[:fr]La sécurité informatique était un domaine encore très lointain il y a une dizaine d’année pour toutes les entreprises. Aujourd’hui, des équipes dédiées à la sécurité des systèmes d’information sont constituées à l’intérieur même des entreprises et d’autres se spécialisent dans la réalisation d’audit de sécurité et de tests d’intrusion.

Les technologies évoluent, et avec elles les techniques d’intrusion, mais aussi de défenses des systèmes. Parmi les prestations les plus efficaces lors de la sécurisation d’un système, on retrouve bien entendu le test d’intrusion. Le principe étant pour une équipe venant d’une entreprise externe, dédiée à cette tâche, d’agir comme le ferait un attaquant réel pour tester la sécurité d’un système d’information donné en conditions réelles.

Une nouvelle tendance émerge du côté des attaquants, les techniques d’intrusion se professionnalisent, s’industrialisent et s’étendent dans le temps. Là ou des pirates “amateurs” n’avaient qu’à exécuter un script sur un système vulnérable autrefois, des équipes expérimentées peuvent passer des mois sur une seule et même cible aujourd’hui. Cette nouvelle tendance des pirates informatiques rentre dans le champ de ce qui est nommé APT (Advanced Persitent Threat), mais ne se limite pas à cette définition.

Les entreprises de sécurité s’adaptent à cette nouvelle tendance en proposant depuis peu une nouvelle approche dans la réalisation d’un test d’intrusion : L’approche Red Team.

L’objectif d’un pentest “standard“, comme ils existent depuis des années, est de lister un grand nombre de vulnérabilités sans lien concret entre elles, du moins le lien établi entre l’exploitation d’une vulnérabilité et une autre n’est pas une condition obligatoire à sa présentation dans un rapport final.

Dans une approche Red Team, l’objectif de l’équipe attaquante est de tracer un chemin partant d’une personne extérieure à l’entreprise jusqu’à la réalisation d’une ou plusieurs actions critiques au sein du système d’information ciblé, par exemple :

• Accès à des informations sensibles
• Endommagement du système avec un impact sur la productivité de l’entreprise
• Impact sur la chaîne de production pour les systèmes SCADA (Supervisory Control and Data Acquisition)/ICS (Industrial Control System)
• Infection durable et profonde dans les systèmes (malware/botnet)

Dans un pentest à l’approche Red Team, l’équipe attaquante (nommée Red Team) doit être en mesure de montrer qu’une suite d’actions, de l’information gathering à la post exploitation, peut amener un utilisateur externe à causer des dommages importants à l’entreprise ciblée.

Pour se faire, l’approche Red team opte pour une organisation différente des pentests habituels. Ces derniers sont généralement organisés sur plusieurs jours, voire semaines, durant lesquelles l’équipe de sécurité de l’entreprise visée est vaguement ou précisément au courant de ce qui va être attaqué et quand.

Dans une approche de type Red Team, l’espace temporel entre le début et la fin du test d’intrusion est beaucoup plus large, ainsi, les équipes de sécurité ne savent pas quand l’attaque se fera, ni sous quelle forme. Dans de tels contextes, l’équipe de sécurité du système visé est nommée la “Blue-Team“.

Cet allongement des délais vise avant tout à reproduire le schéma et l’évolution actuelle des choses en matière d’attaques réelles (type APT, mais pas seulement). En effet, il a été montré que les pirates n’hésitent aujourd’hui plus à prendre leur temps en espaçant les différentes phases d’exécution d’une intrusion (scanning, recherche de vulnérabilité, exploitation, etc…). Cela principalement pour rester en dehors des radars habituels mis en place (type IDS/IPS). Ces derniers fonctionnent principalement en agrégeant les logs puis en remontant tout comportement inhabituel sur une période donnée.

Techniquement, un même nombre de d’attaque passeront beaucoup plus discrètement si elles sont espacées sur trois mois plutôt que sur deux heures aux yeux d’un système de détection d’intrusion.

En exemple, nous pouvons prendre ce piratage de la Maison Blanche qui a duré plusieurs mois jusqu’à aboutir à l’extraction de documents sensibles : http://www.nextinpact.com/news/93759-un-piratage-a-maison-blanche-qui-dure-depuis-mois.htm

De plus, cela complique également la tâche des équipes de forensic (recherche post-intrusion) qui doivent alors rechercher des informations concernant une attaque qui est très espacée dans le temps, les liens entre les comportements suspects sont alors plus difficiles et plus long à établir.

L’approche Red Team : Quel intérêt en rapport à un pentest standard ?

Pour résumer, nous pouvons dire que l’objectif lors de la commande d’un test d’intrusion en mode Red Team n’est pas le même qu’un pentest standard.

L’important est d’ajuster le choix du type de pentest (black box, white box, grey box, Red team) en fonction de son besoin, de l’évolution actuelle de son système d’information et également  des conclusions qui émanent de l’analyse des risques.

Les personnes susceptibles de vous attaquer vous semblent-t-elles capables de reproduire un comportent propre à celui d’un test d’intrusion Red team ? Que vous soyez un géant du nucléaire ou de la vente en ligne ou alors une entreprise plus modeste sans concurrents directs agressifs ne vous amènera pas aux mêmes conclusions en ce qui concerne le choix d’un approche ou d’une autre.

L’approche Red team vise avant tout à reproduire le schéma des attaques de type APT (Advanced Persitent Threat) ou assimilées. Ce terme vise à décrire les attaques techniquement poussées et généralement opérées par des organisations gérées par des états et des gouvernements ou alors de très grandes entreprises, voir par des organisations terroristes.

Egalement, l’approche Red Team lors d’un test d’intrusion vise à tester les capacités de détection et de réaction de l’équipe de défense (Blue Team) et des systèmes de protection en place de façon beaucoup plus poussée.

En plus des techniques d’intrusion utilisées qui peuvent être beaucoup plus larges et abouties que dans un pentest standard réalisé en quelques jours. L’approche Red Team permet également la réalisation de campagnes de social engineering (toujours faites en accord avec le client, notamment pour des raisons juridiques) qui sont plus proches des campagnes en conditions réelles, des investigations plus poussées peuvent être faites sur l’entreprise, différents types de campagnes peuvent être lancées…

L’approche Red Team tend aujourd’hui plus à devenir une offre supplémentaire proposée par les entreprises de sécurité qu’à remplacer les tests d’intrusion habituels. Cela car elles s’adaptent aux risques auxquels doivent faire face leurs clients.

Mickaël

Consultant Sécurité

[:]