Le vol de données : un fléau pour les organisations à l’ère du numérique

Depuis quelque temps, nous assistons à une recrudescence de vols massifs de données partout dans le monde. Notamment, Revenu Québec s’est fait voler cette année les données personnelles de 23,000 personnes (employés et prestataires de services); un employé les ayant sortis de l’organisation par un simple courriel. Et ce n’est malheureusement qu’un exemple parmi tant d’autres. Fort de ce constat amer, en tant que professionnels en cybersécurité, nous avons jugé utile de mettre en lumière la problématique de ce fléau que vivent plusieurs organisations. À travers ce présent article, Martin Soro vous présentera quelques vecteurs d’attaques susceptibles de favoriser le vol de données et l’impact subi par les entreprises victimes d’un tel vol. Finalement, il vous présentera des mesures de mitigations applicables dans ce contexte.

Martin Soro

Martin Soro est titulaire d’une Maîtrise en ingénierie de l’Université du Québec à Rimouski. Il cumule maintenant une dizaine d’années d’expérience en réseau et en sécurité de l’information. Il est certifié SSCP de (ISC) 2, CCNP et CCNA CyberOps.

Il participe régulièrement à plusieurs conférences de cybersécurité telles que le DEFCON, le Hackfest ou le SeQCure. Il est également l’auteur de l’article les PME québécoises encore trop vulnérables aux rançongiciels.

Qu’est-ce qu’une fuite de données et comment cela arrive-t-il?

C’est le résultat d’une attaque qui consiste à exfiltrer les données d’une organisation et à les rendre publiques et/ou accessibles à des personnes non autorisées. Il en existe deux sortes : les fuites de données provenant d’attaques externes et celles provenant d’attaques internes.

Les fuites de données provenant des attaques externes

Ce sont des attaques perpétrées depuis l’extérieur de l’organisation par des cybercriminels.  L’exfiltration est généralement l’une des dernières étapes d’un long processus d’attaque savamment orchestré par un ou plusieurs pirates.

Pour mener une cyberattaque, le cybercriminel, à l’instar d’une armée, commence par une reconnaissance de la cible. À cette première étape, il va recueillir le maximum d’informations lui permettant d’identifier les vulnérabilités de l’organisation cible.

Une fois des vulnérabilités découvertes, il procède à l’armement. Ainsi, il va créer ou utiliser des outils ou codes malicieux capables d’exploiter la vulnérabilité (ex. un poste de travail mal configuré ou qui n’est pas à jour).

Ensuite, il recherche un canal de transmission pour la livraison du code malicieux à la victime. Cela pourrait être, par courriel (ex. lors d’une attaque d’hameçonnage), via un site web, une clé USB ou tout autre canal de transmission. Dans le cas d’une attaque d’hameçonnage (phising), l’attaquant pourrait viser un ensemble de personnes de l’organisation, un sous-groupe ou bien une personne en particulier. Lorsque le code malicieux est livré avec succès à la victime, la vulnérabilité va assurément être exploitée et le système sera infiltré.

Après l’infiltration du système, l’attaquant voudra demeurer aussi longtemps que nécessaire dans le système. Il va possiblement implanter une porte dérobée qui permet de rester dans le système même après le redémarrage des ordinateurs.

Ensuite, il prend le contrôle à distance du système de la victime à partir d’un centre de commandement et de contrôle. Une fois la prise de contrôle à distance réussie, il va réaliser son objectif final. Par exemple, détruire ou altérer des données, rendre le système indisponible, chiffrer les données et demander une rançon ou exfiltrer des données sensibles.

Le présent article est focalisé sur l’exfiltration de données. Ci-dessous quelques vecteurs d’attaque :

  • DNS tunneling

Cette attaque exploite le protocole DNS pour transférer les données via un tunnel illégitime. En effet, le protocole DNS permet de faire une résolution de noms et ne devrait pas être utilisé pour du transfert de données. Pour cette raison, ce protocole est rarement surveillé par les administrateurs réseaux et le port de communication est en général ouvert vers l’extérieur. Un attaquant peut donc infecter l’ordinateur d’une organisation et faire des requêtes DNS à l’externe en direction de son serveur DNS malicieux. Dans la requête DNS, il ajoute les données confidentielles visées par la fuite de données et celles-ci se retrouvent alors sur le serveur de l’attaquant. Il peut également encoder les données transférées afin de diminuer les chances d’être détecté.

