Le procureur général des États-Unis, Merrick Garland, a annoncé mercredi que les autorités américaines avaient démantelé un botnet mondial à deux niveaux regroupant des milliers de pare-feu infectés, prétendument contrôlés par l’acteur malveillant appelé Sandworm, qui a été précédemment relié à la Direction principale du renseignement de l’état-major général des forces armées de la Fédération de Russie (le GRU). L’attaque a effectivement transformé les pare-feu infectés en hôtes malveillants utilisés pour la commande et le contrôle du botnet.
Sandworm a un long passé de cyberactivités malveillantes perturbatrices à l’échelle mondiale. On lui attribue des campagnes telles que NotPetya en 2017 et des attaques menées contre les Jeux olympiques et paralympiques d’hiver en 2018. Ce dernier botnet est connu sous le nom de CyberBlink et constitue une évolution du framework de botnet VPNFilter. VPNFilter était le quatrième payload de malware IoT le plus populaire dans l’étude 2021 de Zscaler ThreatLabz sur les appareils IoT, malgré le fait que ses opérations aient été sérieusement perturbées par le ministère de la Justice des États-Unis en 2018.
Le ministère américain de la Justice a déclaré dans un communiqué avoir « copié et supprimé les malwares des pare-feu vulnérables connectés à Internet que Sandworm utilisait pour la commande et le contrôle (C2) du botnet sous-jacent ».
L’acteur malveillant a ciblé les pare-feu conçus par WatchGuard et ASUS, qui ont tous deux publié des instructions sur la manière de détecter et de résoudre les problèmes liés au malware. Malgré le travail de remédiation effectué par le ministère de la Justice, à la mi-mars, celui-ci a déclaré que « la majorité des appareils initialement compromis étaient toujours infectés ».
Quand la sécurité du pare-feu se retourne contre vous
Le botnet de CyberBlink n’est que le dernier exemple en date de l’incapacité des pare-feu à assurer la sécurité des entreprises modernes.
Les pare-feu sont conçus pour empêcher l’intrusion de menaces en sécurisant le périmètre du réseau. Ils reposent sur un modèle de sécurité cloisonnée obsolète qui s’appuie sur une confiance implicite : tout ce qui se trouve à l’intérieur du périmètre est fiable, et tout ce qui se trouve à l’extérieur ne l’est pas. Mais les pare-feu sont vulnérables aux exploits, comme n’importe quel autre appareil. Tout attaquant disposant d’une connexion Internet peut aisément découvrir les pare-feu connectés à Internet, tels que ceux utilisés dans cette attaque, ce lui qui permet d’y accéder facilement.
Il est effrayant de penser qu’un outil de sécurité non seulement tombe en panne, mais est également utilisé comme hôte d’une activité malveillante. Cependant, le fait que l’appareil soit récupéré pour être utilisé dans un botnet n’est pas la conséquence potentiellement la plus dommageable pour une entreprise victime.
Les pare-feu s’appuient sur les réseaux par conception et forcent les connexions réseau, soit physiquement dans un bureau, soit par MPLS à partir d’une filiale, soit à distance par l’intermédiaire de VPN. Une fois sur le réseau, un hacker dispose de tous les accès dont disposent vos utilisateurs légitimes et peut se déplacer latéralement vers les actifs du réseau ou les appareils en aval. Cela permet la diffusion de malwares et de ransomwares, le vol de données ou l’accès à des applications.
« Ces périphériques réseau sont souvent situés en périmètre du réseau informatique d’une victime, ce qui permet au Sandworm de mener des activités malveillantes contre tous les ordinateurs de ces réseaux », a expliqué le ministère de la Justice.
64 % des décideurs en matière de sécurité estiment que les pare-feu sont incapables d’empêcher les déplacements latéraux au sein du réseau. Source : Virtual Intelligence Briefing (ViB), Enquête de 2021 sur la sécurité des réseaux
Les pare-feu ne doivent même pas être exploités pour être vulnérables ; il est souvent possible de les contourner purement et simplement. Avec plus de 80 % des attaques se produisant désormais par le biais de canaux chiffrés, l’inspection du trafic chiffré est plus critique que jamais. Cependant, les pare-feu et leurs architectures de type pass-through ne sont pas conçus pour inspecter le trafic chiffré inline, et sont donc incapables d’identifier et de contrôler les données en mouvement et celles au repos. Par conséquent, de nombreuses entreprises font l’impasse sur l’inspection d’au moins une partie du trafic chiffré, ce qui augmente le risque lié aux cybermenaces et de perte de données.
