Phase 3 - La livraison

Après avoir exploré les deux premières phases d’une attaque informatique — la reconnaissance et l’armement — nous abordons une étape critique : la phase de livraison. C’est ici que les attaquants mettent en œuvre leurs efforts pour introduire le malware ou exploiter une faille dans votre système. À cette étape, ils agissent comme un facteur qui dépose un colis empoisonné : discret, précis, et souvent difficile à détecter.

Les vecteurs plus classiques comme les emails de phishing, les sites web compromis, ou encore les dispositifs USB infectés restent extrêmement courants. Ces techniques exploitent autant les failles techniques que les comportements humains, et elles sont généralement efficaces.

Danger

Une méthode récemment mise en lumière et particulièrement inquiétante est celle des attaques sur la chaîne d’approvisionnement. Contrairement aux attaques traditionnelles qui ciblent directement leur victime, ces cyberattaquants exploitent un maillon de confiance dans la chaîne de livraison — souvent un fournisseur de logiciels ou de services essentiel. L’incident SolarWinds en 2020 illustre bien l’ampleur de cette menace. En compromettant un logiciel répandu parmi des milliers d’entités, y compris des entreprises et des agences gouvernementales, les attaquants ont réussi à diffuser leur logiciel malveillant à grande échelle, tout en demeurant invisibles.

Qu’est-ce que la phase de Livraison ?

La phase de livraison est le moment où les cyberattaquants passent à l’action. Après avoir collecté des informations sur la cible (reconnaissance) et préparé leurs outils (armement), ils doivent maintenant transmettre leur charge (payload) malveillante à la victime. C’est une étape délicate : si leur méthode de livraison est détectée ou bloquée, l’attaque échoue. Autrement dit, c’est un peu comme le jeu de gendarmes et voleurs, mais où la moindre erreur peut tout faire basculer.

L’objectif principal de cette phase est simple : introduire le malware dans le système cible ou exploiter une faille pour établir un accès initial. Voici quelques objectifs spécifiques :

• Passer inaperçu : La subtilité est essentielle. Si l’attaque est détectée à ce stade, elle peut être neutralisée avant même de commencer.
• Contourner les défenses : Les systèmes de sécurité modernes, comme les solutions EDR (Endpoint Detection and Response), rendent la tâche difficile. L’attaquant doit trouver des moyens de les déjouer.
• Exploiter des failles humaines ou techniques : L’humain est souvent la cible privilégiée (phishing), mais les failles techniques (comme un logiciel non à jour) sont aussi exploitées.

Quelles sont les méthodes utilisées ?

Plusieurs méthodes sont utilisées pour la livraison de malwares ou d’exploits. Voici les plus courantes, avec leurs spécificités :

1. Emails de phishing : C’est le grand classique. L’attaquant envoie un email qui semble légitime, mais qui contient une pièce jointe infectée ou un lien vers un site malveillant. Cette méthode est particulièrement efficace car elle joue sur la curiosité ou la panique des utilisateurs.

2. Sites web compromis : Les attaquants infectent des sites légitimes fréquemment visités par la cible. Ces sites servent alors de relais pour livrer le malware, souvent sans que la victime ne s’en rende compte.

3. Attaques de la supply chain : Cette méthode consiste à compromettre un fournisseur ou un prestataire de confiance, qui devient alors un vecteur pour diffuser le malware à grande échelle.

4. Dispositifs physiques infectés : Les clés USB infectées laissées dans des lieux publics en sont un exemple. L’attaquant mise sur la curiosité de la victime pour introduire le malware.

5. Publicité malveillante (malvertising) : Des publicités infectées sont diffusées sur des sites web légitimes, redirigeant les utilisateurs vers des malwares ou initiant des téléchargements.

Techniques de défense contre la phase de livraison

1. Sensibilisation et formation :

   • Pourquoi ? La majorité des attaques, notamment par phishing, exploitent des erreurs humaines.
   • Actions à entreprendre :
     • Former les employés à identifier des emails suspects (erreurs dans les adresses, liens douteux).
     • Simuler des campagnes de phishing internes pour tester leur vigilance.
     • Éduquer sur les bonnes pratiques, comme éviter de brancher des périphériques USB inconnus.

2. Solutions de sécurité avancées :

   • Filtres anti-spam et anti-phishing :
     • Utiliser des outils comme Proofpoint, Mimecast, ou ceux intégrés dans des solutions comme Office 365.
     • Configurer des règles pour bloquer les pièces jointes ou liens suspects.
   • Antivirus et EDR (Endpoint Detection and Response) :
     • Mettre en place des solutions comme CrowdStrike, Bitdefender, ou SentinelOne pour analyser et bloquer les malwares.
   • Sandboxing :
     • Tester les pièces jointes et fichiers suspects dans des environnements isolés avant de les ouvrir.

3. Surveillance et contrôle des activités web :

   • Proxy sécurisés :
     • Bloquer l’accès à des sites web malveillants ou non vérifiés grâce à des solutions comme Zscaler ou Forcepoint.
   • DNS Firewall :
     • Utiliser des outils comme Cisco Umbrella pour filtrer les connexions DNS vers des domaines malveillants.

4. Renforcement des politiques de périphériques externes :

   • Contrôle d’accès aux périphériques :
     • Restreindre l’utilisation de clés USB ou autres périphériques non autorisés avec des solutions DLP.
   • Désactiver les ports inutilisés :
     • Empêcher l’utilisation des ports USB sur les machines où ils ne sont pas nécessaires.

5. Mises à jour et correctifs réguliers :

   • Pourquoi ? De nombreux malwares exploitent des vulnérabilités connues.
   • Actions clés :
     • Automatiser les mises à jour avec des outils comme Qualys, Rudder ou ManageEngine Patch Manager.
     • Prioriser les correctifs critiques pour les logiciels exposés (navigateurs, systèmes d’exploitation).

6. Détection et blocage des malwares :

   • Analyse comportementale :
     • Utiliser des outils basés sur l’IA pour détecter des comportements suspects avant l’activation d’un malware.
   • Isolation proactive :
     • Isoler immédiatement un appareil suspecté d’être compromis pour éviter la propagation.

7. Renseignements sur les menaces (Threat Intelligence) :

   • Pourquoi ? Identifier les nouvelles techniques et outils de livraison des cybercriminels.
   • Comment ?
     • Utiliser des services de veille comme Mandiant ou Recorded Future.
     • Mettre à jour les filtres et règles en fonction des dernières menaces.

8. Automatiser la veille sur les menaces :

   • Intégrer des plateformes comme MITRE ATT&CK pour anticiper les vecteurs d’attaque.
   • Automatiser la mise à jour des listes noires de domaines ou signatures malveillantes.

9. Superviser les partenaires et la supply chain :

   • Pourquoi ? Les attaques via des fournisseurs compromis peuvent livrer des malwares à grande échelle.
   • Comment ?
     • Évaluer régulièrement la sécurité des partenaires.
     • Surveiller les activités réseau des tiers avec des outils comme CyberGRX ou RiskRecon.

Pourquoi ces techniques fonctionnent ?

Ces mesures, combinées, offrent une défense en profondeur. Les attaquants doivent franchir plusieurs couches de protection, ce qui augmente leurs chances d’échec. De plus, elles limitent les dommages même si une tentative de livraison réussit.

Conclusion

La phase de livraison est une étape charnière dans une cyberattaque. C’est le moment où l’attaquant tente de franchir les premières défenses pour établir un point d’entrée dans vos systèmes. Comme nous l’avons vu, elle exploite autant les failles humaines que les vulnérabilités techniques, rendant une approche de défense en profondeur indispensable.

La cybersécurité est un processus continu, pas une solution ponctuelle. Les cybercriminels évoluent constamment, et il est essentiel de rester à jour sur les nouvelles menaces et tactiques. En adoptant une posture proactive et en renforçant vos défenses dès la phase de livraison, vous augmentez considérablement vos chances de déjouer les attaques avant qu’elles ne deviennent critiques.