Une attaque « ordinaire » – Episode 1

Quelles sont les techniques utilisées par les pirates pour attaquer les entreprises? Et surtout, comment les contrer ? Une série en 4 volets, pour mieux vous protéger.

Les attaques informatiques sont de plus en plus fréquentes, de plus en plus sophistiquées, de plus en plus probables… et de plus en plus coûteuses. La faute au professionnalisme croissant des hackers, à la commercialisation de kit d’attaques, mais aussi, parfois, aux entreprises qui ne déploient pas toutes les mesures et protections disponibles.  Illustration avec cette série d’articles en 4 épisodes : découvrez comment Contoso (une entreprise fictive) va être la cible d’une attaque, quelles seront les techniques utilisées pour l’attaquer mais aussi celles mises en place par Contoso pour se défendre. Une histoire inventée, simplifiée, mais inspirée de faits réels. Et qui pourra vous aider à mieux vous protéger.

 

JPhilippe Klein
Jean-Philippe Klein

Senior Presales Engineer – Threat Management

 

Antoine Journaux
Antoine Journaux

Presales Engineer on Advanced Security Solutions

 

 

***
Cette histoire est complètement fictive, elle ne représente en rien une société existante ou ayant existée, ni une attaque ayant eu lieu. Le scénario est simplifié et les techniques sont là à titre d’exemple. Cependant, elles ont déjà été employées lors d’attaques réelles.
***

Etape 1 – La découverte 

 La société Contoso, spécialisée dans le conseil économique aux entreprises dispose d’une implantation internationale. Elle est aujourd’hui prise pour cible par un groupe d’attaquants, que nous nommerons APT999. Pour donner suite à une « commande », APT999 vise la Direction Financière et les informations internes relatives aux activités et à la santé de l’entreprise. 

Afin de cibler au mieux la société, l’objectif premier des pirates est de collecter un maximum d’informations, en se servant de celles disponibles publiquement. Parmi ces informations, l’attaquant a entre autres été capable de récupérer les rôles et les noms d’utilisateurs de certains employés de Contoso et notamment de la DAF (Directrice Administrative et Financière), Marie Schmid. 

Le profil LinkedIn de Marie Schmid, DAF de Contoso
Le profil LinkedIn de Marie Schmid, DAF de Contoso

 

Une fois la cible identifiée, il a été facile de retrouver la convention de nommage des comptes utilisateurs de Contoso, en se basant sur l’email de Marie et en extrapolant aux autres utilisateurs.

Extrait d'une présentation réalisée par Marie Schmid, contenant son adresse mail.
Extrait d’une présentation réalisée par Marie Schmid, contenant son adresse mail.

 

Les informations LinkedIn, la présentation de Marie et une extrapolation permettent ainsi aux pirates d’établir un organigramme de la cible :

Organigramme de Contoso recréé par APT999
Organigramme de Contoso recréé par APT999

 

Durant cette phase de collecte, APT999 a également noté que Contoso utilise un service de messagerie et de collaboration en ligne, Office 365, en vérifiant par exemple les enregistrements DNS :

Enregistrements DNS publics pour contoso.com
Enregistrements DNS publics pour contoso.com

Avec ces informations, la seconde étape va consister en une attaque de type « Password Spraying ».  Il s’agit de tester un ensemble limité de mots de passe sur un ensemble de compte, pour, à l’inverse d’une tentative par « Force Brute », rester discret et ne pas déclencher les blocages des comptes ou les alertes.

 

Lors de cette attaque de type « Password Spraying », plusieurs comptes vont être exposés, car leurs utilisateurs avaient des mots de passe faisant partie des plus communs. Parmi ceux-ci, les mots de passe de Marie et de Guillaume sont découverts :

Résultat du Password Spraying
Résultat du Password Spraying

Bien que le mot de passe de Marie ait été découvert, les pirates ne peuvent accéder à sa messagerie :

L’accès au compte de Marie Schmid, DAF, est protégé par un second facteur
L’accès au compte de Marie Schmid, DAF, est protégé par un second facteur

En effet, Contoso a déployé une solution d’authentification multi-facteurs pour ses utilisateurs, en l’occurrence Azure MFA, inclus au sein de la suite Enterprise Mobility+Security. Cette règle d’accès conditionnel impose un accès aux applications Cloud depuis un périphérique d’entreprise, et si ce n’est pas le cas, déclenche une demande de second facteur comme cela est visible  dans la capture ci-dessus.

 

Cependant, cette solution n’est pas déployée sur l’ensemble des comptes employés Contoso. APT999 qui possède le mot de passe de Guillaume, actuellement en stage au sein de la direction financière du groupe, accède à sa boite aux lettres sans que lui soit imposé un second facteur d’’authentification :

Le compte de Guillaume, stagiaire, est accessible sans second facteur
Le compte de Guillaume, stagiaire, est accessible sans second facteur

 

Ça y est : une première brèche a été ouverte : APT999 a maintenant un pied chez Contoso.

Tout cela au travers du compte d’un stagiaire, qui était moins sécurisé que le compte de la DAF. Comment les pirates vont-ils s’en servir désormais ? Quelle sera la prochaine étape de leur attaque ? C’est ce que nous découvrirons dans le deuxième volet de cette série.

Vous pouvez aussi trouver plus d’informations sur la gestion des accès via les ressources suivantes :