenance inconnue, avec pièce jointe ou lien http. Les enfants savent qu’ils ne doivent pas accepter de bonbons d’un inconnu, il est temps que les utilisateurs comprennent qu’il ne doivent pas accepter une pièce jointe d’un inconnu.
  • Limiter les accès au strict nécessaire afin de limiter la propagation de l’infection. En particulier, attention aux espaces de travail partagés, à la tenue à jour des droits sur ces espaces, et à l’inflation de droits obsolètes suites aux mouvements des personnels.
  • Si les fichiers « .doc » et « .exe » sont responsables des deux tiers des infections, il faut peut-être envisager d’en restreindre fortement l’usage, au profit par exemple du format pdf, qui ne représente que 3% des attaques. A ce sujet, je vous renvoie à la présentation « Test d’intrusions » de Frédéric Cabon, RSSI au CHRU de Brest, lors de la dernière Journée Régionale de Sécurité : attention aux méta-données incluses dans les pdf, qui sont aussi sources de vulnérabilités !

Face à la menace 0-Day, l’ANSSI recommande un ensemble de mesures qui portent essentiellement sur le poste de travail et sur la sensibilisation des utilisateurs. Ces mesures ne suppriment pas les risques, mais elles les réduisent. Le guide est téléchargeable ici.

Il n’y a donc pas de solution miracle et unilatérale, mais chacun doit garder à l’esprit que, puisque la sécurité est l’affaire de tous, elle requiert impérativement l’implication de chacun.

 


 

Extrait du guide de l’ANSSI relatif aux vulnérabilités 0-Day :

UN 0-DAY EST UNE VULNÉRABILITÉ NON-CORRIGÉE DANS UN CODE LOGICIEL.

  • Cette vulnérabilité peut permettre l’exécution de codes arbitraires ou le contournement de politiques de sécurité. Un  0-Day  peut  concerner  tout  type  de  logiciel  (suite  bureautique,  application  métier,  système d’exploitation, logiciel embarqué, application mobile etc.).
  • Le  terme  « 0-Day »  est  employé  en  référence  au  temps  théoriquement  très  court  qui  sépare  la découverte  de  la  vulnérabilité  et  son  exploitation  par  un  attaquant  à  titre  offensif  avant  le développement  d’un  correctif.  Si  les  CERT  et  les  éditeurs  cherchent  à  avoir  connaissance  des vulnérabilités  et  à  développer  des  correctifs  aussi  rapidement  que  possible,  le  délai  –  même  très court  entre  la  publication  de  la  vulnérabilité,  la  publication  et  l’application  du  correctif  –  peut néanmoins permettre à des attaquants d’exploiter ces failles.
  • Les  0-Days  constituent  un  risque  majeur  et  permanent  pour  les systèmes d’information.  Les  conséquences  de  l’exploitation  par  un  attaquant  d’un  0-Day peuvent  être  très  lourdes :  indisponibilité  du  système  concerné, intrusion, vol de données, etc.
  • Dans la plupart des cas, l’image de marque envers des utilisateurs ou clients  du  service  sera  dégradée,  et  des  pertes  financières  seront constatées  (au  minimum  coût  financier  pour  les  opérations  non réalisées du fait des indisponibilités, coût humain rendu nécessaire par la restauration du système dans l’urgence, etc.).
  • Pourtant, les attaques par 0-Day ne sont pas une fatalité : en les anticipant on peut s’en prémunir, ou du moins limiter leur impact.
Share on FacebookTweet about this on TwitterShare on LinkedIn