Connect the dots #15: « Zero Trust ! Du côté du télétravailleur… »
Une fois que nous avons réduit sensiblement notre surface d’attaque, nous allons nous intéresser à un deuxième aspect du « zero trust », à savoir les utilisateurs, ainsi que les dispositifs qu’ils utilisent pour accéder au système d’informations, surtout en y incluant le cas des télétravailleurs.
Pourquoi l’utilisateur, notamment distant en télétravail représente un danger pour nos systèmes d’information ? Parce qu’il est vulnérable en étant connecté à internet.
Non seulement Internet n’a pas de frontières, mais une attaque vers un poste est ultra-rapide et ceci quel que soit l’endroit de la planète où l’attaquant se trouve.
La crise du COVID-19 et l’explosion des usages en télétravail a encore accentué les possibilités de cyberattaque de nos systèmes. Pratiquement chaque jour de nouveaux cas de piratages sont évoqués par les médias, de plus en plus massifs et inquiétants.
(c) Huffington post
Mais en quoi le télétravail accentue ces risques ? Tout d’abord, un certain nombre d’ordinateurs se retrouvent en dehors du périmètre de protection de l’entreprise. Certains ordinateurs sont fournis par le télétravailleur et quelquefois sont partagés avec d’autres membres de la famille, les enfants qui font leurs cours en distanciel avec, surfent sur internet ou d’autres membres qui s’en servent pour leur usage personnel sur les réseaux sociaux par exemple. De plus, ces ordinateurs sont branchés sur la box de la famille, cette box « grand public » étant existante au moment où le télétravail est devenu massif. Dans certains cas, on va également utiliser un smartphone personnel par exemple pour recevoir ou répondre à des courriels. Enfin, parmi d’autres différences avec le « monde d’avant », des conversations professionnelles seront entendues par des personnes externes à l’entreprise mais vivant sous le même toit que le télétravailleur. Le calme et la confidentialité ne sont plus évidents.
Vous avez en plus de ne pas faire confiance à ces machines, des les envoyer sur un « proxy » qui va servir de tampon entre leur activité internet et les sites sur lesquels ils vont aller. Ce « sas » de décontamination va remplir plusieurs rôles: Tout d’abord il va protéger le poste de l’utilisateur en allant effectuer la requête vers un site web éventuellement contaminé à sa place. Ensuite, il va représenter une machine totalement sécurisée vis à vis du site web en question. Pour les attaquants cela représentera un appel d’une machine parfaitement moderne et à jour des correctifs de sécurité. Enfin, cela va stocker sur le proxy les fichiers qui auront déjà été téléchargés ce qui va améliorer la performance du système, puisque seuls les nouveaux fichiers nécessiteront un transfert, les autres étant distribués par le cache de ce proxy. A quoi ressemble un proxy ? Ou plutôt un « réseau de proxys » dans le cloud. C’est un service propose par des fournisseurs de sécurité auquel on s’abonne, comme pour les passerelles d’anonymisation de vos accès. Le concept se résume avec l’acronyme CASB (Cloud Application Security Broker). Vous pouvez tester votre exposition chez ZSCALER par exemple: http://securitypreview.zscaler.com
J’ai désactivé ma protection pour que vous voyez ce qu’un système « normal et à jour » derrière une box grand public « protège »:
(c) Zscaler
(c) Zscaler
Toutes ces actions malveillantes sont possibles sur une machine « normale » et une box ADSL exposés à Internet. Vous ne pouvez pas demander à un utilisateur d’être un expert en cybersécurité, aussi il faut l’aider à bloquer les attaques dont il sera la cible par son activité sur Internet. Un système de « proxy » CASB est donc la réponse appropriée.
(c) Bitglass
Vous devrez aussi l’empêcher d’accéder à distance au système de l’entreprise et donc bannir les accès distants de type RDP. Dans de nombreuses attaques récentes ce dispositif a été utilisé par les attaquants pour pénétrer le réseau, notamment dans la fameuse attaque Solarwinds.
La seule façon d’accéder aux informations de l’entreprise sera de passer par un site web. Qui lui-même sera un frontal par rapport aux bases de données de l’entreprise. A condition qu’il soit bien programmé, sans failles majeures…
Mais le plus important sur un poste de travail exposé à internet c’est d’empêcher un ransomware de la contaminer. Je ne reviens pas sur le fléau numéro un des cyber-attaques. Ici, nous allons aider l’utilisateur à bloquer le ransomware en installant un EDR (j’en ai largement parlé dans les articles précédents), mais à minima en installant un système de leurre pour tromper les attaquants.
Comment cela fonctionne-t-il ? Un répertoire, contenant des fichiers « leurres » typiques ciblés par le ransomware, est positionné au début du disque de manière à repérer le début du chiffrement et de bloquer le processus en mémoire avant qu’il s’attaque aux « vrais » fichiers.
(c) Cybereason
Le ransomware va commencer à chiffrer les fichiers et va se faire alors repérer par l’EDR par son comportement en mémoire de l’appareil (grosse activité du processeur car le chiffrement des données consomme énormément).
(c) Cybereason
Dans un prochain article, nous nous intéresserons à la résilience numérique du télétravailleur, c’est à dire la capacité à continuer à travailler malgré la défaillance de la connexion internet, l’indisponibilité de ses fichiers ou de son ordinateur.
Vous pouvez suivre ma présentation vidéo de la cybersécurité au télétravail sur le lien ci-dessous: