Sécurité et espionnage informatique: : connaissance de la menace APT (Advanced persistent threat) et du cyber espionnage

Auteur(s) :

Pernet, Cédric Découvrir l'auteur

Résumé

A travers l'analyse de cas d'attaques informatiques médiatiques récentes, menées contre des entreprises (infection de postes de travail, installation de chevaux de Troie pour dérober des informations, etc.), cet ouvrage invite les professionnels à améliorer la protection de leurs données sensibles. ©Electre 2014

Éditeur(s)
- Eyrolles
Date
- DL 2014
Langues
- Français
Description matérielle
- 1 vol. (XV-221 p.) : ill., couv. ill. en coul; ; 23 cm
Collections
- Blanche
Sujet(s)
- Renseignement électronique
- Systèmes informatiques -- Mesures de sûreté
ISBN
- 978-2-212-13965-5
Indice
- 681.40 Sécurité informatique
Quatrième de couverture
- Sécurité et espionnage informatique
  Les attaques informatiques ciblées d'entreprises dans un but d'espionnage industriel, plus connues dans le milieu de la sécurité informatique sous le nom d'APT (Advanced Persistent Threat), sont fortement médiatisées outre-Atlantique. Qui les organisent ? Comment fonctionnent-elles ? Comment les détecter ?
  APT : des attaques toujours plus difficiles à détecter
  Les attaques APT sont des attaques informatiques menées contre des entreprises afin de dérober des informations sensibles et/ou concurrentielles. Elles suivent un modus operandi qui varie peu mais qui s'avère d'une efficacité redoutable : investigation sur la cible potentielle, infection de postes de travail et de serveurs au moyen de chevaux de Troie, rebond à l'intérieur du réseau de l'entreprise ciblée jusqu'à atteindre les données souhaitées, maintien de portes dérobées opérationnelles sur le réseau de la victime afin de conserver un accès constant sur plusieurs mois et s'emparer à loisir des informations sensibles de l'entreprise. Ces attaques sont orchestrées par des groupes de taille variable, dotés généralement de moyens considérables, souvent plus conséquents que ceux dont disposent les professionnels de la sécurité protégeant les entreprises ciblées. Certains de ces groupes sont financés par des États, alors que d'autres sont privés et opportunistes. Ces attaques peuvent néanmoins être combattues, sur un plan préventif par une prise de conscience globale de chaque utilisateur, et sur un plan opérationnel par une surveillance du parc informatique plus appropriée.
  Un livre de référence sur les attaques APT et le cyberespionnage
  Un ouvrage de fond en sécurité informatique, destiné à devenir une référence, écrit par l'un des pionniers français de la lutte contre le cyberespionnage. S'opposant aux idées reçues en la matière, l'ouvrage présentera les points de vue des experts du domaine et les cas les plus intéressants médiatisés ces dernières années. Il guidera le professionnel dans l'amélioration de la protection de son entreprise face à ces attaques.
  À qui s'adresse cet ouvrage ?
  
  Aux directeurs des systèmes d'information qui cherchent à optimiser leurs stratégies de sécurité
  
  Aux responsables de la sécurité des systèmes d'information (RSSI) qui souhaitent améliorer la sensibilisation aux attaques APT en entreprise ainsi que le niveau de sécurité global de leur parc informatique
  
  Aux administrateurs système, architectes réseau, développeurs d'outils de sécurité et particuliers curieux de se cultiver sur le sujet
Tables des matières
- - Sécurité et espionnage informatique
  - Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage
  - Cédric Pernet
  - Eyrolles
  - Chapitre 1
    APT : définition1
  - Différentes définitions 1
  - Mandiant2
  - Dell Secure Works2
  - NIST2
  - Damballa3
  - Mot à mot 3
  - Advanced3
  - Persistent4
  - Threat4
  - En résumé 5
  - Chapitre 2
    APT : contexte7
  - Le calme dans la tempête 8
  - Données sensibles 9
  - Classification de données9
  - Accès sensibles9
  - Emplacement physique des données10
  - Personnes sensibles10
  - Machines sensibles11
  - En résumé 12
  - Chapitre 3
    APT : généralités13
  - Portée et responsabilité 13
  - Uniquement des cibles américaines ? 13
  - Qui ? 14
  - Combien de techniques différentes les attaquants utilisent-ils ? 14
  - Pourquoi ? 15
  - La chaîne d'attaque APT 15
  - Malwares, rootkits, command and control... De quoi s'agit-il ? 17
  - En résumé 18
  - Chapitre 4
    Cycle APT : phase de reconnaissance19
  - Reconnaissance passive 21
  - Noms de domaines, informations Whois21
  - archive.org25
  - Serveurs DNS et commande dig26
  - Netcraft29
  - Collecte d'adresse e-mails30
  - Publications en ligne31
  - Réseaux sociaux32
  - Reconnaissance active 34
  - Anonymat34
  - Moteurs de recherche/opérateurs de recherche Google35
  - Aspirateurs de sites web36
  - Scanners de vulnérabilités37
  - Collecte de métadonnées38
  - Serveurs d'e-mails40
  - Adresses de courriels personnelles40
  - Note sur le stockage de données 40
  - Interview : Nart Villeneuve, FireEye 42
  - En résumé 43
  - Chapitre 5
    Cycle APT : compromission initiale45
  - Phishing et spear phishing (hameçonnage) 46
  - Spear phishing de masse49
  - Spear phishing traditionnel51
  - Spear phishing : le contenu53
  - Exemples réels de spear phishing53
  - Attaque contre défense56
  - Pièces jointes56
  - Bonnes pratiques57
  - Exploitation des réseaux sociaux 58
  - Infections par watering hole 59
  - Attaques de fournisseurs de services Internet 61
  - Attaques directes 61
  - Accès physiques 62
  - Interview : Gavin O'Gorman, Symantec 63
  - En résumé 65
  - Chapitre 6
    Cycle APT : compromission initiale - malwares et exploits67
  - Les exploits 68
  - Logiciels ciblés68
  - Obtention d'exploit 0day70
  - Catégories d'exploits70
  - Marché des exploits 0day71
  - Exploits et APT : la réalité73
  - Différents types de malwares 73
  - Malwares et spear phishing : pièces jointes 76
  - Malwares et spear phishing : liens 77
  - Malwares utilisés en APT : point de vue technique 78
  - Contournement des antivirus79
  - Contournement des pare-feu81
  - Contournement des sécurités de Windows liées au binaire82
  - Obfuscation du binaire82
  - RAT et malwares les plus utilisés dans les attaques APT 84
  - Interview : Fabien Perigaud, Airbus DS CyberSecurity 90
  - En résumé 93
  - Chapitre 7
    Cycle APT : renforcement des accès et mouvements latéraux95
  - Devenir administrateur local 96
  - Collecte de mots de passe et de hashes 98
  - Mots de passe locaux99
  - LM hashes 100
  - NTLM hashes 100
  - Secrets LSA (Local Security Authority) 102
  - Cache d'informations de connexion au domaine (cached domain logon information) 102
  - Credential Manager Store 103
  - Prodented Storage 104
  - Sessions Logon 104
  - Mots de passe sur le réseau105
  - Challenge/réponse LM/NTLM 105
  - Attaque Pass the Hash 106
  - Devenir administrateur de domaine 107
  - Dump de l'Active Directory (ntds.dit) 108
  - Mouvements latéraux 109
  - En résumé 110
  - Chapitre 8
    Cycle APT : exfiltration de données111
  - Utilisation d'un RAT 111
  - Exfiltration par FTP/SFTP 112
  - Exfiltration par e-mail 113
  - Exfiltration par tunnel DNS 113
  - Volumes transférés 114
  - Contenu des transferts 115
  - Interview : Silas Cutler, CrowdStrike 116
  - En résumé 119
  - Chapitre 9
    Cycle APT : les cibles121
  - L'opinion des professionnels de la sécurité de l'information 121
