Chaque cyber-attaque est une leçon. Voici trois solutions à privilégier d’urgence suite à l’affaire des Panama papers : patch systématique, DLP et chiffrement de documents sensibles.
1 – DLP, un retour en force ?
« En 2015, 25% des grandes entreprises qui ont été touchées par la fuite de données l’ont été au moins une fois par mois » affirme Benoît Grunemwald pour ESET France. « Pour nous, la solution face aux fuites de données,c’est d’une part le chiffrement des données sensibles et d’autre part l’usage de DLP ». DLP (Data Loss Prevention) : un vieux serpent de mer présent sur le marché européen depuis plus de 12 ans et pas vraiment adopté par les entreprises. Jugé trop lourd à gérer, trop complexe à mettre en place, parfois trop onéreux… la nouvelle génération de solutions DLP se devait d’être plus agile et conforme avec les recommandations du nouveau règlement européen (GDPR). C’est la carte que jouent la plupart des éditeurs tels que Symantec, Sophos, Intel Security (ex Mcafee) IBM, ESET…. Ce dernier sortira prochainement une solution DLP packagée selon trois étapes : réaliser en interne chez le client un audit via un module technique, installer le module DLP (agent) et consulter les informations du module de supervision pouvant transmettre des données aux plates-formes SOC et SIEM. Benoît Grunemwald précise : « Il s’agit pour nous de démocratiser le DLP en mode light en s’appuyant sur la solution Safetica. Un projet d’implémentation en DLP prend moins de 2 mois chez ESET. C’est une performance avec un facteur 10 comparé à d’autres offres.»
2 – Chiffrement de documents
Après les DLP, le deuxième grand axe à privilégier c’est l’accès sécurisé et le chiffrement des documents sensibles. Chez Itrust, expert en e-confiance l’affaire des Panama Papers montre la nécessité de protéger les documents : « Lorsqu’un qu’un document est vraiment sensible, il est possible de le rendre accessible uniquement via des logiciels qui contrôleront les habilitations et permettront uniquement des actions limitées sur le document (lecture uniquement, pas de copie possibles, contrôle des révisions …). Ces logiciels garantissent le chiffrement et le contrôle des accès. Ainsi, il est possible d’interdire l’accès à ces documents via des flottes mobiles. ». Michel Lanaspeze, directeur marketing EMEA Sophos confirme cette solution de chiffrement en l’étendant obligatoirement aux documents joints aux emails : « Mossack Fonseca évoque la messagerie comme source de la pénétration. Le serveur de messagerie est effectivement une mine d’or pour les pirates. Non seulement une bonne partie des données d’entreprise sont échangées à travers la messagerie, mais c’est un trésor d’informations à exploiter pour des attaques par ingénierie sociale, avec les réinitialisations de mots de passe et tous les échanges d’informations utiles pour identifier les futures victimes d’attaques ciblées. »
3 – Patch systématique
Pour le manager de Sophos, la messagerie n’a peut-être pas été seule en cause. « Il semble que le site Web de Mossack Fonseca utilisait un plugin vulnérable du système de gestion de contenu WordPress, et que leur portail client utilisait une version très ancienne du système de gestion de contenu Drupal 7.23, bien antérieure à une version 7.32 d’octobre 2014 qui corrigeait des failles de sécurité importantes. Comme leur serveur Web était situé sur le même réseau que leur serveur email, ces failles non corrigées ouvraient un boulevard aux pirates, et ont très bien pu être à l’origine de l’attaque ». Une analyse que confirme la première édition du baromètre des vulnérabilités réalisée par l’éditeur Stormshield (Groupe Airbus). Sur les 1175 vulnérabilités analysées en 2015, Stormshield a constaté que ces vulnérabilités concernent essentiellement les logiciels les plus courants. Parmi les plus visés : Adobe Flash (325 attaques), suivi de Google Chrome (184 attaques) et de Mozilla Firefox (162 attaques). L’analyse de Stormshield a, en effet, permis de constater que 71% des vulnérabilités sont « critiques » et permettent aux pirates de prendre le contrôle des machines.
Et durant tout ce temps, les cyber menaces se précisent : le réseau banquier SWIFT a publié en avril 2016 un communiqué de presse visant à sensibiliser ses 11 000 banques clientes suite à une première attaque et 82 millions de dollars volés. Peu après, une deuxième attaque avait lieu. Dernier point : PWC l’assure, les fuites de données nécessitent dans un tiers des cas une complicité interne. Et si la sécurité contre les fuites de données commençait par une sensibilisation de l’ensemble des métiers de l’entreprise ?
Fuites de données des Panama papers
9 pistes de vulnérabilités selon GData.
- Des fichiers clients peu protégés.
- Le site internet de Mossack Fonseca utilise un plug-in WordPress propice aux fuites : Revolution Slider. Le plug-in a été attaqué régulièrement depuis 2014.
- Les détails d’identification du serveur email étaient stockés en texte dans un autre plug-in WordPress.
- Sur le portail, une version de Drupal propice aux fuites était utilisée et contenait 25 vulnérabilités différentes. Drupal n’a pas été mis à jour depuis 2013.
- Le serveur email de Mossack Fonseca n’a pas été mis à jour depuis 2009.
- Le protocole hasardeux SSL V2 était utilisé pour le portail client.
- Le site était vulnérable aux injections SQL.
- Les e-mails n’étaient pas chiffrés.
- Différents experts émettent également l’hypothèse d’un espionnage interne à l’origine de la fuite.
