Avis d’expert sécurité : focus sur les AET

Les techniques d’évasion avancées ou AET : définition, risques et comment s’en protéger. Un avis d’expert de Laurent Boutet, Stonesoft.

En outre, il existe des fonctions analytiques qui détectent et bloquent des codes malveillants comparables à ceux qui sont déjà connus. Or, il suffit parfois d’un changement minimal dans le nombre d’octets pour que la variante AET ne ressemble à aucune des attaques répertoriées dans le système IPS. En conséquence, le système de sécurité ne reconnaît pas le code malveillant crypté avec l’AET et le laisse entrer dans le réseau sans blocage. L’attaquant peut alors librement se déplacer dans le système pour chercher une zone de faiblesse ou un serveur non-patché.

Les IPS doivent donc être à même de gérer plus d’éléments que les simples caractéristiques des codes-menaces pour décerner les attaques AET. Les applications de sécurité qui comparent des signatures d’attaque reçues par l’hôte cible avec des signatures déjà connues ne peuvent pas prendre en compte chaque paquet du trafic réseau. Il ne suffit pas de trier tous les paquets dans l’ordre et rassembler tous les fragments. C’est pourquoi les fonctions d’IPS classiques généralement utilisées pour protéger contre des exploits – comme la prise des empreintes digitales ou la détection à base de signature – ne protègent pas contre les AET.

La normalisation

Des options complémentaires sont nécessaires pour inspecter le flux de données, telles que des paquets de données non reçus en bout de système ou les protocoles qui peuvent être décryptés différemment. Ces contrôles supplémentaires peuvent être mis en œuvre avec un mécanisme appelé la normalisation. Les instruments de sécurité qui sont capables de mettre en œuvre des processus complets de normalisation interprètent des paquets de données et les rassemblent comme le système final. Ils prennent en compte toutes les couches pertinentes pour chaque connexion. Le risque que les paquets de données ne se comportant pas selon les règles RFC 791 puissent contourner des systèmes de sécurité sans détection est réduit.

Les réseaux devraient aussi être protégés avec des systèmes de sécurité flexibles à base de logiciel. Ils n’offrent pas la protection 100 % garantie contre les AET mais peuvent être ajustés aux modèles d’attaque changeants plus facilement et rapidement que des solutions matérielles. Contrairement aux solutions matérielles, les solutions logicielles tiennent compte de la mise en œuvre immédiate des patchs de sécurité et des mises à jour. La gestion centralisée est également un atout pour le traitement efficace des AET.

Quel est l’objectif des AET à présent ?

On ne peut pas mesurer avec exactitude l’utilisation actuelle des AET. Ne laissant pas de trace, ces attaques sont découvertes quand elles sont déjà entrées dans le réseau. Mais alors il n’est plus possible de dire quelle technique a été utilisée pour permettre au code malveillant de contourner les systèmes de sécurité. Des recherches actuelles indiquent que certaines AET sont relativement faciles à manipuler, et on peut supposer que les pirates informatiques les utilisent déjà.

D’autres sont très complexes et leur utilisation exige des ressources financières considérables ainsi que le savoir-faire technique. De telles ressources et savoir-faire sont du ressort des cybercriminels organisés agissant selon des intérêts économiques ou politiques. On en conclut que les attaques déguisées par les AET constituent une menace pour les données sensibles de grandes sociétés, des agences gouvernementales ou des banques.

Lire aussi : Télégrammes : l’Europe vote Snowden ; MySQL fait du DDoS ; Open Source chez Apple ; Stonesoft revendu