Les cybermenaces

Menaces et threat modeling

Aujourd’hui, les données sont une richesse monnayable et le monde est ultra connecté. Bon, le cadre est posé : il existe un nouvel eldorado qui aiguise les convoitises.

C’est pourquoi la sécurité informatique est devenue un enjeu majeur pour les organisations, même les plus petites. Des pirates, qui agissent pour leur propre compte ou celui d’États hostiles, mais aussi des évènements involontaires, sont autant de menaces qui planent sur nos précieuses données.

La bonne nouvelle, c’est qu’on peut s’en protéger.

 

Ressources

La cybersécurité a pour fonction de protéger les ressources numériques et physiques d’une organisation ou d’un simple particulier.

  • Les ressources numériques sont les logiciels et surtout les données dont la perte ou le vol peuvent s’avérer dramatiques (données bancaires de clients, par exemple).

  • Les ressources physiques sont les ordinateurs, serveurs et tout autre matériel informatique.

 

Définition et types de menaces

Une menace est un évènement intentionnel ou involontaire qui peut impacter négativement une ressource en exploitant une vulnérabilité. Par exemple, un hameçonnage peut être la porte d’entrée d’un piratage de données, la vulnérabilité étant le manque de vigilance de l’utilisateur qui clique sur la pièce jointe d’un e-mail.

Il faut bien distinguer la menace et le risque, qui est la possibilité qu’un effet négatif se produise. La conjonction d’une menace et d’une vulnérabilité se traduit par un risque.

menace + vulnérabilité = risque

Les menaces sont soit internes soit externes.

Qualifiée d’interne, elle englobe les salariés de l’organisation mais aussi les acteurs proches (ex-salariés, prestataires, fournisseurs…). Attention, la menace n’est pas toujours intentionnelle. Elle est même très souvent accidentelle.

La menace externe provient d’acteurs inconnus ou d’évènements exogènes tels que les risques naturels.

Les menaces persistantes avancées (APT) sont le fait de cybercriminels qui ont un accès non autorisé au réseau pendant une période prolongée. Le but est généralement le vol de données et la procédure d’attaque se révèle particulièrement élaborée. D’abord, un accès à la cible fait suite à un hameçonnage ou tout autre moyen. Des chevaux de Troie sont installés. L’un d’eux récupère les mots de passe des administrateurs. Ainsi, les pirates explorent à loisir toutes les zones du réseau. À ce stade, personne ne se doute encore de rien. Ensuite, le vol commence : cryptage et compression puis exfiltration des données, petit à petit pour ne pas éveiller les soupçons.

hacker

 

Modélisation

Pour anticiper les attaques et y faire face de manière proactive, la modélisation des menaces (threat modeling) joue un rôle crucial. De quoi s’agit-il ?

C’est une activité qui consiste à identifier les vulnérabilités auxquelles les ressources sont exposées et à envisager comment les cybercriminels pourraient en profiter. Elle s’applique aux systèmes informatiques, aux processus et surtout aux développements d’applications (à chaque étape de leur création mais surtout en début de projet).

L’intérêt de la modélisation est double : vérifier que le réseau est bien protégé et trouver des solutions pour atténuer les risques.

Cette opération réclame des ressources humaines très pointues et peut s’avérer chronophage. Heureusement, il existe des modèles. Et malheureusement, aucun n’est universel ; il faut en choisir un en fonction des objectifs poursuivis. Jetons un œil sur les outils proposés par Microsoft et sur le modèle PASTA.

 

Outils Microsoft

La catégorisation STRIDE est due à Microsoft. Elle reconnaît six types de menaces : Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege. En français :

  1. L’usurpation d’identité pour un accès non autorisé aux données.

  2. La violation de l’intégrité des données, par exemple la récupération de listes de pilotes et de contrôles d’accès.

  3. La répudiation.

  4. La divulgation d’informations sensibles.

  5. Le déni de service (consécutif à une attaque qui rend un serveur provisoirement inaccessible).

  6. L’élévation de privilège, c’est-à-dire le piratage d’un accès administrateur suffisamment élevé pour compromettre un système.

Microsoft promeut également l’approche DREAD (Damage, Reproductibility, Exploitability, Affected users, Discoverability). Ce n’est plus une catégorisation des menaces mais de leurs critères d’évaluation.

  1. Les dégâts consécutifs à une attaque sont évalués.

  2. La reproductibilité est associée à la probabilité d’être confronté à un piratage réussi.

  3. L’exploitabilité mesure le niveau de qualification nécessaire pour conduire une attaque.

  4. Le nombre d’utilisateurs affectés par une action malveillante peut être estimé.

  5. La visibilité est le degré de difficulté à localiser une vulnérabilité.

À partir de ces outils et de pas mal d’autres, Microsoft a élaboré un modèle gratuit : Microsoft Threat Modeling Tool, élément de Microsoft Security Development Lifecycle (SDL), au bon usage des architectes logiciels. À télécharger ici :

https://learn.microsoft.com/fr-fr/azure/security/develop/threat-modeling-tool

 

PASTA

Le modèle PASTA (Process for Attack Simulation and Threat Analysis) est très complet mais plutôt exigeant. Il s’articule en sept étapes.

  1. La définition des objectifs en termes de business et de sécurité. Par exemple, pourquoi une appli mobile payante a-t-elle été conçue et comment les données des utilisateurs sont-elles gérées ? En particulier, le traitement des paiements doit respecter certaines normes pour garatir la sécurité des informations du client.

  2. La portée technique (surface d’attaque, y compris hors connexion) : l’équipe sécurité et les développeurs travaillent ensemble pour examiner l’architecture (vulnérabilités des API, type de chiffrement…).

  3. La décomposition de l’application (communication entre les différents éléments) a pour but de comprendre comment elle fonctionne et quels sont les contrôles. Le diagramme de flux de données est un outil incontournable.

  4. La quatrième étape est celle de l’analyse des menaces : scénarios d’attaques et risques de régression.

  5. L’analyse des vulnérabilités et des menaces associées pour s’assurer qu’aucune lacune ne subsiste.

  6. La simulation d’attaques permet de tester les vulnérabilités. L’outil construit lors de cette étape est l’arbre d’attaque, qui lie de façon très détaillée ressources et menaces.

  7. La dernière étape consiste à évaluer le risque et ses impacts, puis à formuler des recommandations que les futurs modèles de menaces prendront en compte.

Pour mémoire, il existe d’autres modèles : QTMM, LINDDDUN, TRIKE, VAST…

 

souris menacée