Exfiltration de données : définition et fonctionnement

Par Ivan Vinogradov, Security Analyst

L’exfiltration de données est la pratique consistant à extraire des informations à forte valeur d’une entreprise à des fins implicitement malveillantes. Cette pratique est peut-être mieux connue en raison de la phase à laquelle elle correspond dans le framework MITRE ATT&CK. Il existe de nombreuses méthodes pour exfiltrer les données d’une entreprise et MITRE les documente presque toutes.

Les raisons pour lesquelles les attaquants doivent exfiltrer des données sont nombreuses et variées. Il n’est donc pas étonnant que presque tous les attaquants, en particulier dans les environnements professionnels, finissent par l’utiliser d’une manière ou d’une autre.
L’espionnage industriel illustre très l’objectif visé qui s’avère plutôt simple et direct. Les activités de recherche, les secrets commerciaux ainsi que divers autres types de données qui sont très précieux pour les concurrents ou, comme c’est le cas très souvent à l’heure actuelle, des acteurs de type État-nation qui souhaitent accroître la compétitivité des entreprises nationales.

Ainsi, nous pouvons également déduire que ces informations sont également précieuses pour presque tous les individus opportunistes désireux de violer la législation sur la cybersécurité. Même s’ils ne peuvent pas utiliser de telles données, elles peuvent être vendues ou utilisées dans un processus d’arbitrage. C’est le cas non seulement pour les données explicitement commerciales, mais aussi pour de nombreux types de données que l’on peut estimer à priori relativement inoffensifs, comme des logs ou des listes de diffusion.

Un tel cas de figure révèle une autre raison pour laquelle les données sont extraites. Souvent, les adversaires n’ont pas l’intention de compromettre, de nuire ou même de mettre en œuvre une cyberactivité majeure dirigée contre une entreprise en particulier. En effet, ce n’est qu’un pas vers un objectif plus large. Ainsi, les données exclusives qui peuvent être obtenues, par exemple, auprès d’un fournisseur d’une cible potentielle ou concernant les employés de cette même cible, peuvent s’avérer inestimables dans le cadre des opérations à long terme qu’un adversaire donné serait susceptible de lancer.

Le type de données le plus recherché est celui concernant les identifiants de toutes sortes : le plus souvent des mots de passe, des clés cryptographiques et des certificats. La raison principale est que l’accès aux identifiants est une pratique largement répandue dans presque toutes les zones de sécurité offensives. C’est souvent la méthode préférée pour accéder aux ressources : ce qui n’est pas surprenant car ils permettent d’économiser du temps, des efforts et ces dernies sont souvent le moyen le plus direct d’accéder à d’autres données. Il existe d’excellents exemples de ce type de pratique sur le terrain. De nombreuses cyberattaques, comme celles dirigées contre Sony ou encore les fuites de données au niveau de la NSA, tendent à confirmer la forte attirance des attaquants pour les identifiants de tous types.

La documentation sensible est un autre type de données recherché, couramment utilisé dans les attaques contre des organisations commerciales. Cette catégorie est liée en général à la correspondance interne, aux informations de recherche classifiées et aux données financières inconnues concernant l’entreprise. En fonction des objectifs de l’attaquant, de telles violations peuvent directement nuire à l’entreprise ou permettre d’obtenir une forme d’avantage financier, entre autres. Ce dernier type, néanmoins, est de plus en plus remplacé par l’utilisation de ransomwares.

L’exfiltration n’est pas nécessairement un processus entièrement numérique. Ce dernier est souvent mis en œuvre via des supports physiques : en effet, un insider malveillant inexpérimenté peut très bien considérer cette méthode comme un moyen viable de s’en sortir, en particulier lorsqu’il prévoit de remettre les données en personne. Quand on considère un insider comme une source potentielle d’exfiltration de données, le niveau de menace interne augmente proportionnellement avec les privilèges de celui-ci. Les utilisateurs administratifs sont, comme dans la plupart des autres cas, la plus grande menace en raison de leurs accès illimité aux ressources présentes au sein de l’entreprise.

Concernant l’exfiltration utilisée par des acteurs malveillants externes, les principales méthodologies sont automatisées et reposent souvent, mais pas toujours, sur des protocoles établis pour le transfert de données, tels que le FTP, HTTP et les emails. Au cours des dernières années, le stockage dans le Cloud a été un nouveau paramètre important. Il semble donc nécessaire d’investir dans un ensemble de solutions de sécurité dans le Cloud ou même de désactiver la capacité de l’utiliser au sein de l’entreprise. Enfin, il convient bien sûr de mentionner l’exfiltration via un canal de type C2, qui reste toujours d’actualité.

Il existe également des méthodes d’exfiltration plus complexes, par exemple, via des protocoles généralement non prévus pour le transfert direct de données ou via des applications Web qui sont elles-mêmes souvent compromises.

Limiter la quantité et le type de logiciels que les utilisateurs peuvent déployer sur leur poste de travail peut souvent être une solution technique simple mais efficace. Une telle précaution empêche l’utilisateur d’agir de manière malveillante et permet de traiter les menaces classiques émanant d’acteurs externes qui utilisent divers canaux de communication communs pour l’exfiltration. Ces derniers incluent à peu près tout, des services VPN personnels à la messagerie instantanée en passant par le partage de fichiers P2P.

Auditer les comptes et s’assurer que les données d’authentification soient suffisamment sécurisées est un conseil récurrent qui s’applique également dans notre cas. Même si la pratique du renouvellement des mots de passe est controversée, elle reste indispensable dans le cas où vos identifiants se retrouveraient sur un forum darknet, en attendant d’être vendues à un individu prêt à les utiliser.

Il faut également connaitre concrètement la valeur et l’emplacement des ressources les plus importantes que l’entreprise possède, aussi bien physiquement qu’au niveau de la topologie réseau. Même en cas de compromission, l’identification rapide des données les plus précieuses, ainsi que la vérification du moment auquel elles ont été consultées et par qui, vous permettront de franchir de nombreuses étapes dans le processus désagréable et compliqué de réponse aux incidents.
Enfin, la surveillance est utile pour détecter l’exfiltration de données au fur et à mesure qu’elle se produit. De nombreuses solutions Modern SIEM sont pré-définies avec des règles visant à détecter ces données, qui peuvent être enrichies par des produits de surveillance des endpoints et par la réception des logs provenant de logiciels de protection et de conformité des données.

D’une manière générale, l’exfiltration de données n’est pas une fin en soi, mais une partie d’une séquence d’actions visant à compromettre une cible. La bonne nouvelle est qu’il existe un degré élevé de synchronicité entre cette menace et une large gamme d’autres attaques. Ainsi, se protéger contre ce type de menace est en réalité une simple question de connaissance et n’implique pas nécessairement de surcoût en matière de ressources dédiées supplémentaires.

Les pratiques de sécurité de base, telles que documenter votre réseau et l’organiser correctement, renouveler régulièrement les mots de passe, ou du moins s’assurer qu’ils répondent aux exigences de complexité et enfin avoir le contrôle sur les forces vives au sein de votre entreprise, à savoir vos employés, vous permettront de réduire massivement le risque d’exfiltration de données.