mercredi 18 septembre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


STUXNET : le point de vue des éditeurs

Entretien avec Pierre-Marc Bureau, chercheur-analyste chez ESET, Michel Lanaspèze, expert chez Sophos, et David Grout, expert chez McAfee.



Pour nos trois experts, les médias ne se sont pas saisis de l’histoire de Stuxnet très tôt. La complexité de cette menace et de son histoire en est probablement en partie la cause. Les détails de son fonctionnement ainsi que ses cibles ont été publiés au compte-goutte.

C’est le fait que la cible soit constituée d’infrastructures SCADA qui a créé le mouvement dans les médias explique Michel Lanaspèze. La plupart des laboratoires de recherche explique t- il traitent plus de 60 000 nouveaux échantillons de malware chaque jour, ce qui leur laisse peu de temps pour analyser les intentions possibles d’un code malveillant : leur mission première est de détecter et bloquer les menaces, avant d’analyser et d’expliquer les conséquences possibles des attaques.

David Grout ajoute que les éléments nouveaux les plus forts autour de cette attaque sont surtout liés au fait qu’elle était scrupuleusement ciblée. Elle rentre dans une famille d’attaques spécifiques qui se nomment APT (Advanced Persistant Threat) qui ont un objectif unique, et qui sont écrites et dédiées à cet objectif. Le ver, poursuit David Grout, utilisait de surcroît une combinaison de facteurs qui permettent aujourd’hui de penser que les auteurs de ce ver avaient des moyens importants :
• Des signatures numériques spécifiques permettant de bypasser les contrôles applicatifs.
• L’utilisation d’un grand nombre de vulnérabilités inconnues ou non publiées.
• Une connaissance d’un niveau Expert des environnements Siemens PCL.
• Le besoin d’une première intervention manuelle sur le système pour lancer l’attaque.

Ce ver est extrêmement intéressant dans sa complexité ajoute-t-il :
• Une utilisation de 4 zero-day exploits (par exemple : ms10-046 – lnk/shortcut vulnerability, ms10-061 – print spooler vulnerability).
• Des drivers signés et valides (par exemple : mrxcls. sys).
• Le premier rootkit PCL (Programmable Logic Control).
• Des rootkit Windows.
• Des techniques avancées pour éviter les détections AV.
• Des techniques de propagation.
• Des mises à jour et des mutations (par exemple via des connexions sur www.todaysfutbol.com ou en peer to peer).