  • Stéganographie

La stéganographie est une technique qui consiste à dissimuler un message dans un fichier. Par exemple, il est possible par cette technique d’insérer des informations dans un fichier image. Cette méthode est souvent utilisée par les personnes malveillantes pour exfiltrer des données sensibles des compagnies sans être détecté. Une fois le réseau infiltré, ils vont insérer les informations dérobées dans un fichier image et le transmettre à leur centre de commandement et de contrôle. Ainsi, l’attaquant retire l’information liée à l’image afin de ne conserver que les informations confidentielles visées par la fuite de données. Il est peu probable que les contrôles de sécurité en sortie puissent détecter un tel événement. En effet, si l’un des administrateurs réseaux venait à analyser plus en détail l’information sortant de l’organisation, il n’y verra que des images et/ou vidéos.

  • Server-Side Request Forgery (SSRF)

Une attaque SSRF est une technique permettant à un attaquant d’accéder aux ressources internes d’un site web qui sont considérées inaccessibles de l’extérieur. En pratique, il ordonne au serveur web externe de l’organisation d’effectuer une requête sur un système interne avec qui le site web communique en arrière-plan. Par exemple, le serveur web pourrait sélectionner les données d’une base de données accessible par le serveur web et fournir l’information à l’attaquant. Cette attaque peut se réaliser sur des sites web vulnérables situés dans les bureaux de l’organisation ou bien hébergés dans le cloud.

  • Accès physique non autorisé

Une personne malveillante peut contourner les contrôles de sécurité d’une organisation en y entrant physiquement pour commettre un vol d’équipements contenant des données tels qu’un ordinateur, un téléphone mobile ou encore une tablette. Si les données stockées ne sont pas chiffrées, elles peuvent être récupérées à des fins malicieuses. Les copies imprimées de documents sensibles exposés dans les locaux (ou par les boîtes de recyclage) peuvent également être volées.

  • La rémanence de données

Une donnée a beau être supprimée sur un ordinateur, elle ne l’est pas vraiment en réalité. De même, le formatage d’un disque dur n’efface pas réellement les données. Par conséquent, celles-ci peuvent être restaurées avec des outils conçus à cet effet: un criminel peut mettre la main sur les données d’une organisation en récupérant des médias de stockage dont les données n’ont pas été supprimées de façon appropriée. Dans certains cas, le pirate n’a pas vraiment besoin de se casser la tête, car des fuites de données sont déjà survenues suite au rachat de disques durs d’entreprises fait par le biais de Ebay, par exemple.

Les fuites de données provenant des attaques internes

L’une des menaces les plus sous-estimées auxquelles font face les organisations de nos jours est la menace interne. En effet, un employé ou un fournisseur malveillant peut facilement causer des dommages incalculables à l’organisation. Cette menace est facilitée puisque l’employé ou le fournisseur a déjà accès aux ressources de l’organisation et celle-ci lui fait confiance. Ainsi, dans plusieurs cas, il peut copier des données à l’aide d’un périphérique externe tel qu’une clé USB, un disque dur externe ou encore une carte mémoire.

Le courriel est également l’un des moyens les plus faciles pour exfiltrer des données. Plusieurs organisations ne contrôlent pas le contenu des courriels transmis à l’extérieur, ce qui laisse une porte grandement ouverte à la fuite de données.

Les messageries instantanées telles que Skype et Messenger sont également des sources de fuite de données. Ces outils peuvent être utilisés par une personne malveillante pour transférer les documents de l’organisation vers l’extérieur si aucun mécanisme de détection et de prévention n’est en place.