  - Définition des cibles 122
  - Localisation des cibles 124
  - Connaissance des cibles des groupes d'attaquants 125
  - Types de données recherchées et motivation 126
  - En résumé 127
  - Chapitre 10
    Cycle APT : les attaquants129
  - Différentes attaques, mêmes profils 129
  - Le profil « hacker »130
  - Le profil « analyste Threat Intelligence »132
  - Le profil « analyste Competitive Intelligence »133
  - Le profil « administrateur système »134
  - Le profil « développeur de malwares »135
  - Le profil « développeur généraliste135
  - Structure d'un groupe d'attaquants 136
  - Attribution des attaques APT 137
  - Interview : Anonyme 140
  - Partage de ressources entre différents groupes d'attaquants 142
  - Interview : Joe Stewart, Dell SecureWorks 143
  - En résumé 145
  - Chapitre
    Exemples de campagnes de cyberespionnage147
  - « Operation Aurora » et autres attaques 147
  - De nombreuses victimes148
  - Utilisation d'exploit 0day148
  - Watering hole et cibles149
  - Des outils efficaces pour optimiser les campagnes d'infection initiales150
  - Origine probable du Projet Elderwood150
  - La plate-forme Elderwood en 2014150
  - Le groupe APT1/Comment Crew 152
  - Un groupe gigantesque et sponsorisé152
  - Quelques chiffres153
  - Infrastructure informatique APT1154
  - Cycle d'attaque155
  - Phase de compromission initiale 155
  - Phase de renforcement des accès et mouvements latéraux 158
  - Phase d'exfiltration 160
  - Professionnalisme variable : des individus commettant des erreurs160
  - Derniers rebondissements : la Justice américaine passe à l'attaque165
  - Le futur d'APT1167
  - Le cas Su bin 167
  - Une petite équipe bine rodée168
  - Structure opérationnelle du groupe169
  - Chronologie partielle de l'attaque169
  - Vente de données171
  - Conclusion171
  - Shell_Crew 171
  - Un exemple de compromission initiale du groupe171
  - Renforcement des accès172
  - Conclusion173
  - Chronologie d'attaques APT médiatisées 173
  - Moonlight Maze (1998-2000)174
  - Titan Rain (2000-2003)174
  - NetTraveler/Travnet (2004/2005)174
  - Affaire Sin Digoo (2004)175
  - « Opération Shady RAT » (2006)176
  - Lurid (2006)176
  - Red October (également appelé ROCRA) (2007)177
  - Gh0stNet/Shadownet (mai 2007)178
  - Putter Panda (2007)178
  - Careto/The Mask (2007)179
  - Taidoor (2008)180
  - Ixeshe (juillet 2009)180
  - « Operation Aurora » (2009)181
  - « Operation Troy »/ Dark Seoul (2009)181
  - Winnti (2009)182
  - « Operation Night Dragon » (novembre 2009)183
  - Campagne HeartBeat (novembre 2009)184
  - « Operation Ke3chang » (2010)184
  - « Operation Hangover » (septembre 2010)185
  - Energetic Bear/DragonFly/Crouching Yeti (2011)185
  - « Operation Beebus » (avril 2011)/Mutter Campaign (2011/2013)186
  - Luckycat (juin 2011)187
  - Nitro (juillet 2011)188
  - IceFog (2011)188
  - Deep Panda (2011)189
  - Pitty Tiger (2011)190
  - Flamer (mai 2012)190
  - Mirage (avril 2012)191
  - Voho (juillet 2012)192
  - Campagne Madi/Mahdi (juillet 2012)192
  - Safe (octobre 2012)193
  - « Operation Molerats » (octobre 2012)193
  - Surtr (novembre 2012)194
  - Campagne Quarian (novembre 2012)194
  - « Operation Kimsuky » (2013)195
  - Khaan Quest (juin 2013)195
  - « Operation DeputyDog » (août 2013)196
  - « Operation Ephemeral Hydra » (novembre 2013)196
  - « Operation Saffron Rose » (2014)196
  - « Operation SnowMan » (février 2014)197
  - Campagne Siesta (mars 2014)197
  - Autres attaques 198
  - En résumé 201
  - Chapitre 12
    Détection d'attaques APT203
  - Détection d'APT dans les logs des solutions antivirales 204
  - Détection d'APT sur le réseau 205
  - Détection dans les e-mails205
  - Détection dans les logs des pare-feu206
  - Détection dans les logs proxies, DNS et VPN206
  - Détection d'APT sur les postes de travail 208
  - Prévention 209
  - Sensibilisation des employés209
  - Protection des postes des employés210
  - Simulations d'APT211
  - Veille212
  - Communication212
  - Le futur de la détection213
  - En résumé216
  - Conclusion217
  - Index219
Origine de la notice:
- Electre