Keren Elazari, analyste en sécurité, chercheuse et hacker éthique, nous invite à voir la cybersécurité du point de vue des hackers lors de son discours lors de la conférence Empower Prague 2023 de N-able.
Partageant sa vision des pirates en tant que héros, Elazari raconte des incidents de criminels frappant des hôpitaux et ciblant des fichiers Microsoft Word et Excel.
Voici les principaux points à retenir de son discours – ils pourraient même vous inciter à envisager de faire appel à un hacker éthique pour votre entreprise.
1. Les hackers construisent le système immunitaire du monde numérique
Tout d’abord, Elazari présente une image de ce à quoi ressemble un « hacker typique » : pièce sombre, sweat à capuche. Mais elle conteste cela avec l’image du bon hacker, comme celles représentées dans le film de 1995 Les pirates avec Angelina Jolie, une grande inspiration pour Elazari durant son enfance à Tel Aviv.
Elle qualifie les hackers de « système immunitaire de notre ère numérique », composé de bons et de mauvais acteurs. « Les pirates nous aident à identifier les problèmes », dit-elle. « Oui, il existe de nombreux pirates malveillants, cybercriminels, terroristes et espions qui utilisent des capacités et des exploits à sens unique neutralisés. Mais il y a tellement de pirates sympathiques, tout comme les bonnes bactéries qui font partie de notre propre système immunitaire.
2. Les pirates sont les premiers à adopter les nouvelles technologies
Les pirates se tournent souvent vers les nouvelles technologies en premier. « Souvent, ce sont eux qui trouveront le moyen d’utiliser et d’abuser des nouvelles technologies avant même que quiconque ne s’en aperçoive. Donc, en tant que professionnels de la sécurité, en tant que défenseurs, nous ne pouvons pas nous permettre de ne pas apprendre de ce que font les méchants », dit-elle.
3. L’écosystème cybercriminel regorge d' »innovations malveillantes »
« Il y a une innovation incroyable dans l’écosystème cybercriminel », déclare Elazari au public alors qu’elle se plonge dans les histoires de l’attaque du rançongiciel Ryuk qui a touché les hôpitaux aux États-Unis et en Europe pendant la pandémie.
« Pendant Covid-19, nous avons tous connu des changements différents dans nos vies », dit-elle. « Les criminels ont connu une renaissance, l’expérience et l’opportunité de muter, d’améliorer et de faire évoluer leur code, leurs produits et leurs capacités.
«Ils ont également trouvé de nouveaux vecteurs d’infection, tout comme nous avions affaire à des virus qui nous infectaient en tant qu’humains, ils ont trouvé de nouvelles façons d’entrer dans différents appareils et systèmes. Les e-mails, qui sont des identifiants classiques volés, des mots de passe volés qui ont déjà été divulgués en ligne dans diverses bases de données, des exploits directs des systèmes de communication à distance, des postes de travail distants ou des VPN distants, trouvant des exploits dans ces produits.
4. Les criminels utilisent l’automatisation depuis longtemps
Alors que le grand public commence tout juste à s’éveiller à l’intelligence artificielle, ce n’est vraiment pas nouveau pour les pirates malveillants. « Les criminels utilisent déjà l’automatisation. Ils n’appellent pas cela l’IA ou l’apprentissage automatique, mais ils utilisent l’automatisation tout au long de leur chaîne d’approvisionnement. Ils utilisent l’automatisation pour la traduction de texte, de sorte qu’ils créent des e-mails dans 20 à 30 langues différentes. Ils localisent l’image et le contenu pour cibler des organisations et des personnes spécifiques dans des secteurs, et ils effectuent des tests A/B pour comprendre quels e-mails incitent les gens à s’engager davantage.
Ils disposent également d’une automatisation fantastique, avec des outils de collecte d’informations d’identification, des outils de bourrage d’informations d’identification et des outils de craquage de mots de passe. Avec les attaques sur les systèmes de communication à distance, ils utilisent la numérisation et l’exploitation qui est déjà automatisée et qui l’est depuis six ou sept ans, selon Elazari.
« Bien que oui, nous parlons d’IA dans le contexte de la cybersécurité, je veux que vous compreniez que pour les cybercriminels, l’automatisation fait déjà partie de leur chaîne d’approvisionnement à l’état d’infection, à l’étape d’exploitation et à l’état de cryptage depuis des années. Certaines des premières souches de rançongiciels à succès comportaient une automatisation intégrée », dit-elle.