Quelques cas de fuites de données:

  • Cette année 2019, Desjardins, une institution financière majeure a été victime du plus gros vol de données de l’histoire du Canada; le tout ayant été commis par l’un de ses employés à l’interne. Les données de tous ses clients particuliers, soit environ 4,2 millions de personnes, ont été dérobées.
  • Cette année également, Capital One a été victime d’un vol de données perpétré par un ex-employés d’Amazone Web Services (AWS). Il a utilisé une faille d’une application dans le cloud où se trouve les infrastructures de la compagnie. Les données de 106 millions de clients ont été exfiltrées.
  • Sony a été victime d’une cyberattaque en 2014 qui a permis aux cybercriminels d’exfiltrer plusieurs données confidentielles. Les hackers ont réussi à exfiltrer plus de 25 GB de données sur les employés incluant leurs numéros d’assurance sociale, dossiers médicaux et salaires.
  • En 2014, Home Depot a été la cible de cybercriminels qui ont réussi a volé des informations de cartes de crédit. Home Depot a déclaré que les cybercriminels ont volé 56 millions de numéros de carte de crédit et de débits appartenant à ses clients.
  • En 2013, Edward Snowden, consultant à la NSA, a exfiltré des documents classés Top secret du gouvernement américain à l’aide d’une carte mémoire. Il s’est ensuite évadé avec les documents qu’il a rendus publics avec l’aide de journalistes américains.

Quel est l’impact d’un vol de données sur une entreprise?

L’impact est majeur si ce sont des données sensibles telles que les informations personnelles, les informations financières, les dossiers médicaux, etc. Une compagnie victime d’un vol de données confidentielles subit une dégradation de sa réputation sur la place publique. Cela résulte en une perte de confiance des clients actuels et potentiels. En conséquence, il s’ensuit une perte financière importante et la pérennité de l’organisation pourrait être remise en question.

Homme d'affaires pointé du doigt

Les données volées sont parfois vendues sur le marché noir, communément appelé le darkweb, et s’ensuit éventuellement des vols d’identités ou encore des intimidations. Dans la plupart des cas, la compagnie qui est victime d’un vol de données a l’obligation d’informer les clients dont les informations ont été volées et de prendre des mesures de mitigation adéquates. Pour en savoir plus sur les obligations des entreprises dans ce contexte, on vous invite à relire notre article sur les obligations relatives aux atteintes à la vie privée au Canada.

Comment peut-on mitiger les risques d’une telle attaque?

Il est très important d’aborder la sécurité dans toute sa dimension. Les trois types de contrôles de sécurité fondamentaux doivent être analysés puis éventuellement implémentés afin d’établir ou consolider une bonne posture de sécurité. Il s’agit du trio : contrôles de sécurités techniques, contrôles administratifs et contrôles physiques.

Ci-dessous quelques exemples :

Les contrôles techniques

L’un des contrôles techniques recommandé est l’audit par l’activation de journaux et leur surveillance. Il permet de détecter une éventuelle exfiltration de données et d’identifier le responsable. Il est surtout très important de protéger et préserver l’intégrité des journaux d’accès aux informations sensibles afin de pouvoir judicieusement imputer la responsabilité des actions aux personnes ayant eu l’accès.

Une autre technique recommandée est le chiffrement des données au repos. Ainsi, même si celles-ci ont été exfiltrées, elles seraient inutilisables par la personne malveillante.

En outre, les outils de détection de fuite de données appelés DLP (Data Leak Prevention) sont également conseillés. Il en existe deux sortes: DLP au niveau réseau et DLP au niveau du dispositif (poste, serveur, téléphone, etc.).

  • DLP au niveau réseau

Il scanne toutes les données en sortie du réseau à la recherche d’un format de données spécifique. En général, ils sont configurés pour détecter des formats de données en sortie tels que des cartes de crédit de format nnnn nnnn nnnn nnnn ou des numéros d’assurances sociales nnn nnn nnn. Si un usager ou un attaquant transmet un fichier contenant des données incluant ce type de données à l’extérieur du réseau de l’organisation, il sera détecté puis bloqué par le DLP.

Prendre note que certains DLP ont des fonctionnalités d’analyse comportementale permettant de prévenir des attaques plus sophistiquées où les données sont chiffrées avant d’être transmises vers l’extérieur ou bien par encapsulation de protocole. Ces DLP créent un profil de trafic normal des communications vers l’extérieur et lorsqu’il y a une déviation, le système la considère comme une anomalie. Un volume important de trafic de données à l’extérieur ou la communication de protocoles inhabituels peuvent être considérés comme des anomalies.

