L’éditeur californien Vectra Networks, partenaire du spécialiste de la sécurité vaudois Navixia, a publié son second rapport «post-intrusions». Un document qui renseigne sur la nature des attaques ciblées échappant aux défenses périphériques (firewalls) et sur le comportement des attaquants une fois qu’ils ont pénétré dans un réseau. Se basant sur une analyse de données de plus de 250'000 ordinateurs hôtes, Vectra Networks a détecté que le nombre d’attaques a doublé par rapport à l’an passé. Tous les réseaux analysés ont subi au moins une attaque ciblée durant les six mois de l’étude. Celle-ci prend en compte les réseaux de 40 entreprises et institutions, dans des secteurs diversifiés (éducation, énergie, ingénierie, services financiers, gouvernement, santé, juridique, médias, vente au détail, technologie, etc.)
Mouvements latéraux et tunneling
Les indices de comportements malveillants les plus couramment observés (34% des détections) sont ceux qualifiés de mouvements latéraux, une propagation post-intrusion interne d’un virus avec tentatives de vol de mots de passe et d’identifiants d'accès au réseau plus profond, révèlent les experts de Vectra. Presque aussi fréquemment détectées (32%) que les mouvements latéraux: les attaques se connectant directement à un serveur de commandes et de contrôle. Pour ce dernier type de techniques malveillantes, l’étude met au jour une généralisation de l’usage de réseaux internet anonymes tels que Tor, qui rendent impossible la détection de la provenance du trafic intrusif. Cette augmentation de l’usage de Tor est même extrêmement marquée, souligne le rapport (qui l’évalue à 1000% entre 2014 et 2015). En outre, les cyber-pirates favorisent désormais clairement l’utilisation du cryptage SSL quand ils exploitent des techniques dites de tunneling. Le troisième type d’intrusions les plus détectées (18%) ne sont pas des attaques ciblées, mais en connexion à un botnet, c'est-à-dire un réseau de PC infectés servant de relais pour des opérations comme la diffusion de spams et de virus.
Davantage d’intrusions mais peu de vols de données
Les manœuvres dites de reconnaissance, opérées par les hackers pour identifier des cibles pertinentes après intrusion dans un réseau, représentent une part moindre des détections. Toutefois, Vectra observe que ces comportements de reconnaissance sont en nette augmentation et juge même leur fréquence alarmante. Leur augmentation indique en effet que les attaquants ont de plus en plus de succès dans leurs tentatives d'intrusion, soulèvent les auteurs. Ces derniers tentent néanmoins de rassurer les entreprises en informant avoir détecté peu de vol de données. « La bonnes nouvelle est que l'exfiltration de données continuent d'être la phase la plus rarement observée du cycle de vie des attaques, les entreprises ont été capables de détecter et de corriger les menaces avant qu’une perte de données ne se produise », concluent les experts.