Carbanak, dévoilé fin février par l’éditeur Kaspersky Labs (voir Revue Banque n° 781), a fait beaucoup de bruit dans le petit monde de la sécurité informatique. En effet, c’était la première fois qu’une opération aussi complexe était menée avec pour cible privilégiée les banques et leur système d’information en direct, et non les banques en relation avec leurs clients (particuliers ou vol de données via des commerçants) ou dans l’une de leurs composantes seulement (attaques ciblant les DAB ou manipulation frauduleuse d’opération de Bourse). Pour Dominique Meurisse, directeur des opérations de Wallix, « il est clair qu’aujourd’hui, attaquer l’utilisateur, c’est attaquer sa crédibilité bancaire, et c’est donc compliqué. Vendre des credentials n’est plus assez rentable ; mieux vaut attaquer directement à la source. » Édouard Viot, chef de produit endpoint Stormshield, quant à lui estime que « Carbanak montre qu’on n’est plus dans une simple équipe de hackers. Il y a vraiment deux profils, avec des équipes pluridisciplinaires : entrer sur le système, comprendre comment il fonctionne, et surtout être capable de faire durer l’attaque si besoin. On revient dans une organisation cybercriminelle, où il n’y a pas uniquement des opérations dans le monde digital. Le deuxième point à retenir, c’est qu’une attaque va chercher des informations pour les revendre ; dans le cas présent, sortir directement l’argent des banques est quand même assez nouveau. » Il rappelle aussi l’existence d’un autre angle d’attaque, « le réseau de partenaires de la banque. Une attaque à la
L’analyse comportementale pour détecter la menace
Face à ce mélange d’attaques d’un nouveau genre, comment réagir ? Avant de tout casser, ne pas oublier certains principes de base. Alain Thibaud, directeur européen avant-vente Palo Alto Networks, constate que beaucoup d’attaques reprennent des souches existantes de malware : « De plus en plus, dans le monde bancaire, le principal vecteur d’attaque ciblée est le mail, à 96 ou 97 %. On voit surtout l’envoi de document Word ou Excel avec des exploits de failles de Windows. À l’origine de ces différentes formes de malware, il y a des souches existantes. Jusqu’à présent, Dridex, le malware financier du moment, était aux États-Unis. Depuis janvier, il est au Royaume-Uni et en Espagne. » Nicolas Brulez, consultant sécurité chez Kaspersky Labs, estime qu’il faut d’abord « éduquer l’utilisateur sur les mails piégés et sur l’ingénierie sociale, qui pourrait aussi les protéger contre les arnaques au président. Ensuite, il faut s’assurer que l’ensemble des applications sont mises à jour, même Java, y compris pour les applications métiers. Chaque fois qu’on voit des APT, c’est très rare que ce soit des 0-day*. » Pour autant, la vieille défense périmétrique classique ne fonctionne plus. Pour Scott Zoldi, vice-président de Fico, « la plupart des cyberdéfenses des décennies précédentes sont en train de perdre. La détection des signatures virales et les pare-feu ne sont plus efficaces. » Sa société propose comme beaucoup d’autres une défense par monitoring du système d’information et par l’analyse comportementale : « Nous utilisons des algorithmes d’analyse autoapprenants, pour détecter le comportement anormal d’une machine à travers des archétypes. Ce qu’Amazon et Netflix font pour connaître les goûts de leurs clients et leur proposer des recommandations, nous le faisons avec les postes pour savoir quel est le comportement normal d’un ordinateur au service comptable, ou marketing, etc. » Fico n’est pas le seul éditeur à proposer ce genre de solutions ; Darktrace va aussi proposer sa solution de « système immunitaire pour l’entreprise », qui écoutera l’ensemble du flux d’information dans l’entreprise, le cartographiera, apprendra les comportements normaux, puis détectera toutes les aberrations. Les grands éditeurs de la sécurité ou les spécialistes du big data s’y mettent également. Certains, comme Unisys, proposent même des SOC dédiés en Europe, pour détecter toutes les manœuvres suspectes chez leurs clients et éliminer les « faux positifs ».
Identifier et contenir
Encore faut-il savoir qui et quoi protéger. Sébastien Faivre, Chief Marketing Officer chez Brainwave, s’étonne : « lorsque nous installons nos services de cartographie du réseau, avec des outils un peu plus avancés, nous nous rendons compte que pour pas moins de 15 % des comptes d’accès, nous ne savons pas à quoi ou à qui ils servent. La partie droit d’accès est extrêmement mal gérée, avec des droits d’accès trop larges pour certaines personnes, permettant la génération de fraude interne et des comptes d’accès laissés en déshérence quand la personne quitte l’entreprise. On a le même ratio de 15 % dans les comptes des applications qui sont dans le cloud. Un attaquant qui souhaite porter atteinte aux actifs de la banque, peut travailler par ingénierie sociale pour attaquer un prestataire cloud de la banque. » Et cette connaissance au niveau des machines doit aussi se faire au niveau des utilisateurs : vérifier qui a droit de faire quoi et, surtout, si ce droit est justifié pour le poste occupé. Des solutions logicielles, comme celle d’Usercube, se greffent sur l’annuaire d’entreprise pour émettre des règles fines, afin, par exemple, de séparer qui peut émettre une demande d’achat et qui peut lancer le règlement. Enfin, le dernier outil efficace pour se protéger est de segmenter son système d’information. Pour Philippe Siour, directeur des services Stealth pour Unisys Europe, « le réseau interne n’est pas plus digne de confiance qu’Internet. Il est recommandé de sécuriser le réseau en mettant du chiffrement, et en faisant des zones de restrictions pour limiter au minimum l’accès aux ressources critiques et les droits des utilisateurs. » Comme le souligne Nicolas Brulez, « un attaquant déterminé rentrera, alors il faut limiter la casse. La segmentation va permettre de se protéger une fois que le réseau est compromis. Il faut isoler les machines dites sensibles du réseau principal, pour éviter que l’accueil n’accède à la gestion du cash ou du virement en rebondissant sur le réseau. »
