Retour sur la conférence CoRI&In 2020 …

Par Guillaume Cheron
Publié le 10 mars 2020
Lecture : 14 min.
Comme chaque année depuis 2015, en parallèle du FIC (Forum International de la Cybersécurité) se déroule la conférence CoRI&IN: Conférence sur la Réponse aux Incidents & l'Investigation Numérique.
7 #Techno

Notre équipe sécurité a pu assister aux différentes présentations de cette conférence, et vous propose un récapitulatif des sujets les plus marquants.

Au programme, 10 talks très divers, tant sur la nature des sujets abordés, que sur le contenu technique exposé :

  • « L’investigateur, le Smartphone, et l’application WhatsApp », présenté par Guénaelle de Julis du CERT-XLM/Excellium
  • « Gestion d’incidents et investigations en environnement Cloud », présenté par Philippe Baumgart et Fahim Hasnaoui de PwC France
  • « Fuite de données & Credential Stuffing », par Sébastien Mériot du CSIRT d’OVH Cloud
  • « Injection et discrétion avec Pastebin », de François Normand – LastInfoSec
  • « A year hunting in a bamboo forest », présenté par Aranon Zakan et Sébastien Larinier
  • « Investigations numériques avec le projet TSURUGI Linux », par Giovanni Rattaro d’Open Minded
  • « Analyse mémoire de routeur CISCO IOS-XR 32 bits », de Solal Jacob – ANSSI
  • « Mais qui est vraiment responsable de ce préfixe d’adresses IP », par Stéphane Bortzmeyer de l’Afnic
  • « DFIR-ORC », présenté par Jean Gautier de l’ANSSI
  • « Réponse à incidents suite à l’exploitation d’une vulnérabilité sur un VPN Pulse Secure possiblement par APT5: retour d’expérience », par Mathieu Hartheiser et Maxence Duchet de Deloitte France

 

Nous souhaitons surtout faire un retour sur les présentations:

  • « Gestion d’incidents et investigations en environnement Cloud »
  • « Fuite de données & Credential Stuffing »

Ces présentations traitent de sujets auxquels nous sommes particulièrement sensibles, à la fois de par notre position d’hébergeur et des technologies Cloud que nous utilisons, mais également du fait qu’elles traitent de sujets de sécurité d’actualité.

 

Gestion d’incidents et investigations en environnement Cloud

Les présentateurs ont commencé par nous faire un rappel sur le shadow-IT (le shadow-IT correspond aux assets d’une entreprise qui sont hors du contrôle du service informatique car celui-ci ignore leur existence.) dans l’univers Cloud et ces challenges :

 

  • La gestion des comptes d’accès, et la CMDB (plus complexe à maintenir en environnement Cloud) doivent être maîtrisées pour éviter le shadow-IT
  • Les outils de monitoring chez les Cloud Provider sont présents
  • Les contrats envers les Cloud Provider sont rigides et difficilement négociables (SLA / SLO)
  • La localisation des données est parfois floue et donc problématique pour respecter les législations nationales

 

Ils nous rappellent que la responsabilité est partagée entre le client et le Cloud Provider. Ce dernier met à disposition les outils, les clients doivent les configurer et les utiliser.

 

Le client est aussi naturellement responsable :

  • des données transitant sur sa plateforme
  • de la gestion des identités et contrôles d’accès
  • du chiffrement des flux réseau et des données
  • de la configuration des systèmes d’exploitation, réseaux et firewall

 

Ensuite, les présentateurs sont revenus sur plusieurs retours d’expérience afin de nous montrer la manière dont le shadow-IT peut être exploité par des acteurs malveillants, et comment ils ont pu être détectés :

  • Une infection par ransomware impactant des assets exposés publiquement détectée tardivement par des alertes d’espace disque plein.
  •  La compromission d’une base de données, avec exfiltration de données.

L’exfiltration a pu être démontrée grâce à un tableau de bord montrant un pic sur le nombre de requêtes et le volume de données sortant de la base de données à un instant t. Cela a permis de forcer le client à contacter les autorités compétentes (CNIL) pour déclarer la fuite de données.

Les présentateurs ont profité de cette dernière attaque pour nous présenter les attaques « intra-cloud ».

En effet, sur cette dernière compromission, la base de données n’était pas exposée publiquement. Il faut donc savoir qu’il reste possible aux autres instances du Cloud Provider d’accéder à la base de données ! Un acteur malveillant a donc utilisé une autre instance, sur le même cloud, pour accéder à la base de données…

Ils nous ont ensuite présenté quelques outils utiles dans le cas d’une réponse à incident, notamment O365 / Office 365 Extractor: Permet d’extraire les journaux Office 365, afin de les importer dans des solutions de centralisation de log (SIEM). Ce qui permet de créer des visualisations de données.

Les différents services mis à disposition par AWS:

  • CloudTrail: Traçabilité des appels API
  • CloudWatch: Monitoring des performances système / application et alerting
  • Config Logs : Traçabilité des actions réalisées sur la configuration AWS
  • S3 Bucket Logs : Traçabilité des accès aux buckets
  • VPC Flows & WAF Logs : Traçabilité des flux applicatifs et des communications réseau inter-VPC

Gestion des habilitations :

  • Certificat Manager
  • Key Management Service
  • Cloud HSM
  • Identity and Access Management (IAM)

– aws_ir (AWS): Automatisation de la collecte de données sur AWS

– PMapper (AWS): Permet d’identifier rapidement les utilisateurs et rôles ayant accès à une action ou ressource

 

En conclusion, les solutions cloud offrent des avantages, dans le sens où les outils sont déjà disponibles, mais doivent être configurés et utilisés. Les clients Cloud ne doivent pas oublier leurs responsabilités dans les infrastructures Cloud. Mais il existe une hétérogénéité entre les différents Cloud Provider.

Que ce soit dans un environnement Cloud, ou on-premise, la réponse à incident doit toujours être anticipée pour être efficace (méthodologie, collecte et traitement des données pour analyse, supervision avancées, etc)

Lien vers la présentation

 

Fuite de données & Credential Stuffing

 

La conférence commence par un rappel de la technique dite du « credential stuffing ».

Le « credential stuffing » (comprenez l’affreuse traduction littérale « bourrage d’identifiants ») consiste pour un attaquant disposant d’un couple d’identifiants donné (souvent ’email : mot de passe’) à tester la validité de ces derniers sur de multiples services en ligne (réseaux sociaux, sites de e-commerce, services bancaires etc.)

Ces identifiants sont généralement récupérés suite à mise en ligne publique de bases de données volées à un service tiers, suite à une cyber attaque, ou à une exfiltration en interne.

L’attaque repose sur une mauvaise pratique humaine toujours très rencontrée en 2020: la réutilisation des mêmes identifiants de connexion sur plusieurs services.

Les statistiques (*1) parlent d’elles-mêmes : 83% des internautes utilisent le même mot de passe sur plusieurs sites.

Il suffit donc qu’un seul site subisse une fuite de données pour que les identifiants rendus public puissent mettre en péril les comptes clients de nombreuses autres plateformes.

L’intérêt derrière cette attaque est bien souvent la même : la revente de comptes valides sur le marché noir (vous comprendrez donc que la démarche est d’autant plus lucrative que la volumétrie de comptes testés puis revendus est importante).

Les volontés pour les acheteurs peuvent quant à elles être multiples :

  • Passage de commandes frauduleuses avec les coordonnées bancaires enregistrées dans les paramètres du compte client d’un site de e-commerce
  • Obtention d’une armée de profils de réseaux sociaux, permettant d’offrir des services de « vues / followers »
  • Blanchiment d’argent au travers de site de paris en ligne
  • Lancement d’instances sur des services Cloud, ou exécution d’attaques au travers de plateformes volées
  • Etc.

 

Ces données revendues ne le sont cependant pas sans difficultés.

En effet, les identifiants de connexion, en particulier les mots de passe, sont le plus souvent stockés en base sous forme de hash, les rendant inintelligibles au premier abord.

Il faut donc procéder au « cassage » de ces hash, pour retrouver le mot de passe en clair correspondant.

Ce cassage, consistant à hasher toutes les combinaisons de chaînes de caractères possibles jusqu’à retrouver la valeur d’un hash donné, prend donc un temps considérable.

Une fois les mots de passe retrouvés en clair, il faut procéder à la vérification de leur validité sur les plateformes souhaitées, ce qui rajoute encore du temps de traitement conséquent.

Pour prendre un exemple concret, le réseau social LinkedIn a été victime d’une intrusion au début du mois de mai 2012.

C’est seulement en mai 2016, 4 ans plus tard, que les comptes dérobés ont commencé à être mis en vente sur le marché noir.

Néanmoins, avec l’évolution exponentielle des puissances de calcul, de la location de ressources Cloud à moindre coûts, et de la mise à disposition d’outils automatisant ce type d’attaque, cette durée de traitement tend à se réduire avec les années.

En juin dernier, Alice Henshaw en a fait la démonstration en réussissant à casser 11 millions de mots de passe, en l’espace de 20h00 pour la modique somme de… 18 $ ! Le tout a été rendu possible en louant un GPU Nvidia Tesla K80 à 4992 coeurs sur le Cloud AWS, pour la somme de 0.90 $ par heure (*2) (en sachant que le quasi moitié de la liste des mots de passe a pu être cassée en seulement deux heures).

Les outils permettant d’automatiser ces attaques deviennent de plus en plus nombreux, avec des options de configuration toujours plus fines :

  • Intégration avec Selenium pour permettre de reproduire les interactions humaines via un navigateur, comme le déplacement du curseur, la saisie d’un texte caractère par caractère dans un champ d’un formulaire pour simuler les frappes clavier etc.
  • Création de chaines d’actions à réaliser en cas de succès d’authentification (navigation sur plusieurs pages du site par exemple)
  • Spécification d’une liste de proxy à utiliser pour varier les sources d’émission des requêtes de connexion
  • Etc.

 

Les méthodes de contre-mesure classiques (comme le blocage d’IP, la restriction d’accès par zone géographique etc.) deviennent donc dépassées et inefficaces sur ces techniques d’attaque.

La conférence se terminera par la proposition de quelques moyens considérés à l’heure actuelle comme étant les plus fiables, pour endiguer ce phénomène.

On notera alors la mise en place de solutions permettant d’effectuer de l’identification comportementale (comme peuvent le proposer certains WAF), la corrélation de données en provenance d’un client avec des bases de threat intelligence partagées (scoring de réputation d’adresse IP), et l’implémentation d’un DOM dynamique sur la page contenant le formulaire d’authentification.

Des moyens complémentaires à ceux présentés lors de la conférence peuvent être facilement déployés pour réduire le risque de réalisation de ces attaques, notamment la mise en place de la double authentification, la vérification à la création d’un compte utilisateur que l’adresse mail utilisée n’est pas présente dans une fuite de données connue, via des services spécialisés comme « HaveIBeenPwned », ou l’invitation régulière des utilisateurs à changer leur mot de passe et les obliger à respecter une politique de mot de passe fort.

NB : Si vous faites partie des 83% d’internautes à utiliser le même mot de passe partout, nous vous invitons à faire un tour sur HaveIBeenPwned. Vous pourriez être surpris.

Sources :

  •  (*1) https://www.cyclonis.com/fr/rapport-83-pour-cent-utilisateurs-interroges-utilisent-meme-mot-de-passe-plusieurs-sites/
  • (*2) https://hackernoon.com/20-hours-18-and-11-million-passwords-cracked-c4513f61fdb1

Fabien & Guillaume pour le SOC Pictime Groupe.


Vous aimerez aussi

7 #Techno
Le FIC 2020 vu par notre RSSI Pictime Groupe …

Récapitulatif des sujets du FIC 2020 par notre RSSI, Fabien Dachicourt. Les deux grandes thématiques de cette année ont tourné autour de l’humain au centre de la cybersécurité et le concept de Zero Trust.

Lire la suite
7 #Techno
Le modèle de développement serverless : avantages et contraintes

Depuis plusieurs années, le développement d’applications monolithiques a fait place, spécialement dans les entreprises en transformation digitale, au développement d’applications découpées en conteneurs et en micro services, en conjonction avec la popularité croissante du « cloud first » et du modèle DevOps.

Lire la suite