Tribune : décryptage de la série dédiée à la cybersécurité “Mr. Robot”

Mr. Robot

La saison 3 de la série américaine à succès Mr. Robot vient de débuter aux Etats-Unis et sera prochainement diffusée sur France 2. La série suit Elliot Alderson, un jeune homme passionné d'IT et de numérique, convaincu de ne pouvoir rencontrer des gens qu'en piratant leurs objets informatiques. Employé dans une société de protection des données informatiques, il est approché par un certain "Mr. Robot" pour pirater l'entreprise qui détient la société pour laquelle il travaille. Nous vous proposons l’éclairage d’Hervé Dhelin, expert français en cybersécurité,  vice-président stratégie d’EfficientIP, autour de la série.

Les nombreuses cyber-attaques subies ces derniers mois par les grands groupes attestent que la réalité se rapproche de la fiction.

Si vous n’êtes pas familier avec la série télé Mr. Robot, voici le
hackeurs dénommé « fSociety » s’est donné pour mission de faire
conglomérat géant qui produit des smartphones et des ordinateurs et gère
énorme banque.

Mené par le hackeur de génie Elliot Anderson, le groupe réussit à supprimer la
dettes dans le monde en lançant une série de cyberattaques sur les serveurs d’E
contenaient les dossiers de tous ses clients.

Mr. Robot est largement considéré comme le portrait le plus réaliste du hacking
jamais été vu sur un écran de télévision. La plupart des attaques montrées dans la série sont plausibles et même parfois inspirées par des évènements réels. Même les screenshots des lignes de commande reproduisent la réalité avec un soin méticuleux.

Etant donné la multitude de cas de cyber-attaques commises récemment sur les entreprises (vol de données chez Uber ou encore le virus Wannacry…), quelles leçons peut-on tirer de cette fiction hyper réaliste ?

Les différentes cyber-attaques utilisées dans la série

Attaques DDoS

Les attaques DDoS (Distributed Denial of Service) sont utilisées pour submerger
de demandes qui apparaissent légitimes, ce qui rend les sites internet et
inutilisables et permet aux hackers d’exploiter la faiblesse du serveur pour
données.

Une attaque DDoS est utilisée dans Mr. Robot pour obtenir accès à E Corp et
écran de fumée afin de s’infiltrer dans le serveur et d’installer rookits (outils de dissimulation d’activité) et malwares (logiciels malveillants).

D’après notre rapport « DNS Threat Survey », les attaques DDoS sont
d’attaque contre les entreprises le plus répandu dans le monde et cette
près de faiblir.

Attaques zero-day

Une attaque « zero-day » est certainement l’exploitation de failles
dangereuse car aucun correctif connu n’existe pour combattre ces attaques quand les failles sont découvertes en attendant qu’un correctif soit disponible. Si vous avez entendu parler du ver informatique Stuxnet qui aurait été développé par la NSA américaine pour pirater le programme nucléaire iranien, alors vous comprenez le danger inhérent aux vulnérabilités zero-day.

Dans le dernier épisode de la saison 1 de Mr Robot, le groupe fSociety déploie une attaque
zero-day contre le réseau E Corp par le biais d’un malware, rendant les données de l’entreprise complètement inaccessibles par un cryptage invulnérable utilisant un algorithme AES-256.

E Corp se retrouve complètement désemparé et sans aucune trace des dettes contractées à
travers le monde. Le fait est que dans la réalité la plupart des malwares utilisent le  protocole DNS d’une manière ou d’une autre pour mener une telle attaque. Le DNS est comme un gros annuaire qui fait le lien entre une adresse internet, qui est une suite de chiffres impossibles à retenir, et le nom de domaine correspondant.

Equifax, Deloitte, Yahoo…. La liste est longue des entreprises touchées
failles de sécurité importantes et beaucoup d’entre elles peuvent attribuer la responsabilité des attaques à une absence de patchs (pour quelle autre raison Mr. Robot chercherait-il des failles chez E Corp sur le moteur de recherche Shodan.io?). Des attaques peuvent alors être lancées contre un serveur DNS non protégé, résultant souvent dans une perte de contrôle totale du réseau et des sites internet.

Dans notre rapport « DNS Threay Survey » 19% des entreprises
confessaient avoir été affectées par une attaque zero-day contre leur serveur
d’entre elles qu’elles n’avaient pas installé les patchs de sécurité publiés.

Détournement de DNS

Dans la série Elliot visite un sous-terrain investi par des hackeurs pour un
the Flag » dans le but d’obtenir accès à un ordinateur connecté à Internet
blackout général plonge New York dans l’obscurité.

