Attaque de point d'eau

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Une attaque de point d'eau (aussi appelée attaque de trou d'eau ; en anglais, Watering Hole) est une cyberattaque mise en place par un groupe de cybercriminels appelé le gang Elderwood. En 2012, cette attaque a permis au gang Elderwood d'infecter plus de 500 entreprises en 24 heures. L'attaque a été détectée en juillet 2012 par la RSA Security.

Le nom de l'attaque de point d'eau fait référence à un prédateur (par exemple, un lion) qui, au lieu d'aller chercher sa proie (par exemple, une gazelle), préfère l'attendre à un endroit où il est sûr qu'elle viendra (en l’occurrence à un point d'eau pour s'abreuver).

Principe[modifier | modifier le code]

La reconnaissance[modifier | modifier le code]

Le principe de l'attaque est assez ingénieux puisque l'attaque est d'abord précédée d'une surveillance par le hacker/prédateur des habitudes de navigation de la victime/proie (qui peut être une personne ou un ensemble de personnes travaillant pour une société cible).

Une action d'ingénierie sociale (par exemple, un coup de fil faisant croire à un sondage ou un accès à la page de la victime sur un réseau social) permet à l'attaquant d'acquérir les informations nécessaires pour lancer son attaque. S'il s'avère que la victime est un passionné des voitures ou des montres de luxe, ou qu'il prépare son mariage, alors les sites de point d'eau seront simples à trouver et seront géographiquement choisis près du lieu de résidence de la proie (il n'est pas nécessaire d'infecter un site d'organisateur de mariages au Bangladesh si la proie habite en Suisse).

Parfois, les points d'eau sont plus faciles à localiser. Par exemple, si on souhaite attaquer un éditeur de logiciels, on peut être sûr que les développeurs de cette société visitent les sites proposant des astuces sur ses outils ou des forums traitant de ses activités.

La compromission du site[modifier | modifier le code]

Sur le site point d'eau, le cybercriminel place un code (par exemple, via une vulnérabilité de type XSS) permettant d'exploiter une vulnérabilité de type jour zéro que peut avoir la victime sur sa machine. Un exemple de faille exploitée est le client Java qui permet d'installer sur la machine de la victime le cheval de Troie gh0st RAT (Remote Administration Tool) permettant ainsi au cybercriminel d'espionner et de prendre le contrôle des machines infectées.

Généralement, ce cheval de Troie infecte l'ensemble des machines et serveurs de la société permettant ainsi aux cybercriminels d'avoir accès à toutes les données informatiques de ces machines (contacts, données bancaires, codes sources, projets en cours, photos personnelles, etc..), mais également de prendre le contrôle de la machine pour effacer toute trace des accès frauduleux.

Il peut s'agir d'un code JavaScript qui s'exécute au chargement de la page compromise.

L'infiltration[modifier | modifier le code]

L'un des principes de la sécurité (ACL) au niveau des routeurs ou des pare-feu est de bloquer les connexions initiées depuis l'extérieur et de laisser passer le trafic généré à l'intérieur. L'accès à ce point d'eau est considéré comme un trafic légitime (via les ports 80, 443 ou 53) et passe donc inaperçu puisque la connexion aura été initiée par une machine en interne. Notons que l'utilisation des méthodes de traduction d'adresse réseau (incluant la traduction de port PAT) permet de protéger les machines internes qui n'ont jamais d'adresses routables (RFC7535), mais se partagent une adresse fournie par leur fournisseur d'accès à Internet.

Les vulnérabilités[modifier | modifier le code]

Voici la liste des éléments susceptibles d'être exploités :

  1. les contrôles ActiveX ;
  2. les documents PDF ;
  3. les documents Microsoft Office ;
  4. les injections de shellcode ;
  5. Java ;
  6. JavaScript ;
  7. les exploits des navigateurs web ;
  8. les modules d'extension des navigateurs web ;
  9. les scripts.

Autres variantes[modifier | modifier le code]

L'infection peut se faire à l'interne de diverses façons, par exemple :

  • par un partage de fichiers ;
  • par l'envoi d'un courriel ;
  • en déposant un CD, un DVD ou une clé USB infectés au bureau d'ordre de la société prétextant qu'il s'agit du compte-rendu de la précédente réunion.

Solutions[modifier | modifier le code]

Des mises à jour des navigateurs web et d'Acrobat Reader sont nécessaires et doivent être faites, mais ces actions restent insuffisantes puisqu'elles ne protègent pas contre les vulnérabilités jour zéro.

Le blocage du code JavaScript n'est pas une solution puisqu'elle dégradera la visualisation des pages web.

Les pistes sérieuses de solutions sont :

  • les solutions de sécurité offrant de l'inspection des paquets en profondeur (deep packet inspection) ;
  • l'utilisation de solutions de type bac à sable (tout code sera exécuté dans une sorte de bulle pour analyser son comportement) ;
  • l'utilisation de passerelle (gateway) permettrait d'offrir un minimum de soutien.
  • la formation et la sensibilisation des utilisateurs d'équipements informatiques sont importantes ; par exemple, il faut sensibiliser les gens à l'importance d'installer sur ses appareils uniquement des logiciels de sources fiables).

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]