Un technique d’attaque informatique très répandue : Le “Watering Hole” | Denis JACOPINI

Depuis 2012, nous vous accompagnons dans votre mise en conformité avec la réglementation sur les données à caractère personnel (formations et accompagnement à la mise en conformité RGPD) et depuis 1996 nous vous aidons à vous protéger de la Cybercriminalité.

Swaziland, Afrique, Naturel, Savannah, Impala


Un technique d’ très répandue : Le “

Les motivations des attaquants sont diverses. Les plus répandues sont le gain financier, la gloire personnelle, la malveillance ou encore l’espionnage.Quelle que soit la finalité de l’attaque, cette dernière passe le plus souvent par la compromission d’un système. Pour parvenir à leur fin, les attaquants disposent d’un large arsenal comprenant le contournement des mécanismes de sécurité, l’accès physique à la machine ou encore l’exploitation de vulnérabilités.Au sein de cet arsenal, l’exploitation de vulnérabilités constitue sans aucun doute le principal vecteur d’intrusion. Les méthodes d’infection employées peuvent alors prendre différentes formes :•    Infection par média amovible (CD, USB, cartes SD, …)

•    Infection par e-mail (pièce jointe ou un lien malicieux notamment)

•    Infection via le réseau interne (fichiers partagés)

•    Infection par visite d’un site Web

 

Le « Watering Hole » fait partie de la dernière catégorie : «Infection par site Web », autrement appelé «Drive-By Download». Cette dernière repose sur le principe suivant :

  1. Création ou compromission d’un site Web par l’attaquant (accès à l’interface d’administration, compromission des régies publicitaires pour injecter du code au sein des publicités affichées, découverte d’une vulnérabilité de type XSS…)
  2. Dépôt du malware sur le site (Ex : code JavaScript offusqué s’exécutant au chargement de la page, iframe contenant un ActiveX ou un applet Java malicieux hébergé sur un autre site, …)
  3. Compromission de la machine cliente. La victime est incitée à se rendre ou redirigée de manière automatique sur le site Web hébergeant le malware. Son navigateur exécute le code malicieux et un malware est installé à son insu sur son poste de travail ou son Smartphone, très souvent de manière transparente. L’attaquant dispose alors d’un accès partiel ou complet sur l’appareil infecté.

Simple attaque de type « Drive-by Download » ?
La subtilité de cette attaque réside dans le choix des sites Web initialement compromis (cf étape 1). En effet, en fonction de la cible, le choix est principalement réalisé en fonction de la localité de l’entité ciblée ou en lien avec son métier.

 

Plusieurs cas concrets récents peuvent être cités en exemple :

  • Professionnel : (politique/religieux/syndical…) Dans le cas d’Apple, de Microsoft ou de Facebook en février dernier, le site Web compromis était un site Web consacré au développement sur iPhone (iphoneDevSDK), site susceptible d’être visité par les développeurs des trois sociétés. La population cible peut également être plus restreinte comme l’illustre la compromission du site « http://www.rferl.org (Radio Free Europe Radio Liberty) ».
  • Géographique : En Septembre 2012 lors de l’attaque VOHO[1], les cybercriminels avaient compromis un site gouvernemental local au Maryland, celui d’une banque régionale dans le Massachusetts afin de compromettre les machines de populations spécifiques résidant ou travaillant dans les localités ciblées.
  • Et pourquoi pas Personnel : Il est tout à fait possible de voir le site du club de sport ou de musique où les enfants de la victime sont inscrits, être compromis…

 

Pourquoi utiliser cette méthode plutôt qu’une autre ?
En comparaison de l’envoi de phishing par exemple, cette méthode présente de nombreux avantages pour les attaquants :watering hole – scalable

 

Scalable :
Elle permet de couvrir un grand nombre de victimes « facilement ». Le «Drive-By Download» est largement utilisé dans le domaine de la permettant de compromettre un très grand nombre de machine rapidement ;

L’exploitation de vulnérabilités Java ou Adobe Flash récentes, peuvent permette de contourner les mécanismes de cloisonnement au sein des navigateurs Web et ainsi de couvrir de nombreux systèmes d’exploitation et navigateurs Web vulnérables différents

Efficace :
Couplée avec l’exploitation d’une vulnérabilité de type « 0-day », le taux d’infection peut être très élevé. Le rapport sur la campagne « VOHO »[2] publié par RSA et portant sur des attaques par « Watering Hole » recensait 32 160 machines infectées appartenant à 731 organisations pour un taux d’infection de 12%.

Discret :
Aucune action de l’utilisateur n’est nécessaire si ce n’est d’aller visiter ses sites Web habituels. L’absence de signaux rend également l’identification de la source de l’infection difficile. Enfin, la possibilité de filtrer les postes infectés (classe IP, langue du navigateur, localité …) permet de restreindre les dommages collatéraux et donc de limiter la visibilité de l’attaque.

 

Cette méthode présente cependant un certain nombre d’inconvénients :

  • Potentiellement, une phase de reconnaissance, consistant à identifier sur quels sites se rendent les futures victimes
  • Une phase de compromission de sites légitimes est nécessaire : les attaquants peuvent cependant identifier les sites vulnérables via des scans automatisés.
  • Les attaquants doivent réaliser une analyse post-infection afin de déterminer, pour chaque poste compromis, quel type de profil a été infecté et si le profil correspond à la cible (société, fonction, …)

 

 

A noter que le filtrage effectué afin de réduire le périmètre des postes compromis émergent également au sein des attaques par phishing.