À noter que les cybercriminels de type APT (Advanced Persistent Threat) commandités par les gouvernements procèdent toujours au chiffrement des données avant leur exfiltration afin de contourner les contrôles de sécurité en sortie. Les DLP basés sur l’analyse comportementale sont généralement capables de détecter et prévenir de telles attaques.

  • DLP au niveau du dispositif

Il scanne tous les fichiers transmis à partir d’un poste de travail, serveur, etc. vers un terminal extérieur tel qu’une clé USB ou une imprimante. Avec ce type de DPL, une organisation peut, par exemple, empêcher les usagers de copier des données confidentielles vers tout type de périphérique externe.

Les contrôles administratifs

Les outils technologiques ne peuvent pas assurer la sécurité d’une organisation à eux seuls.  Il est possible de mettre en place un programme de rotation des tâches pour les personnes qui ont accès aux informations sensibles. Ainsi, un usager peut travailler pendant une période donnée et être substitué par un autre pour accomplir les mêmes tâches. Implicitement, chacun devient le contrôle de l’autre. Cela peut permettre de détecter un éventuel vol de données.

Une organisation peut également mettre en place une politique de séparation des tâches pour prévenir un éventuel vol de données. Par exemple, pour effectuer une transaction financière importante, plusieurs organisations demandent plus qu’une signature pour approuver la transaction. Ce principe peut alors être mis en place dans le domaine de l’informatique. Cela est aussi valable pour les transactions ou transferts de données importants.

De plus, la formation et la sensibilisation des personnes qui ont accès aux informations sensibles sont également des moyens efficaces pour prévenir le vol de données. Cela permet aux usagers de prendre conscience de la nécessité de la protection des données et des conséquences encourues en cas de mauvaises utilisations.

Les contrôles physiques

Si vous avez les meilleurs outils technologiques de prévention au monde contre les fuites de données mais que le périmètre de sécurité de vos infrastructures physiques n’est pas adéquat, votre entreprise n’est pas en sécurité. En effet, un individu peut furtivement (ou à l’aide d’un faux prétexte) entrer dans les locaux de votre organisation afin de voler des équipements qui contiennent des données sensibles. Il est donc indispensable de renforcer le périmètre de sécurité physique des locaux de votre organisation.

Un système de sécurité d’accès par badge associé à un PIN est une bonne méthode pour mitiger le risque d’intrusion et de vol. Dans certains cas, on pourrait aller jusqu’à engager des gardes de sécurité. Dans les environnements de haute criticité, des systèmes d’authentification biométrique sont nécessaires.

De plus, l’installation de caméras en entrée est recommandée afin de visualiser et détecter des passages frauduleux. Il est surtout très important de stocker les enregistrements vidéo de manière sécuritaire et de les conserver sur une période suffisante permettant de faire des audits et/ou des enquêtes plus tard pour détecter une activité frauduleuse et identifier l’auteur d’un vol.

Conclusion

Il est clair, net et sans équivoque que les données constituent l’actif le plus précieux d’une organisation après les humains. C’est pourquoi les organisations doivent mettre en place des contrôles de sécurité proportionnels à la valeur de leurs données afin de les protéger de façon adéquate. Il est donc très recommandé d’évaluer la maturité des contrôles de sécurité actuels des données et éventuellement procéder à des rehaussements.

Bien entendu, tous les contrôles de sécurité sus mentionnés peuvent difficilement être implantés simultanément dans une organisation au risque de créer de la résistance aux changements et demander des investissements importants. Tout dépend de la sensibilité des informations à protéger, du budget disponible pour la sécurité, de la culture de l’entreprise et de l’expertise des ressources de l’organisation. Chez Cyberswat, nous pouvons vous aider à évaluer tous les paramètres qui vous permettront de mettre en place des contrôles de sécurité appropriés à votre environnement.

Articles dans la même catégorie

Laisser un commentaire

Laisser un commentaire