De plus, les entreprises n’opèrent plus au sein d’un périmètre prédéfini qui peut être facilement délimité par des pare-feu. Les applications, les utilisateurs et les données sont partout et sont trop souvent exposés à Internet où ils peuvent être exploités par des acteurs malveillants. Les pare-feu virtuels et autres outils de périmètre basés sur le cloud tentent de sécuriser ces cas d’utilisation, mais ne sont pas différents de leurs homologues matériels physiques : le pare-feu se déplace du data center vers le cloud, mais le modèle de sécurité global reste le même, et présente les mêmes inconvénients en termes de sécurité, d’évolutivité et de performances. Pire encore : en plaçant des machines virtuelles (VM) dans le cloud, vous élargissez la surface d’attaque vers l’extérieur, permettant ainsi aux hackers d’exploiter vos actifs dans le cloud.
Une meilleure approche : Zero Trust
De nos jours, pratiquement tous les fournisseurs de sécurité vous diront qu’ils appliquent le « Zero Trust », parce qu’ils savent que c’est ce dont les entreprises ont besoin pour protéger leurs activités distribuées contre des acteurs malveillants de plus en plus sophistiqués.
Comme le précise le NIST, « le Zero Trust est un paradigme de cybersécurité axé sur la protection des ressources et sur le principe selon lequel la confiance n’est jamais accordée implicitement mais doit être continuellement évaluée ».
Sur la base de cette définition, les pare-feu, de par leur nature même de dépendance à l’égard du réseau, ne peuvent appliquer le Zero Trust. Tout concept de « réseau de confiance » est en opposition directe avec les principes de Zero Trust. Et en utilisant des modèles de sécurité qui incluent une confiance implicite, vous prenez des risques inutiles.
Une véritable architecture Zero Trust connecte vos utilisateurs uniquement aux données et applications dont ils ont besoin, sans rien exposer d’autre. La mise en place d’une architecture Zero Trust exige une visibilité et un contrôle des utilisateurs de l’environnement et du trafic, y compris celui qui est chiffré, la surveillance et la vérification du trafic entre les différentes parties de l’environnement, ainsi que des méthodes d’authentification multifacteur (MFA) robustes, plus puissantes que les simples mots de passe, telles que la biométrie ou les codes à usage unique.
Dans une architecture Zero Trust, l’emplacement d’une ressource sur le réseau ne constitue plus le principal indicateur de sa posture de sécurité. Au lieu d’une segmentation rigide du réseau, vos données, flux de travail, services et autres sont protégés par une microsegmentation définie par logiciel, ce qui vous permet de les sécuriser en tout lieu, que ce soit dans votre data center ou dans des environnements hybrides et multicloud distribués.
Zscaler Zero Trust Exchange
Zscaler assure une sécurité Zero Trust avec sa plateforme cloud native, Zscaler Zero Trust Exchange. Conçue sur une architecture proxy, Zero Trust Exchange connecte directement les utilisateurs aux applications, et jamais via le réseau de l’entreprise.
Zero Trust Exchange agit en tant que responsable de l’application de la politique et décideur entre les terminaux ou autres entités qui tentent de se connecter (en bas du graphique ci-dessous) et les ressources auxquelles ils tentent de se connecter, telles qu’Internet et les applications (en haut). Zero Trust Exchange applique la politique et le contexte de diverses manières pour parvenir à une décision d’application, puis négocie la connectivité autorisée à la ressource demandée.
Les applications deviennent des entités non routables, invisibles pour les hackers potentiels, de sorte que vos ressources ne peuvent être découvertes sur Internet. La plateforme réduit la surface d’attaque, empêche les déplacements latéraux, inspecte et protège l’ensemble du trafic tout en arrêtant la fuite de données sensibles vers des destinations suspectes.
Zero Trust Exchange fournit un accès transparent et cloud natif, garantissant une expérience utilisateur homogène, une réduction des coûts et de la complexité, une meilleure visibilité et un contrôle plus granulaire, ainsi que de meilleures performances pour une approche moderne de la sécurité Zero Trust. Composante phare de Zscaler, l’architecture de réseau Zero Trust (ZTNA) est l’une des raisons pour lesquelles nous avons été parmi les mieux classés en termes d’exécution dans le Gartner® Magic Quadrant™ 2022 pour le Security Service Edge (SSE).
Pour en savoir plus sur ce sujet, regardez notre webinaire : Pourquoi les pare-feu ne sont pas conçus pour le Zero Trust. Vous y découvrirez ce qu’est le Zero Trust, ce qu’il n’est pas et comment réduire le risque d’être victime d’attaques comme celle de CyberBlink.