Le rapport sur l’attaque contre RUAG

ruag

 

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) a, sur mandat du Conseil fédéral, publié un rapport avec les éléments techniques du  cas ayant touché RUAG. Ce rapport est destiné aux professionnels de la sécurité, et doit les soutenir dans leur tâche d’identification des risques dans leurs réseaux et de mise en place de mesures de sécurité.

Dans ce rapport, nous découvrons plus en détail la mise en oeuvre de cette attaque.

 

Pas de politique de monitoring et de suivis des log

 

imageGO7HY

 

Premièrement, le virus utlisé est de la famille Turla. Cette famille de virus puissant attaque depuis 2008 plusieurs service gouvernementaux, états et armée dans le monde. On soupçonne la Russie d’être derrière ce virus. Il existe plusieurs variantes de ce logiciel malveillant, dont une utilisant des satellites afin de faire transiter les données volées. La variante utilisée contre RUAG ne dissimulait pas son activité et n’était donc pas couvert par un rootkit. Toute l’activitée du virus est donc enregistrée dans les logs systèmes et ceux du système de monitoring ou du proxy (lorsqu’il y en a un).

Bizarrement, il a fallut à RUAG qu’un service étranger l’informe de l’attaque en décembre 2015 pout que l’entreprise réagisse. Ceci démontre qu’il n’y a eu aucun suivi des journaux logs ni de monitoring qui aurait permis de déceller cette attaque bien plus tôt.

 

Une mauvaise hiérarchisation des réseaux

Le virus a attaqué le service Active Directory (AD) qui est un annuaire pour groupes et utilisateurs de Windows. Pour une bonne pratique, il est important de hiérarchiser et d’isoler les réseaux afin d’éviter qu’une élévation de privilège permette d’atteindre un réseau de plus haut élevé.

Selon le rapport, les auteurs de l’attaque ont réussit a infecter le serveur AD et a effectuer un mouvement latérale permettant d’atteindre un niveau de droits plus élevé. Cela est possible grâce à une mauvaise topologie réseaux et une mauvaise isolation des différents groupes.

 

Date de l’infection inconnue

Nous avons lu dans la presse que l’attaque date de septembre 2014 mais cette information n’est pas vraiment juste. En faite, l’attaque date au-moins de septembre 2014. Les journaux logs n’étant pas conservés assez longtemps, il est impossible de remonter des informations datant d’une date antérieure.

 

Quantitée et nature des données volées inconnue

Comme la totalité des journaux logs n’a pu être récupérée, il est impossible de connaitre la quantité totale, ni la nature des données volée. Nous ne pouvons qu’affirmer qu’environs 20 Gb de données ont été volées depuis septembre 2014.

 

Impossible d’évaluer les dégats

Le rapport note qu’il est extrêmement difficile d’évaluer les dégats. Ceci à cause d’une mauvaise gestion et un non-suivis des fichiers journaux. Alors que les livres de comptes doivent être conservés 10 ans suivant la loi suisse (OLICO), les logs ne sont pas soumis à une réglementation. Dans le cas de RUAG, la durée de conservation des logs parraît tout de même particulièrement courte (environs une année).

 

Aucune info secrète volée ?

Malgré cela, l’entreprise assure qu’aucune donnée secrète n’a été volée, celles-ci ne fesant pas partie d’un réseau ouvert sur l’internet. Par-contre, des données confidentielles se trouvaient sur ces système dans un format chiffré. L’entreprise garanti que les attaquants n’ont pas eu la capacité de les dechiffrer mais comme il leur a été possible d’effectuer un mouvement latéral, rien ne garanti que les clés ne se soient pas retrouvées sur le réseau (il faut de toute façon utiliser la clé à un moment ou a un autre pour pouvoir déchiffrer les données, même poour les employés de RUAG) et que les attaquants ne s’en soient emparés.

L’entreprise minimise aussi l’importance de l’attaque: elle ne concernerait que 1 pour mille des données générées par RUAG. Malheureusement, l’importance d’une attaque ne peut être reliée à la seule quantitée de données volées, c’est la valeur de ces données qui est déterminante. Nous pouvons avoir des milliers d’informations sur le fonctionnement d’une entreprise mais une seule information de valeur quant à un éventuel rachat permettrait de tricher en bourse.

 

Conclusion

Malgré les tentatives de minimisation de la part de RUAG, cette attaque doit être considérée comme une attaque de grande gravité. La cible stratégique qu’est RUAG et son lien avec le DDPS en font une cible critique pour les états étrangers. La complexité du virus utilisé et son histoire privilégie un attaquant de grande puissance avec un soutient étatique. Finalement, le manque de suivis et de contrôle sur les données sortantes des serveurs de RUAG démontre une grande naïveté de l’entreprise face aux menaces informatiques et ruine la possibilité de connaître la nature et la quantité réelle des données volées.

Des mesures ont été prises (gardées secrètes), mais il est important que les entreprises proche de la Confédération puissent avoir un standard commun en matière de cibersécurité. Ceci devrait être dévolu à un organe de la Confédération (peut-être MELANI)  chargée d’établir une stratégie et un standard minimum de protection informatique pour les entreprises et organes affiliés à la Confédération. une pareille structure devrait se retrouver au niveau cantonal.

 

https://www.melani.admin.ch/melani/fr/home/documentation/rapports/rapports-techniques/technical-report_apt_case_ruag.html

http://www.agefi.com/ageficom/news/detail-ageficom/edition/online/article/dans-un-document-ruag-precise-quaucune-donnee-secrete-na-ete-volee-lors-de-lattaque-informatique-ce-type-de-donnees-nest-pas-enregistre-sur-les-systemes-ruag-connectes-a-internet-426573.html

Categories: Informatique, Politique