L’attaque sans précédent subie en Avril 2015 par TV5 Monde a marqué les esprits. Des agents de l’ANSSI, envoyés à la rescousse, racontent dans un article du Monde paru il y a quelques jours, comment ils ont paré à cette prise de contrôle inédite. C’est l’occasion de revenir sur cet incident majeur et d’analyser comment les criminels s’y sont pris. Sur chacun des points de défaillance listés par l’ANSSI dans l’article, la solution Bomgar Privileged Access Management apporte des réponses clé-en-main pour sécuriser son réseau, prévenir et déjouer les attaques cybercriminelles.
Début avril 2015, TV5 Monde, qui émet sur 200 pays pour 50 millions de téléspectateurs, a été victime d’un piratage informatique d’une ampleur inédite. Cet incident majeur a obligé la chaîne francophone internationale à interrompre ses programmes pendant plusieurs heures. Le flux d’actualité a laissé place à un écran noir, symbole de l’impuissance des experts de la chaîne à endiguer le problème. L’Etat Islamique, qui a revendiqué ce piratage, a même réussi à prendre le contrôle des comptes Twitter et Facebook de la chaîne et à y diffuser de la propagande djihadiste. De source judiciaire, selon Le Monde, il s’avère que cette attaque a en fait été perpétrée par le groupe APT28, soupçonné d’être le bras armé du Kremlin sur Internet. Elle aurait coûté à la chaine 4,6 millions d’euros.
Une enquête « vue de l’intérieur » : voyage à l’intérieur du réseau
Les experts de l’ANSSI, l’Agence Nationale de Sécurité des Systèmes Informatiques, contactés pour résoudre le problème, racontent comment les cybercriminels s’y sont pris pour réussir leur forfait. Dans un premier temps, les hackers se sont connectés au réseau interne de la chaine depuis l‘extérieur, au moyen d’un réseau privé virtuel (VPN). Pour ce faire, ils se sont servi d’un identifiant et d’un mot de passe appartenant à un sous-traitant de la chaine. En effet, un des moyens favoris des cybercriminels est de passer par le VPN de l’entreprise qu’ils visent, puis de créer un compte privilégié. Ces VPN sont ouverts aux employés, en interne et aux fournisseurs. Mais ces accès ne sont absolument pas sécurisés. Ils ne proposent donc aucune traçabilité et ne permettent pas de restreindre les accès à certains types de dossiers, pour un certain laps de temps.
Sécuriser les accès internes et externes
Bomgar Privileged Access Management apporte une réponse à cette problématique. Il permet de sécuriser et de contrôler les accès des tierces parties sans VPN, afin d’éliminer le point d’entrée permettant aux pirates de s’immiscer dans les environnements informatiques des entreprises. Cette solution innovante permet d’autoriser et de simplifier les accès à distance sans mettre en danger la sécurité des systèmes. Elle fonctionne à travers les pare-feu, sans VPN. En réduisant le nombre de connexions par VPN, les clients limitent la surface d’attaque des pirates essayant de pénétrer leur réseau. Par ailleurs, pour obtenir des contrôles beaucoup plus stricts et un accès sécurisé que ceux d'un VPN traditionnel, Bomgar Privileged Access Management élargit le protocole de connexion à distance au-delà de la simple connexion LAN, sans compromettre la sécurité. Cette solution peut aider les clients à rétablir les relations de travail avec leurs fournisseurs en quelques heures, mais cette fois avec des garanties de sécurité.
Contrôler les autorisations d’accès aux différents systèmes
L’enquête de l’ANSSI a montré qu’une fois à l’intérieur du réseau, il a été possible aux cybercriminels de s’octroyer les pleins pouvoirs. Lors de cette moisson fructueuse, ils ont récupéré de nombreuses informations, notamment des identifiants et des mots de passe de diverses machines. Grâce à Bomgar Privileged Access, il est possible de déterminer à quels systèmes les fournisseurs peuvent accéder, à quel moment et pour combien de temps. Ils ne peuvent donc pas circuler sur le réseau de l’entreprise, accéder à d’autres systèmes ou à des comptes avec des droits et privilèges supérieurs. Il suffit de mettre en place des droits d’accès différents, selon les rôles des utilisateurs et de définir des paramètres de session, tels que les périodes d’accès et les opérations autorisées. Le fait de rajouter une authentification à deux facteurs permet de garantir encore plus de sécurité. Autre point clé, pour un niveau de protection encore plus important, Bomgar Vault permet de stocker de façon sécurisée les mots de passe des comptes privilégiés et d’injecter de façon automatique de nouveaux identifiants, sans que l’utilisateur ne les voie.
Des cybercriminels qui ont tissé leur toile, lentement mais sûrement
Le récit de l’attaque précise les étapes suivies par les cybercriminels: « l’offensive a débuté le 23 janvier […]. Le 8 avril, à 19 h 57, l’assaillant commence son entreprise de démolition […]. La première action visible intervient à 20 h 58, quand les comptes sur les réseaux sociaux prennent les couleurs d’un mystérieux « cyber-califat » et affichent leur soutien à l’organisation Etat islamique […] ». Entre leurs premiers accès et le moment où TV5 Monde a constaté l’attaque, il s’est passé deux mois et demi ! Pour pouvoir réagir plus vite, limiter les dommages et suivre l’activité complète des cybercriminels en cas d’attaque, Bomgar Privileged Access Management fournit une piste d’audit et un enregistrement vidéo de toutes les activités des fournisseurs. La solution offre également des possibilités de recherches et d’alertes. Les utilisateurs autorisés peuvent non seulement suivre, mais également mettre fin aux sessions, en temps réel. La solution Bomgar Privileged Access Management permet de gagner en visibilité sur les activités des utilisateurs privilégiés sur le réseau. Elle permet également d’identifier les utilisations inappropriées ou abusives, tout en respectant les exigences en matière d’audit.
Pour en savoir plus sur Bomgar Privileged Access Management, visitez https://www.bomgar.com/fr/acce...