5. Ils sont en avance sur le jeu
Microsoft publie généralement des correctifs ou des mises à jour pour les vulnérabilités qu’il a découvertes le premier mardi de chaque mois, connu sous le nom de Patch Tuesday. Ce sont des vulnérabilités que l’écosystème dans son ensemble ne connaissait pas. Donc, il y a Patch Tuesday, Exploit Wednesday et Uninstall Thursday. Ce qui se passe généralement lors d’Exploit Wednesday, c’est qu’il y a une augmentation de nouvelles attaques et exploits tirant parti de toutes ces vulnérabilités qui viennent d’être corrigées. Certaines de ces vulnérabilités sont vraiment très graves.
Le Patch Tuesday d’avril était « un vrai doozy », dit Elazari. « Parmi les vulnérabilités révélées dans le Patch Tuesday du mois dernier, près de 50 % d’entre elles sont l’exécution de code à distance. C’est le genre de chose qui donne aux hackers comme moi cette sensation agréable, floue et pétillante, parce que c’est ce que nous voulons réaliser : l’exécution de code à distance. Surtout si nous pouvons le faire sans autorisation, authentification ou privilèges, nous pouvons le faire facilement. Avec ces vulnérabilités, c’était possible et parmi les presque centaines de vulnérabilités qui ont été corrigées.
Elle souligne que toutes les entreprises ou clients ne mettent pas à jour ces correctifs et que cela peut les exposer à des attaques : « Les criminels ne se déplacent pas simplement très rapidement. Lorsqu’il y a de nouvelles vulnérabilités qu’ils peuvent exploiter en quelques heures.
6. Les pirates utilisent la psychologie pour tromper leurs victimes
Les pirates utilisent la psychologie ainsi que la technologie. Elazari explique une astuce où les pirates cachent un logiciel malveillant dans un document Microsoft Word et le document Word prétend avoir été créé sur Windows 11 Alpha. Il s’agit prétendument d’une version uniquement destinée aux développeurs, mais dans ce cas particulier, il s’agit simplement d’un moyen d’amener les gens à interagir avec le document. Pour afficher le contenu, vous devez cliquer sur la barre dorée indiquant « Activer l’édition » et « Activer le contenu ».
« Les criminels indiquent aux gens quoi faire, afin que la charge utile malveillante interagisse avec votre machine. Les gens sont généralement gentils et ils se conforment. Maintenant, bien sûr, ce ne sont pas toujours des documents Word ou PDF. Parfois, c’est aussi Excel », dit-elle au public. « Ils utilisent vraiment l’avertissement de sécurité et le subvertissent. »
7. Ils ont des modèles commerciaux professionnels
Nous apprenons qu’un pirate informatique ukrainien a divulgué des fichiers d’une organisation cybercriminelle pro-russe – toutes leurs informations, tous leurs journaux, leurs journaux de discussion, de nombreux détails sur leur fonctionnement.
« De ces journaux, nous apprenons des choses fascinantes. Par exemple, ce ne sont pas des pirates informatiques assis dans un sous-sol avec des sweats à capuche, ce sont des gestionnaires et des planificateurs, et ils sont assis dans des immeubles de bureaux, dont certains à Saint-Pétersbourg. Ils font une planification stratégique. En fait, ils prévoient d’ouvrir six bureaux supplémentaires et d’en embaucher 50 pour ajouter des personnes d’ici la fin septembre 2022. Et ils investissent 20 millions de dollars par an dans leur infrastructure et leur croissance. Votre organisation dépense-t-elle 20 millions de dollars par an dans votre infrastructure et votre croissance ? C’est très impressionnant », dit Elazari.
Essentiellement, les documents montrent qu’ils fonctionnent comme une organisation. Ils ont un département RH, des évaluations de performance et des concours d’employé du mois. « Apparemment, certaines des personnes qui travaillaient pour cela ne savaient pas tout à fait qu’elles travaillaient pour des organisations criminelles », ajoute-t-elle.
Il s’avère que d’autres groupes criminels se disputent des parts de marché. Elazari introduit le concept de Ransomware as a Service, populaire auprès des cybercriminels. Un groupe Ransomware as a Service particulièrement réussi est LockBit et le produit LockBit 2.0. La particularité de LockBit – et quelques autres groupes de rançongiciels ont fait de même – est le modèle de double extorsion. Ils ne se contentent pas de crypter les fichiers, ils menacent également de rendre tous les fichiers publics dans l’espoir que cela entraînera des frais d’extorsion plus élevés, des taxes et des frais plus élevés de la part de leurs victimes.
