Attaque de point d'eau

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

La cyberattaque de point d'eau ou trou d'eau ("watering hole") est une attaque d'espionnage informatique relativement efficace mise en place par un groupe appelé "le gang Elderwood" (En 2012 ce groupe de cybercriminels a réussi à infecter plus de 500 entreprises en 24 heures). Cette attaque a été détectée en juillet 2012 par la "RSA Advanced Threat Intelligence Team" L'attaque de point d'eau est une attaque informatique (cyberattaque) qui fait référence à un prédateur (un lion) qui, au lieu d'aller chercher sa proie (une gazelle), préfère l'attendre la où il est sûr qu'elle viendra (en l’occurrence à un point d'eau pour s'abreuver).

Principe[modifier | modifier le code]

La reconnaissance[modifier | modifier le code]

Le principe est assez ingénieux puisque cette attaque est tout d'abord précédée par une surveillance de la part du hacker/prédateur des habitudes de navigation de la victime/proie (qui peut être une personne ou un ensemble de personnes travaillant pour une société cible ou un organisme). Une simple action d'ingénierie sociale (un simple coup de fil direct ou indirect faisant croire à un sondage, un accès à la page sociale de la victime) permettrait à l'attaquant d'acquérir les informations nécessaires pour lancer son attaque. S'il s'avère que la victime est par exemple un habitué des voitures ou montres de luxe, ou qu'il prépare son mariage, alors les sites cibles seront simples à trouver et seront géographiquement localisés aux alentours du lieu de travail de la cible (ce n'est pas la peine de compromettre un site d'organisateur de mariage au Bangladesh si sa cible vit en Suisse). Parfois, l'objectif est plus clair, par exemple si l'on souhaite attaquer un grand éditeur de logiciels, on peut être sûr que les développeurs ou employés de cette société iront voir les sites proposant des astuces sur leur outils, ou les forums les plus actifs et relatifs à leur activité.

La compromission du site[modifier | modifier le code]

Sur le site qui sera déclaré "point d'eau" le cybercriminel placera un code (via une vulnérabilité de type XSS par exemple) permettant d'exploiter une vulnérabilité ou plusieurs vulnérabilités de type "zero-day" que pourrait avoir la victime sur sa machine. Un exemple de faille exploitée est celui du client Java qui permet d'installer sur la machine de la victime le trojan "gh0st RAT (Remote Administration Tool)" permettant ainsi au cybercriminel de surveiller et d'avoir le contrôle total des machines infectées. Généralement, ce trojan infectera l'ensemble des machines et serveurs de la société permettant ainsi aux cybercriminels d'avoir accès à toutes les données informatiques de ces machines (contacts, données bancaires, code source, projet en cours, photos personnelles, etc..) mais également de donner la main aux cyberattaquants pour effacer toute trace de leurs visites. Il peut s'agir d'un code javascript qui s'exécutera au chargement de la page compromise.

L'infiltration[modifier | modifier le code]

L'un des principes de la sécurité (ACL) au niveau des routeurs ou firewall est de ne pas laisser les connexions initiées depuis l'extérieur et de laisser le trafic qui a été généré à partir de l'intérieur. L'accès a ce point d'eau sera considéré comme un trafic légitime (via les ports 80, 443 ou 53) et passe donc inaperçu puisque la connexion aura été initiée par une machine en interne. Notons que l'utilisation des méthodes de translation d'adresse (dont la translation de port PAT) permet de protéger les machines internes qui n'auront jamais d'adresses routables (RFC7535) mais se partageront une adresse fournie par leur fournisseur de service internet.

Les vulnérabilités[modifier | modifier le code]

Voici la liste des éléments susceptibles d'être exploités.

  1. les contrôles ActiveX
  2. les documents PDF
  3. les documents Office
  4. Les injections de shellcode
  5. Java
  6. javascript
  7. Exploits des navigateurs
  8. Les extensions (ou modules) des navigateurs
  9. les scripts

Autres variantes[modifier | modifier le code]

L'infection peut se faire en interne via un partage de fichier, par l'envoi d'un mail interne (ou externe) ou alors en déposant un simple CD/DVD (ou clé USB) au bureau d'ordre de la société prétextant qu'il s'agit du compte-rendu de la précédente réunion ou autre...

Solutions[modifier | modifier le code]

Une mise à jour convenable (du navigateur ou d'Acrobat Reader) est nécessaire et doit être faite, mais reste insuffisante puisqu'elle ne protège pas contre les attaques de types zero days. De même que le blocage du code javascript qui n'est pas une solution logique puisqu'elle rendra la visualisation des sites infernale.

Les pistes sérieuses sont les solutions de sécurité offrant de l'inspection de fond (DPI: Deep Inspection). L'utilisation de solutions de type bac à sable (tout code sera exécuté dans une sorte de bulle pour analyser son comportement). L'utilisation également de passerelle (Gateway) Web permettrait d'offrir un minimum de soutien

La formation et la sensibilisation des utilisateurs, plusieurs organismes et sociétés mettent en place des équipes de formations certifiés qui ont pour rôle de sensibiliser et d'"éduquer" les utilisateurs informatiques (par exemple ne pas installer sur son smartphone un logiciel prétendant qu'il transformera votre smartphone en panneau solaire, ou toute autre supercherie qui techniquement est impossible).

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]