Bien qu’en général ce type de rapport ne présente que peu d’intérêt à mes yeux, il y en a bien un qui fait exception : celui de Verizon. C’est pourquoi j’ai décidé de vous en parler aujourd’hui. Ce rapport est une analyse des différentes compromissions sur lesquelles Verizon a effectué des foreinsic sur l’année, et en livre une analyse globale, le pourquoi, le comment, le qui. Pour une fois que le gigantisme d’une entreprise présente des avantages !

Ici cette entreprise internationale peut se targuer d’avoir une vision presque exhaustive des compromissions, et les données et faits présentés dans cette analyse sont les résultats de constations effectués au cours des forensic (149 cas ont ici étés utilisés pour cette analyse) que pratique Verizon pour ses clients.

En effet, le databreach report 2010 regorge, comme à son habitude, d’informations intéressantes, et de beaucoup de statistiques, souvent surprenantes.

Rentrons dans le vif du sujet :

  • 86% de victimes disposent, dans leurs logs, de traces de l’intrusion, qui auraient généralement suffit à mettre en échec l’attaquant, ou à le retrouver.
  • 94% des victimes faisaient partie des services financiers.
  • 85% des attaques émanent de groupes criminels connus.

Avant de rentrer plus en détail dans l’aspect statistique, il faut savoir que l’année 2009 a connu une baisse significative de vols de numéros de cartes bancaires par rapport aux années précédentes.

Cette information est cependant à prendre avec des pincettes, puisque l’on ne découvre en général ces vols que lors des transactions frauduleuses. Or, les lois des marchés s’appliquant aussi au marché illégal, il est possible que l’équilibre entre l’offre et la demande soit actuellement compromis. Il est envisageable que beaucoup de vols aient étés commis, mais que les transactions n’ayant pas encore étés effectuées, et donc que ces vols ne soient pas encore connus.

La récente condamnation de Albert Gonzalez, qui a pris 20 ans de prison pour la plus grande opération de vol de numéros de carte bancaires connue de l’histoire, en a probablement refroidi plus d’un …

Un schéma (classique) ressort généralement dans les vols les plus importants : le/les pirates pénètrent d’abord le LAN en utilisant une erreur de configuration ou une vulnérabilité triviale, puis installent des malwares sur les postes de travails et les serveurs afin d’extraire l’information monayable.

L’utilisation de malware (drive-by-downloads post compromission, infection des postes etc.) n’est présente que dans 38% des cas mais représente 94% en volumes de données volées.

L’analyse va jusque dans le comportement dudit malware : dans plus de 70% des cas il s’agit « simplement » d’une backdoor ou d’une action type spyware/keylogger. De plus (et c’est une donnée qui me fait « plaisir ») 97% des données volées l’ont étés grâce à des malwares « fait maison » ou « customizés » et donc invisible des anti-virus.

Quand on parle de ce schéma, vous vous demandez par ou cette première « compromission » a pu arriver, bien que certains d’entre vous s’en doutent déjà … L’injection SQL fête donc son 10 ème anniversaire en grande pompe, puisqu’il s’agit (et de loin) du vecteur d’attaque le plus utilisé pour la compromission externe qui précède l’implantation de malwares sur les postes de travail/serveurs.

Espérons que ce vecteur d’attaque ne restera pas en tête d’affiche pendant de trop nombreuses années (non je ne suis pas utopiste, juste plein d’espoir) et que les sociétés vont « finalement » se mettre à former leurs développeurs comme il se doit et que l’on arrêtera de croiser des développeurs qui « ont vaguement entendu parler des injections SQL, mais ne savent pas vraiment ce que c’est » (lire : je ne sais pas les détecter, les tester, ou les corriger).

Un point intéressant de ce rapport, concerne le nouveau terme à la mode (pas si nouveau, mais qui s’est répandu en 2009 dira-t-on)  « APT » Advanced Persistant Threat, directement lié à l’attaque sur Google (et les 30 autres sociétés ciblés). Il s’agit là d’un débat à part, et je ne rentrerais pas dedans. En revanche, cela me permet de rebondir, de manière plus générale, sur le niveau des attaques employées.

Je ne ferais pas plus durer le suspens :

  • 13% des attaques ne requéraient aucune connaissance technique
  • 28% des attaques étaient du niveau  « script kiddie » (tout débutant aidé de Google)
  • 44% des attaques demandaient des connaissances techniques modérées
  • 15% des attaques impliquaient un niveau technique avancé, et impliquaient beaucoup de customisation (dans les outils utilisés et/ou les méthodes d’attaque) ou des ressources importantes

L’autre question qui me taquinait – et je l’espère, vous aussi – était : Attaque opportuniste vs attaque ciblée ?

Si les attaques ciblées ne représentent que 27% du nombre des intrusions, elles représentent en revanche 89% du volume de données volées, et les attaques opportunistes, pour 70% des attaques, ne représentent que 11% du volume de données volées.

Pour finir, je vous recommande de lire tout ce rapport (si vous êtes arrivés jusque ici c’est que ce sujet vous a plus ou moins intéressé) car, comme vous vous en doutez, je n’ai pu vous relater ici qu’un échantillon des données qu’il contient, et au final, 66 pages (en anglais), ce n’est pas si long.

Thibault Koechlin
Thibault est le RSSI de NBS System et encadre l’équipe Sécurité de l’entreprise. Spécialiste des prestations de sécurité, qu’il effectue toujours pour nos clients, il est également créateur de NAXSI, un pare-feu applicatif open source, et de CerberHost, une solution de Cloud sécurisé unique sur le marché.