Les Techniques d’Évasion Avancées (AET) constituent un nouveau défi pour les systèmes de sécurité réseau. Un avis d’expert de Laurent Boutet, CISSP, expert avant-vente de Stonesoft.
Contrairement aux moyens de contournement connus, les AET combinent et modifient des méthodes afin de déguiser une attaque ou un code malveillant. Ainsi elles infiltrent un réseau sans être détectées par les systèmes de sécurité en place. Le risque particulier associé aux AET est le nombre presque illimité d’options de combinaison qui peuvent s’effectuer. Les estimations actuelles atteignent 2^250 variantes d’AET, qui vont servir aux pirates informatiques pour déguiser une attaque. Des mécanismes de protection courants (système de prévention d’intrusion ou pare-feu) ne gèrent pas ces techniques. Il n’existe aucune protection complète contre les AET. Néanmoins il est possible de sécuriser des réseaux par des méthodes de prévention.
Pour contourner un système protégé les cyberpirates déguisent ou modifient des logiciels malveillants et les dirigent, inaperçus, vers des réseaux. Dans le cas de contournements simples et des AET, le protocole TCP/IP, utilisé sur Internet et une majorité de réseaux informatiques, joue un rôle central. Il refait appel à la norme IP RFC 791 et définit un mode de réception ouvert tandis que le mode envoi reste conventionnel. En général seuls des paquets de données sans erreur peuvent être envoyés, et le système accepte tous les paquets de données entrants qui peuvent être interprétés en bout de chaîne. Des paquets de données entrants peuvent disposer de formats différents, mais ils sont toujours interprétés de la même manière. Cette approche ouverte, basée sur la notion que l’interaction entre des systèmes différents doit être aussi fiable que possible, ouvre la porte aux attaques ou aux techniques déployées pour les déguiser.
Les différents systèmes d’exploitation et applications ne se comportent pas de la même manière en recevant des paquets de données, et il peut arriver qu’un IPS ne détecte pas le contexte original du paquet et par conséquent, interprète le flux de données différemment de l’hôte cible. On parle dans ce cas de « désynchronisation de statut ». C’est le point de départ pour des techniques de contournement, qui utilisent ce contexte pour créer les paquets de données qui apparaissent normaux et sécurisés. Ces paquets ne sont identifiés comme des attaques que quand ils sont interprétés par le système final, c’est-à-dire, quand le code malveillant est déjà installé dans le réseau.
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…