Connect the dots #15: « Zero Trust ! Du côté du télétravailleur… »

Connect the dots #15: « Zero Trust ! Du côté du télétravailleur… »

Cybercrime par un hacker

Une fois que nous avons réduit sensiblement notre surface d’attaque, nous allons nous intéresser à un deuxième aspect du « zero trust », à savoir les utilisateurs, ainsi que les dispositifs qu’ils utilisent pour accéder au système d’informations, surtout en y incluant le cas des télétravailleurs.

Pourquoi l’utilisateur, notamment distant en télétravail représente un danger pour nos systèmes d’information ? Parce qu’il est vulnérable en étant connecté à internet.

Non seulement Internet n’a pas de frontières, mais une attaque vers un poste est ultra-rapide et ceci quel que soit l’endroit de la planète où l’attaquant se trouve.

La crise du COVID-19 et l’explosion des usages en télétravail a encore accentué les possibilités de cyberattaque de nos systèmes. Pratiquement chaque jour de nouveaux cas de piratages sont évoqués par les médias, de plus en plus massifs et inquiétants.

(c) Huffington post

Mais en quoi le télétravail accentue ces risques ? Tout d’abord, un certain nombre d’ordinateurs se retrouvent en dehors du périmètre de protection de l’entreprise. Certains ordinateurs sont fournis par le télétravailleur et quelquefois sont partagés avec d’autres membres de la famille, les enfants qui font leurs cours en distanciel avec, surfent sur internet ou d’autres membres qui s’en servent pour leur usage personnel sur les réseaux sociaux par exemple. De plus, ces ordinateurs sont branchés sur la box de la famille, cette box « grand public » étant existante au moment où le télétravail est devenu massif. Dans certains cas, on va également utiliser un smartphone personnel par exemple pour recevoir ou répondre à des courriels. Enfin, parmi d’autres différences avec le « monde d’avant », des conversations professionnelles seront entendues par des personnes externes à l’entreprise mais vivant sous le même toit que le télétravailleur. Le calme et la confidentialité ne sont plus évidents.

On ne peut donc accorder aucune confiance à priori au poste du télétravailleur, à moins d’appliquer des règles de sécurité au moins équivalentes à celles appliquées en entreprise. Pour rappel les trois règles du zero trust (A priori on ne fait confiance à rien, tout est contrôlé) sont:
1- Chaque utilisateur doit être identifié
2- Chaque accès doit être validé
3- Chaque composant informatique doit être vérifié
Pour cette règle numéro 3, le télétravailleur doit donc disposer d’un système informatique totalement moderne et à jour: Windows 10 (ou Linux ou Mac) avec tous les correctifs de sécurité installés. Pourquoi ? Parce qu’une machine exposée à Internet vulnérable ou obsolète permettra aux attaquants la compromission initiale, qui ensuite leur permettra de rentrer dans tout le réseau de la cible, comme nous avons vu dans les articles précédents sur la « Cyber Kill Chain ». De même, un système sous Windows 7, ou pire Windows XP, sera une cible facile, car ces systèmes ne bénéficient plus de correctifs de sécurité de la part de Microsoft. Il faut donc traquer toutes les machines qui sont obsolètes ou mal patchées et les éliminer en les remplaçant par un matériel et système d’exploitation récent. De même, il faudra repérer les machines qui ne sont pas à jour des correctifs de sécurité et leur pousser ces correctifs.
Seulement voilà: Ce ne sont pas « nos » machines. Ce sont peut-être des machines qui appartiennent au télétravailleur. Le premier investissement sécurité à faire est de fournir une machine neuve gérée par l’entreprise ou lieu de laisser l’utilisateur se débrouiller avec son vieux PC. Vous aurez alors la possibilité de vérifier que chaque machine est bien protégée et que les protections n’ont pas été désactivées par l’utilisateur.

Vous avez en plus de ne pas faire confiance à ces machines, des les envoyer sur un « proxy » qui va servir de tampon entre leur activité internet et les sites sur lesquels ils vont aller. Ce « sas » de décontamination va remplir plusieurs rôles: Tout d’abord il va protéger le poste de l’utilisateur en allant effectuer la requête vers un site web éventuellement contaminé à sa place. Ensuite, il va représenter une machine totalement sécurisée vis à vis du site web en question. Pour les attaquants cela représentera un appel d’une machine parfaitement moderne et à jour des correctifs de sécurité. Enfin, cela va stocker sur le proxy les fichiers qui auront déjà été téléchargés ce qui va améliorer la performance du système, puisque seuls les nouveaux fichiers nécessiteront un transfert, les autres étant distribués par le cache de ce proxy. A quoi ressemble un proxy ? Ou plutôt un « réseau de proxys » dans le cloud. C’est un service propose par des fournisseurs de sécurité auquel on s’abonne, comme pour les passerelles d’anonymisation de vos accès.  Le concept se résume avec l’acronyme CASB (Cloud Application Security Broker). Vous pouvez tester votre exposition chez ZSCALER par exemple: http://securitypreview.zscaler.com

      J’ai désactivé ma protection pour que vous voyez ce qu’un système « normal et à jour » derrière une box grand public « protège »:

(c) Zscaler

(c) Zscaler

Toutes ces actions malveillantes sont possibles sur une machine « normale » et une box ADSL exposés à Internet. Vous ne pouvez pas demander à un utilisateur d’être un expert en cybersécurité, aussi il faut l’aider à bloquer les attaques dont il sera la cible par son activité sur Internet. Un système de « proxy » CASB est donc la réponse appropriée.

(c) Bitglass

Vous devrez aussi l’empêcher d’accéder à distance au système de l’entreprise et donc bannir les accès distants de type RDP. Dans de nombreuses attaques récentes ce dispositif a été utilisé par les attaquants pour pénétrer le réseau, notamment dans la fameuse attaque Solarwinds.

La seule façon d’accéder aux informations de l’entreprise sera de passer par un site web. Qui lui-même sera un frontal par rapport aux bases de données de l’entreprise. A condition qu’il soit bien programmé, sans failles majeures…

Mais le plus important sur un poste de travail exposé à internet c’est d’empêcher un ransomware de la contaminer. Je ne reviens pas sur le fléau numéro un des cyber-attaques. Ici, nous allons aider l’utilisateur à bloquer le ransomware en installant un EDR (j’en ai largement parlé dans les articles précédents), mais à minima en installant un système de leurre pour tromper les attaquants.

Comment cela fonctionne-t-il ?  Un répertoire, contenant des fichiers « leurres » typiques ciblés par le ransomware, est positionné au début du disque de manière à repérer le début du chiffrement et de bloquer le processus en mémoire avant qu’il s’attaque aux « vrais » fichiers. 

(c) Cybereason

Le ransomware va commencer à chiffrer les fichiers et va se faire alors repérer par l’EDR par son comportement en mémoire de l’appareil (grosse activité du processeur car le chiffrement des données consomme énormément).

(c) Cybereason

​​​​​​​Dans un prochain article, nous nous intéresserons à la résilience numérique du télétravailleur, c’est à dire la capacité à continuer à travailler malgré la défaillance de la connexion internet, l’indisponibilité de ses fichiers ou de son ordinateur.

Vous pouvez suivre ma présentation vidéo de la cybersécurité au télétravail sur le lien ci-dessous:

webinar2 teletravail