Connect the dots #13: « Zero Trust ! »

Zero Trust.

Maintenant nous allons relier tous ces « dots » défensifs en un schéma global, comme nous l’avons fait dans les articles précédents pour les cyber-attaques en Cyber Kill Chain. Pour tenir compte de ces nouvelles stratégies d’attaque, nous devrons modifier notre conception même du système d’information. Je vais vous donner un exemple d’adaptation tiré des stratégies militaires au Moyen Age. Au début du Moyen Age, il suffisait de créer des châteaux avec de hauts remparts et de les peupler avec des archers. L’attaque donnait à peu près ceci:

(Affiche scolaire CU510)

Certes il y avait quelques catapultes et autres armes de siège, mais il valait souvent mieux encercler et affamer le château lors d’un siège, plutôt que d’essayer de le capturer par une attaque frontale.

L’équivalent informatique consiste à séparer les machines à l’intérieur des machines d’Internet par un routeur-firewall, qui joue ici un peu la fonction de « pont levis » de l’époque. Tout le réseau interne ne peut être joignable qu’en passant par ce routeur, car les adresses IP internes ne sont pas routables et donc injoignables depuis l’extérieur. On a alors une muraille réseau « infranchissable » entre les machines se trouvant sur Internet et celles du réseau interne. 

 Pont levis de Lassay-les-Chateaux

Cette défense « périmétrique » consiste à dire: « Les firewall délimitent l’intérieur par rapport à l’extérieur ». Cependant nous avons du adapter ce concept binaire « intérieur-extérieur » pour permettre certaines fonctions: L’exposition de certains serveurs, notamment web, dans une DMZ (Zone DéMilitarisée) de manière à publier des contenus sur Internet tout en laissant les données sensibles à l’intérieur du périmètre. Les VPN (Réseaux Privés Virtuels) qui permettent à un utilisateur à l’extérieur du périmètre de joindre les ressources à l’intérieur. Ces deux fonctions ont été incluses dans les dispositifs de firewall et, on peut dire que jusque là, tout était encore sous contrôle. 

Et l’artillerie est arrivée, les hautes murailles pouvaient être percées:

 (c) Howitzer

Il ne servait plus à rien de créer de hautes murailles, mais plutôt des casemates en béton capables de résister (un peu) aux obus. Mais bientôt l’aviation permit les troupes aéroportées:

 Il n’y avait plus de « ligne de front », ni d’intérieur ou d’extérieur, du coup !  

C’est exactement ce qui vient de se passer dans la domaine de l’informatique. La Cyber Kill Chain actuelle vient de rendre complètement obsolète le concept défensif périmétrique parce que les attaquants prennent pied à l’intérieur du réseau lors de la compromission initiale et le dialogue avec le C2, puis persistent pendant toutes les autres étapes de l’attaque.

Pour contrer cette stratégie d’attaque, on a vu apparaître le concept du « Zéro trust », c’est à dire que l’on ne considère plus qu’il existe une zone de confiance interne: « Tout est à l’extérieur ». On ne fait plus confiance à priori, à aucun composant informatique, ni à aucun utilisateur. A la fois pour les utilisateurs et les composants informatiques il faut prendre en compte une autre réalité: Le télétravail et l’utilisation des smartphones de manière massive depuis quelques mois nous obligent à considérer qu’effectivement il n’y aura plus « d’intérieur ». Les accès VPN sont également remis en cause, car ils constituent des « tunnels » chiffrés entre l’extérieur et l’intérieur qui peuvent alors être un vecteur de contamination de tout le réseau. 

Ainsi, dans le paradigme zéro trust: 

• Chaque utilisateur doit être identifié
• Chaque accès doit être validé
• Chaque composant doit être vérifié

Il y aura alors quatre principes à mettre en œuvre:

1. Zéro surface d’attaque
2. Une architecture redondante
3. Une architecture proxy (avec l’élimination des VPN)
4. La notion de « moindre privilège » et la connexion aux applications plutôt qu’au réseau

Dans le prochain article je vais détailler les éléments permettant de mettre en place cette architecture « Zero Trust ».

​