Accueil Etudes Les réseaux sociaux, pour passer incognito les malwares dans l’entreprise

Les réseaux sociaux, pour passer incognito les malwares dans l’entreprise

twitter

Twitter ou autres réseaux sociaux : les entreprises peinent à détecter les cas d’utilisations malveillantes de ces services tiers, car les échanges de données infectées entre les cybercriminels et leurs victimes sont chiffrés et passent inaperçus au sein du trafic normal. Une étude fait le point sur le sujet

 

Publiée par Virus Bulletin dans le cadre de la conférence VB2015, l’étude du Laboratoire F-Secure révèle comment le chiffrage de services en ligne comme Twitter permet aux pirates (notamment aux groupes parrainés par des autorités nationales comme The Dukes) de diffuser des malwares et de dérober des données. « En résumé, les cybercriminels utilisent des services tiers pour échapper à la surveillance des entreprises », explique Artturi Lehtiö, chercheur chez F-Secure et auteur du rapport, lors de la conférence VB2015. « De nombreux services en ligne utilisent le chiffrage pour empêcher l’interception et le vol de données en transit. Malheureusement, les dispositifs de sécurité comme les pare-feux ne sont pas en mesure de distinguer le trafic malveillant des activités normales. C’est un véritable défi pour les entreprises, et ce rapport montre que les cybercriminels comme les Dukes ne se privent pas d’exploiter cette faille. »

La stratégie « commande et contrôle »

Depuis sept ans, le groupe des Dukes, parrainé par les autorités russes, a pour objectif d’attaquer des sites gouvernementaux. F-Secure a récemment analysé les activités de ces cybercriminels dans un livre blanc. Le nouveau rapport rédigé par Artturi Lehtiö se penche sur les attaques du groupe et détaille le rôle prépondérant des services tiers, qui permettent aux pirates d’adopter une stratégie que les experts en cybersécurité appellent « commande et contrôle » pour coordonner leurs opérations. L’étude révèle que les cybercriminels ont pu utiliser Twitter pour interagir avec des appareils infectés et inciter les utilisateurs à télécharger de nouveaux logiciels malveillants. Le groupe a également exploité le service Microsoft OneDrive à des fins d’exfiltration pour dérober discrètement des données.Selon Artturi Lehtiö : « Les infrastructures de commande et de contrôle reposant sur de tels services permettent aux pirates d’utiliser les mêmes accès réseau que les plateformes de confiance. Les cybercriminels peuvent ainsi interagir avec les appareils qu’ils ont déjà infectés. Dans cette situation, il ne s’agit donc pas d’attaquer les fournisseurs d’accès ou les utilisateurs au hasard. Les plateformes comme les réseaux sociaux permettent simplement aux pirates de coordonner facilement leurs opérations de manière rentable. »

Les entreprises peinent souvent à détecter les cas d’utilisations malveillantes de ces services tiers : en effet, les échanges de données infectées entre les cybercriminels et leurs victimes sont chiffrés et passent inaperçus au sein du trafic normal. De plus, les recherches montrent que de nombreuses organisations ne prennent même pas la peine de déchiffrer leur trafic Web et sont donc incapables d’identifier ces activités malveillantes. Une étude* rapporte que moins de la moitié des entreprises disposant d’une passerelle Web sécurisée et dédiée déchiffrent le trafic sortant. Elle révèle en outre que moins de 20 % des organisations équipées de pare-feux, de systèmes de prévention des intrusions ou de solutions unifiées de gestion des menaces déchiffrent le trafic SSL entrant et sortant.

Néanmoins, il n’est pas aisé de proposer ou de déployer des solutions de sécurité permettant de déchiffrer le trafic web. Selon Jarno Niemelä, Senior Researcher du Laboratoire F-Secure, il est essentiel que les entreprises comprennent les difficultés potentielles d’une telle approche : « Le déchiffrage du trafic réseau à l’aide de solutions intermédiaires peut s’avérer onéreux et très complexe à mettre en œuvre. Parfois, les cybercriminels peuvent même retourner ces mesures contre vous pour accéder à votre trafic chiffré : au lieu de protéger vos données, vous les rendez vulnérables. Les entreprises souhaitant utiliser cette méthode doivent absolument disposer d’un certificat unique, spécifique à leur organisation, car l’utilisation de certificats partagés les expose à des attaques exploitant les services intermédiaires. » Jarno Niemelä ajoute que les protections pour les postes de travail permettent d’éviter les attaques à leur source, car elles n’ont pas besoin de forcer ou d’outrepasser le chiffrage. Avec ces solutions sûres et efficaces, les entreprises sont protégées.

* Source : http://www.networkworld.com/article/3005646/network-security/how-to-deal-with-the-blind-spots-in-your-security-created-by-ssl-encrypted-traffic.html

Juliette Paoli