Elazari montre la note de rançon LockBit de la tristement célèbre attaque d’Accenture : « Il contient toutes les informations utiles sur les éléments infectés, yada, yada, contactez-nous si vous souhaitez accéder à vos fichiers. Mais il y a aussi ceci, ‘Voulez-vous gagner des millions de dollars ? Notre entreprise nécessite l’accès à des réseaux d’organisations diverses pour venir travailler avec nous. Voici comment nous contacter sur le Darknet.' »
Les attaquants ont également des mentions de produits : « Nous sommes l’une des meilleures offres de conception sur le marché avec un accent sur la vitesse de cryptage ainsi que sur la fonctionnalité. »
« Maintenant, ils ne se contentent pas de se vanter, ce n’est pas seulement des relations publiques vides, il y avait en fait une technologie testée pour vérifier la vitesse de cryptage, et LockBit est en effet assez rapide. Ils rivalisent sur ces aspects. Ils se font concurrence sur les parts de marché, ils se font concurrence sur la vitesse. Et ils donnent même des interviews. Il y a une chaîne YouTube où LockBit a donné une interview, et on leur a demandé qui ils ciblaient et pourquoi ils ciblaient différentes organisations. Et de leur point de vue, ils ont dit : ‘Eh bien, s’ils peuvent obtenir de l’argent, c’est tout ce qu’ils veulent.’
L’une des raisons pour lesquelles LockBit connaît un tel succès est due au modèle Ransomware en tant que service, de sorte qu’ils peuvent réellement créer la plate-forme de ransomware, puis travailler avec des criminels de niveau inférieur pour déployer le ransomware en échange d’environ 20% de commission sur le dessus de l’argent de la rançon qu’ils extraient.
« Imaginez que nous sommes à Sand Hill Road dans la Silicon Valley, où tous les fonds de capital-risque ont leurs bureaux », explique Elazari. « Imaginez que j’y sois et que je présente une entreprise à une organisation. Et j’ai toutes ces choses, ils appelleraient ça de l’innovation. Ils diraient : « Voici notre chéquier, nous aimerions investir ». Nous voyons des cybercriminels investir des millions et des millions dans leur évolution, dans leur développement, et ils sont maintenant plus rapides que jamais. »
Ce que nous pouvons faire
Elazari explique que le passage au cloud, en particulier pour vos clients, aide à résoudre de nombreux problèmes. Il aide à faire face à la rapidité avec laquelle les pirates opèrent, car vous pouvez ajouter et déployer les dernières mises à jour en quelques secondes, et vous savez ce qui se passe. Vous pouvez bénéficier de la puissance du cloud en ce sens qu’il ne s’agit pas seulement de vous ou de vos clients. Il s’agit de tout le monde. Il s’agit de protéger tout le monde et d’utiliser la sagesse de la foule et de construire ce système immunitaire numérique. Et dans certains cas, c’est en apprenant des hackers.
« Quand je regarde 2023, je vois qu’il y a beaucoup d’investissements dans la R&D et l’innovation dans l’espace technologique, également par les méchants. C’est une opportunité pour nous d’évoluer et de créer de meilleurs services technologiques pour aider nos clients et les personnes avec lesquelles nous travaillons. Je vois que les budgets de sécurité augmentent en portée, mais pas en nombre d’employés. Les directeurs de la sécurité et les directeurs de l’information doivent faire plus avec moins, ils doivent montrer plus de résultats, des informations plus exploitables avec moins de personnes. Ils sont plus susceptibles de travailler avec n’importe quel fournisseur de cloud, plus susceptibles de travailler avec un fournisseur de sécurité gérée, donc c’est en fait un ciel bleu devant et un océan bleu.
« Je crois que nous avons besoin de plus de pirates humains à la rescousse », dit-elle. «Même des entreprises comme Microsoft et Twitter utilisent des pirates humains et des programmes de primes de bogues où les pirates sont payés pour identifier les vulnérabilités comme dans le Far West, où le shérif distribue une prime. Ils utilisent ces programmes pour corriger leurs modèles d’IA. »
En savoir plus sur les pirates
Guide de l’ère de l’information pour recruter des pirates éthiques – Sans ralentissement du nombre de cyberattaques en vue, étonnamment, il y a une bonne nouvelle : tous les pirates ne sont pas là pour nuire à votre entreprise. C’est vrai, il y a un marché croissant de hackers éthiques qui veulent gagner de l’argent en protégeant les organisations
L’évolution du hacker : ce que les entreprises doivent savoir – Que peut-on faire pour se défendre contre tous les types d’attaquants ?
Penser comme un hacker : Crucial pour les entreprises dans l’atténuation de la cybermenace – Comment les organisations peuvent-elles devancer les cybercriminels ? Le meilleur conseil serait de penser comme un hacker