Il réussit à fermer la backdoor (porte dérobée) donnant accès aux systèmes d’E Corp afin de la protéger du groupe de hackeurs « Dark Army »
technique permet de changer les paramètres du serveur DNS et de détourner le
domaine. 

Ce type d’attaque DNS a été lancée récemment contre une banque brésilienne pour voler les coordonnées de chaque client qui se connectait pendant la durée de l’attaque.

Comment se défendre?

Des solutions sur mesure

Dans la série Elliott et son équipe savent qu’ils seront bloqués aux points d’entrée habituels du réseau impénétrable de Steel Mountain, le centre de sécurité de données d’E Corp. Cela les force à inventer des solutions créatives pour en obtenir l’accès.  
Finalement ils découvrent que le maillon faible dans le réseau est celui du
contrôle de la climatisation ! Alors que les solutions sur-mesure mises en
parviennent sans problème à éviter toute intrusion.

Dans la plupart des entreprises modernes, des solutions de trafic web et de
emails sont mises en place en tant que piliers du système de sécurité Mais
n’investissent-elles pas également dans une protection similaire de leur serveur DNS ?

Avoir une compréhension en profondeur du protocole DNS est la seule façon de
précisément et en temps réel des menaces et de s’assurer de pouvoir prendre des
de défense adaptées.

Des solutions sur mesure offrent des technologies capables de s’adapter, par
permettant de basculer rapidement d’un moteur DNS à un autre lors d’une attaque
day, ou d’absorber des attaques DDoS massives pour continuer à autoriser le trafic légitime.

Eviter de mettre tous les œufs dans le même panier

En voyant le chaos social et politique qu’il a engendré avec sa cyberattaque du
Elliott renie son action et obtient un emploi au sein d’une équipe de
dans le but de défaire le propre plan qu’il avait mis en œuvre.

Dans une des scènes il présente à la direction d’E Corp un plan pour disperser
tous les documents papiers de l’entreprise. Il prévient en effet qu’il faut éviter de rassembler tous les documents papiers dans un seul bâtiment localisé à New York, ce qui constituerait un point unique de défaillance (single point of failure).

Un point unique de défaillance est une réalité pour de trop nombreux réseaux
On peut certes se préparer en faisant des sauvegardes de ses données pour
remettre en service son réseau aussi rapidement que possible, mais bien souvent
données resteront oubliées.

Il est dangereux de se fier à une seule source lorsqu’on crée l’architecture de
société américaine Dyn, un fournisseur de services DNS, a expérimenté ce
Octobre 2016 quand le botnet Mirai a fait tomber ses services DNS dans le
inaccessibles les services de sa multitude de clients (Twitter, Reddit, CNN…).

La réponse dans ce cas se trouve dans une infrastructure DNS cloud hybride, qui
une combinaison de DNS en interne et de DNS public en cloud, qui permet de
risque de mettre tous ses œufs dans le même panier.

Une des clés pour éviter l’interruption de son service DNS est de permettre une
géographique. De cette manière vous pouvez non seulement protéger votre réseau
les attaques DDoS et les désastres naturels, mais également rediriger le trafic
serveur lorsque que vous faites face à des problèmes localisés sur votre réseau.

Se tenir informé des dernières tendances

Etant donné que les techniques de piratage évoluent sans cesse, les entreprises
maintenir à jour en temps réel en s’informant des dernières cyber-attaques. Des flux de données dynamiques tels que ceux de SURBL ou FireEye donnent des
menaces à haut risque les plus récentes, un premier pas pour se prémunir contre
dangereux de son DNS.

Une véritable protection devrait signaler à l’entreprise si elle est infectée ou non, et une fois que le réseau est conscient de l’attaque, la communication entre les outils de dissimulation d’activité du hackeur et son serveur devrait être stoppée.

Bien des attaques pourraient être évitées ou bien les dégâts atténués si elles
repérées à temps. Des systèmes de sécurité efficaces existent pourtant pour
entreprises à détecter et analyser le trafic DNS illégitime avant que le mal ne soit fait !

Ancien informaticien, Hervé Dhelin est aujourd’hui un des dirigeants d’EfficientIP, entreprise spécialisée dans la sécurité des réseaux. Passionné par la série, il vous propose de décrypter le jargon des hackers et d’échanger sur l’évolution possible du scénario.

Tags :Sources :efficientip
Dernières Questions sur UberGizmo Help
  1. Erreur dans les toutes premières lignes “pour pirater l’entreprise qui détient la société”.
    AppSafe est une société de services pour E-Corp cependant, comme c’est leur plus gros client, ils sont dépendant entièrement mais il n’appartiennent donc pas à E-Corp.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité