Comprendre la kill chain pour protéger efficacement son SI

En matière de cybersécurité la compréhension de la kill chain est primordiale pour appréhender les scénarios d’attaque. Aujourd’hui, nombre de DSI se reposent encore sur le pare-feu (firewall) afin de prévenir les cyberattaques. Mais est-ce encore suffisant ? Comment protéger efficacement son SI ? Nous allons voir dans cet article comment se déroule généralement une cyberattaque, ses cibles et ses mécanismes.

Nous avons posé ces questions à Jean-François Bérenguer, notre Microsoft MVP et directeur des opérations de notre agence Grand Sud. Et pour y répondre, il convient d’abord de comprendre comment se déroule, en règle générale, une cyberattaque.

JFB. Pour pouvoir se protéger son système d’information, il est important de savoir ce qu’on a à protéger et de savoir comment le protéger, mais surtout aussi savoir de quoi il faut se protéger. C’est, dans le domaine de la sécurité, le plus important.

On va décortiquer une chaine d’attaques, une chaîne classique parce qu’en définitive, quand on parle d’attaques sur le système d’information, ce n’est pas une opération, mais un enchaînement d’opérations qui vont partir très certainement d’un utilisateur jusqu’à aboutir à la prise du contrôle du domaine et l’exfiltration des données. Mais dans tous ces scénarios, le firewall intervient très peu.

Cela veut dire que quand on souhaite reposer sa stratégie de sécurité uniquement sur du firewall, on fait ce qu’on appelle de la défense de périmètre. Aujourd’hui, c’est loin d’être suffisant et c’est d’autant plus du tout ce que l’on va viser.

Phase 1. L’infiltration du système d’information, le début de la kill chain

Lorsque l’on regarde une attaque classique sur un système d’information, bien souvent, elle commence par un flux entrant. Ce flux entrant va atteindre un utilisateur, via le phishing par exemple, qui représentait 80% des cyberattaques sur les entreprises en 2020. C’est un des vecteurs classiques d’amorce d’attaques sur les systèmes d’information. Ça peut être aussi un mail avec une pièce jointe que va ouvrir l’utilisateur. Il est très probable qu’il y ait une macro-commande à l’intérieur qui va exécuter du code malveillant sur le poste. Il se peut aussi que l’utilisateur clique sur une URL. La kill chain commence ici, avec l’infiltration.

Ensuite, bien souvent, du code malveillant va être introduit. Si l’attaque a démarré par du phishing, l’attaquant a récupéré les identifiants de l’utilisateur et prend ainsi contrôle de son poste et peut commencer à installer ce qu’il souhaite.

Si c’est une pièce jointe avec une macro-commande, un bout de code va venir s’installer. Ensuite, un logiciel installé sur le poste va essayer de contacter ce qu’on appelle un C2. Le C2, c’est un pool de serveurs, quelque part sur le net, qui va entrer en communication avec le poste de manière à lui envoyer des instructions et télécharger bon nombre de logiciels supplémentaires. Ensuite, une fois tous les outils installés sur le poste, l’équipe de hack va pouvoir commencer à dérouler le scénario.

L’enjeu pour les DSI va être d’anticiper et de couper les attaques le plus tôt possible. C’est là que le firewall va pouvoir entrer en jeu, mais les équipes de hack vont, par exemple, utiliser des noms de domaines connus avec une très bonne réputation de manière à passer tout ce qui est firewall et proxy.

Phase 2. L’exécution de commandes pour sonder le SI

On a donc un poste compromis, avec un certain nombre de logiciels installés. L’équipe de hack prend le contrôle du poste et c’est comme si elle était maintenant assise derrière le bureau. Elle va pouvoir lancer toutes les commandes qu’elle souhaite pour dérouler son attaque.

En tant que hacker, la première chose que je vais essayer de compromettre, c’est le compte qui est sur le poste, si je ne l’ai pas déjà fait avec du phishing. À partir de là, l’équipe de hack pourra lancer des commandes pour collecter les données et découvrir le réseau sur lequel elle est. Ce sont des commandes qui ne nécessitent aucun privilège sur le système d’information, donc tout utilisateur peut les lancer. Elles vont permettre de connaître, par exemple, le plan d’adressage IP, le nom du ou des contrôleurs de domaine, mais aussi les groupes de l’AD (Active Directory).

Ces commandes vont ainsi permettre de savoir qui est admin du domaine et d’obtenir des informations sur la cartographie du réseau.

Phase 3. Le mouvement latéral

Vient ensuite le mouvement latéral. C’est aujourd’hui le passage obligé pour tous les scénarios d’attaque. Pour pouvoir se défendre, il va donc être important de savoir ce que ce qu’est un mouvement latéral et les techniques utilisées par un attaquant pour faire du mouvement latéral.

Le mouvement latéral, c’est une technique qui va permettre à une équipe de hack depuis un poste et un compte utilisateur, de pouvoir rebondir sur d’autres entités de manière à essayer de tomber sur des entités à privilèges plus élevés, d’identifier sur quelle machine ces comptes ont été identifiés et ainsi de suite, jusqu’à arriver à un niveau de privilèges le plus élevé possible, de type « administrateur du domaine ».

Des outils comme Microsoft Defender for Identity vont, par exemple, permettre de repérer les chemins possibles pour des mouvements latéraux pour prendre le contrôle d’un compte de type admin du domaine.

Phase 4. La compromission d’un compte à fort privilège et l’accès aux données

Une fois que le mouvement latéral réussi, l’équipe de hack pourra pratiquer l’escalade vers des comptes à privilèges plus élevés et rebondir ainsi de compte en compte jusqu’à arriver à un compte qui a un très fort privilège. Il sera alors possible de compromettre le domaineaccéder à des données sensibles pour ensuite exfiltrer ces données.

C’est donc ce qu’on appelle la kill chain. C’est un scénario d’attaque assez classique qui va d’abord permettre d’avoir le contrôle sur le domaine et de faire de l’exploration des données, voire de les chiffrer.

La gestion des risques internes, l’angle complémentaire

Un autre scénario à ne pas oublier concerne les risques internes.

Il faut alors se pencher sur l’attitude des collaborateur·ices de l’entreprise. Diverses raisons, peuvent les amener à compromettre le système d’information de leur structure : par distraction, par négligence, mais aussi par mécontentement, stress, désenchantement ou dans la préparation de