 

Quels sont les mécanismes de défense ?
Face à ce type de menace, il n’existe pas de solution « miracle ». Il convient donc d’appliquer des bonnes pratiques afin de limiter les risques d’infection et d’être réactif en cas de compromission :

  1. [Mise  à jour du parc] – On constate que les vulnérabilités exploitées sont le plus souvent liées aux technologies Java ou à Adobe Flash. A minima, il convient de maintenir à jour le parc applicatif. Cependant, cette mesure peut ne pas être suffisante (cas des 0-day). Nous recommandons donc de les désinstaller lorsqu’ils ne sont pas nécessaires.
  2. [Filtrage Web] – Mettre à jour régulièrement en ajoutant automatiquement et au besoin manuellement les sites connus comme hébergeant des malwares au sien des listes noire des équipements de filtrage Web (nécessite de disposer d’un service de veille). De manière plus radicale, il est envisageable d’imposer la navigation Web pour des populations sensibles depuis des postes séparés du reste du réseau de l’entreprise.
  3. [Durcissement des postes] – Des mécanismes de contournement peuvent également être mis en place. Pour Java par exemple, il est possible de configurer le niveau de sécurité sur « high » de manière à n’exécuter les applets non signés qu’après validation manuelle de l’utilisateur. Des mesures similaires peuvent être appliquées sur le plug-in Flash. Il est aussi  possible de pousser des plugins comme « NoScript » afin d’interdire l’exécution de code JavaScript, Flash, Java …

 

Conclusion
La compromission par « Watering Hole » partage les mêmes objectifs que par « spear-phishing » et la même méthode d’infection que les attaques par « Drive-by download ».

Cette combinaison est ainsi surtout utilisée pour des attaques cherchant à s’introduire au sein d’une organisation, quel que soient les postes compromis.

Avec le temps et grâce aux campagnes de sensibilisations, les utilisateurs et en particulier les populations VIP sont de plus en plus précautionneuses quant à l’ouverture des pièces jointes aux courriels. Les attaques par « Spear-phishing » sont ainsi complétées par des attaques de type « Watering-Hole » qui ne nécessitent aucune action de la part de la victime si ce n’est de visiter ses sites Web habituels…


CYBERARNAQUES - S'informer pour mieux se protéger (Le Livre)
Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Livre CyberArnaques - Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Denis Jacopini, expert judiciaire en informatique diplômé et spécialisé en cybercriminalité, raconte, décrypte et donne des parades contre toutes les cyberarnaques dont chacun peut être victime.

Il est témoin depuis plus de 20 ans d'attaques de sites Internet, de piratages d'ordinateurs, de dépouillements de comptes bancaires et d'autres arnaques toujours plus sournoisement élaborées.

Parce qu'il s'est rendu compte qu'à sa modeste échelle il ne pourrait sensibiliser tout le monde au travers des formations et des conférences qu'il anime en France et à l'étranger, il a imaginé cet ouvrage afin d'alerter tous ceux qui se posent la question : Et si ça m'arrivait un jour ?

Plutôt que de présenter une longue liste d'arnaques Internet recensées depuis plusieurs années, Denis Jacopini, avec la collaboration de Marie Nocenti, auteur du roman Le sourire d'un ange, a souhaité vous faire partager la vie de victimes d'arnaques Internet en se basant sur des faits réels, présentés sous forme de nouvelles suivies de recommandations pour s'en prémunir. Et si un jour vous rencontrez des circonstances similaires, vous aurez le réflexe de vous méfier sans risquer de vivre la fin tragique de ces histoires et d'en subir les conséquences parfois dramatiques.

Pour éviter de faire entrer le loup dans votre bergerie, il est essentiel de le connaître pour le reconnaître !

Commandez sur fnac.fr | Commandez sur amazon.fr


Je me présente : Denis JACOPINI. Je suis l'auteur de ce livre coécrit avec Marie Nocenti, romancière.
Pour ma part, je suis Expert de justice en informatique spécialisé en cybercriminalité depuis 1996 et en protection des Données à Caractère Personnel.
J'anime des formations et des conférences sur le RGPD et la Cybercriminalité pour aider les organismes à se protéger des pirates informatiques et à se mettre en conformité avec la réglementation autour du numérique (dont le RGPD : Règlement Général sur la Protection des Données).

 

Quel est notre métier ?
Former et accompagner les organismes à se mettre en conformité avec la réglementation numérique (dont le RGPD) et à se protéger des pirates informatiques.

 

Quel sont nos principales activités ?

 

 

 

Denis JACOPINI DPO n°15945  Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadock
Notre Expert, Denis JACOPINI, est Expert en Informatique assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l'Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d'Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

« Mon métier consiste à mettre à votre disposition l'expérience que j'ai acquise pendant des dizaines d'années et les connaissances que je maintiens continuellement à jour par des formations, certification et diplômes permanentes car le savoir c'est comme une mise en conformité, c'est une démarche quotidienne qui permet une amélioration sur le long terme.
Denis JACOPINI
 »

 

 

Besoin d'un Expert ? contactez-nous
 




 

 


Source : http://www.lexsi-leblog.fr/cert/watering-hole-et-cybercriminalite.html

image_pdfimage_print
Similar posts

Aucun commentaire jusqu'à présent.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Accès direct aux Thèmes

Derniers articles


Le Net Expert - 1, les Magnolias - 84300 Cavaillon
Contactez-nous - Newsletter - Mentions légales
Connexion à distance