La dissimulation est l'avenir de la Cybersécurité

Pour prouver notre affirmation, aventurons nous dans le passé.
Au cours de la Seconde Guerre mondiale, les Alliés ont utilisé toutes sortes de dissimulation pour tromper leurs ennemis. Ils faisaient penser qu’ils avaient plus de troupes et d’armes à leur disposition que ce qu’ils n’avaient réellement.
Deux exemples concrets illustrant ces faits :
– En Afrique du Nord, un sous lieutenant, fils de magicien a utilisé les même techniques d’illusion que son père pour tromper l’ennemi. Cette technique s’est révélée décisive dans plusieurs batailles clés.
– La plus grande tromperie militaire de tout les temps fut l’opération « Fortitude ». Les alliés ont réussi jusqu’au dernier moment à cacher aux nazis l’endroit où les débarquements du jour D auraient lieu.
Les mêmes principes de dissimulation commencent à être utilisés par certaines organisations pour empêcher les pirates malveillants de s’introduire sur les réseaux internes des entreprises.

« C’est une technique utilisée pour empêcher l’adversaire d’avoir une véritable compréhension de votre réalité », a déclaré Ori Bach, de la firme de technologie Trapx. « Les Alliés de la Deuxième Guerre mondiale ont fabriqué de faux chars, de fausses bases aériennes, des faux soldats pour cacher leurs véritables forces et intentions ».
« Nous créons un réseau secondaire imitant avec exactitude le réseau réel », a-t-il déclaré.

De l’Honeypot jusqu’au faux réseau

Pour cela, la société utilise un « honeypot« . C’est un ordinateur qui, au yeux des logiciels des hackers, ressemble à un serveur d’entreprise. De nombreuses grandes entreprises de sécurité ont mis en place de nombreux « honeypot », pour recueillir des renseignements sur les logiciels malveillants utilisés pour hacker.
Le problème des « honeypot » est qu’ils sont passifs et ne peuvent donc pas protéger réellement le réseau.
Il est vrai que la technologie de dissimulation doit être utilisée à une échelle considérable, de sorte que tout attaquant qui se présente ait peu d’indice sur ce qui est réel et ce qui est faux.
En règle générale, le réseau falsifié devra être conçu pour avoir des failles d’un niveau assez simple, de sorte que les pirates obtiennent rapidemment les informations qu’ils sont venu chercher. L’important est d’emmener le hacker vers le mauvais chemin. (mauvais réseau)
Ces faux éléments doivent comporter des données que les pirates aient envie de voler, tels que les données de paiement, les détails du client, les identifiants de connexion ou une propriété intellectuelle.
Dès que les pirates commencent à interagir avec ce faux réseau, tout ce qu’ils font est enregistré. Cette intelligence peut être extrêmement utile, car cela mettra en évidence les techniques et logiciels qu’ont utilisé les hackers pour entrer.

« L’intrusion initiale a probablement été faite avec quelque chose de simple comme un spam par email ».
« Ce qui est beaucoup plus intéressant est de découvrir les techniques et logiciels utilisés lors de la deuxième étape ».

Les organisations examinent rarement cette deuxième étape, car une fois qu’un attaquant a compromis un réseau, il prend les mesures nécessaires pour effacer les preuves de ce qu’il a fait, de l’endroit où il est allé et de quel logiciel il a utilisé.

L’utilisation de Sandbox

« Les organisations ne sont pas obliger d’engager d’énormes quantités de ressources dans les systèmes de dissimulation pour ralentir et contrecarrer les pirates informatiques », a déclaré Kelly Shortridge, chef de la sécurité de la firme BAE.

Au lieu de cela, a t-elle dit, des techniques plus simples peuvent également aider à détourner les attaquants et leur faire perdre du temps.
Un grand nombre de logiciels malveillants sont en mesure de détecter s’ils se trouvent à l’intérieur d’une « sandbox » – un conteneur virtuel permettant de s’assurer que le code malveillant n’atteigne pas les systèmes actifs.
En effet, de nombreuses entreprises utilisent des systèmes mettant tous fichiers suspects directement dans des sandbox. Les fichiers mal intentionnée ne pourront donc pas nuire aux systèmes actifs.
Il faut savoir que les nouvelles catégories de logiciels malveillants ne se mettront pas en marche s’ils se sentent à l’intérieur d’une sandbox.
En imitant les caractéristiques des sandbox, il est possible de tromper ses logiciels malveillants afin qu’ils ne se déclenchent jamais.

Une perte de temps et d’argent

Ce n’est pas seulement la collecte d’informations sur les attaques qui rend les systèmes de dissimulation si utiles, a déclaré M. Bach de Trapx.

« En leur fournissant des cibles, ils dépensent leur ressource la plus précieuse : le temps », a-t-il déclaré.

Au lieu de passer du temps à essayer de s’introduire dans un réseau réel, l’attaquant qui est détourné vers le système falsifié ne sera pas en train d’attaquer une autre cible.
Il faut savoir que les cyber-voleurs utilisent des logiciels uniques et très onéreux pour découvrir les vulnérabilités de vos systèmes. Ils achètent ces logiciels sur le Deep Web, le côté sombre d’internet.

« Les hackers ont du investir une somme importante pour acquérir ces logiciels que peu de monde possède. Ils vont utiliser cette arme dangereuse pour attaquer un leurre…Cela représente une victoire pour les défenseurs », a-t-il déclaré.

Nous sauront avec exactitude quel logiciel a été utilisé. Cela nous permettra de gagner du temps ainsi que de précieuses informations sur ses logiciels inconnues jusqu’alors. Les entreprises de cybersécurité pourront partager ces données avec d’autres entreprises afin qu’ils puissent correctement  préparer une défense solide.
Trouver et acheter des logiciels uniques pour hacker est un processus long et coûteux, a déclaré M. Bach, et le rendre inutile aura des conséquences à long terme pour les groupes de pirates.

« L’objectif principal des cyber-voleurs est de gagner de l’argent », a-t-il déclaré. « S’ils ne reçoivent pas l’argent qu’ils ont investi, cette entreprise criminelle devra fermer tôt ou tard ».