Avis d’expert sécurité : focus sur les AET

La Rédaction,

Les techniques d’évasion avancées ou AET : définition, risques et comment s’en protéger. Un avis d’expert de Laurent Boutet, Stonesoft.

Quel risque particulier associe-t-on aux AET ?

Jusque très récemment, on connaissant quelques techniques de contournement, qui étaient correctement gérées par les solutions de sécurité. Mais depuis la découverte de Techniques Avancées, il est évident que davantage de techniques peuvent être utilisées pour contourner des systèmes IPS. Les AET exploitent des vulnérabilités dans des protocoles et les faibles barrières de sécurité de la communication réseau. Tout comme les méthodes conventionnelles, elles commencent par « le statut désynchronisé » décrit plus haut. Or les AET font preuve de plus de finesse encore – elles varient constamment, combinent les techniques de déguisement et visent différentes couches du réseau.

Les nouveaux champs d’attaque

Les tests de départ ont identifié la possibilité d’attaques AET au niveau de l’IP, du transport (TCP, UDP) et des protocoles de couche applicatives (SMB et RPC). Le phénomène a donc été identifié comme une menace interne. Des AET intervenant au niveau d’autres protocoles, comme IPV4, IPv6, TCP et HTTP, ont aussi fait surface en automne 2011. Si les AET visent la couche de protocole HTTP (le port 80 et donc l’Internet), elles peuvent aussi tromper les pare-feux et faire passer des logiciels malveillants dans le réseau via le trafic Web. Cela signifie que les cyberpirates peuvent utiliser les AET pour atteindre les environnements cloud tout comme des applications et données web. Le protocole IPv6 offre aux AET de nouvelles façons de déguiser des attaques protocolaires ou agissant au niveau du transport. En raison de la compatibilité exigée avec IPv4, les systèmes doivent faire preuve d’une plus grande tolérance lors de l’interprétation de paquets de données entrants. Cela augmente la dérive pour les AET lorsqu’il s’agit de déguiser des codes malveillants. Un facteur aggravant est notre manque d’expérience et de recul par rapport à l’IPv6.

À ce jour Stonesoft a identifié plus de 300 AET différents. Ce n’est qu’une goutte d’eau ! On peut estimer les combinaisons potentielles aujourd’hui à 2^250. Voici donc le défi auquel les systèmes de sécurité sont confrontés à présent. La protection fiable contre des attaques réseau déguisées par le biais des AET implique que les IPS doivent connaître et intégrer toutes les variantes AET utilisables par un système cible pour rassembler des fragments de données.

Comment se protéger contre les AET ?

Les dispositifs d’inspection de flux fonctionnent avec des analyses de protocole et détections de signature. Cela signifie qu’un système IPS doit déjà être familier avec un modèle d’attaque pour pouvoir l’éviter. Vu le nombre potentiel des AET la tâche est très difficile. Il est vrai que les méthodes de détection correspondantes sont généralement ajoutées aux dispositifs quelques jours après la découverte de nouvelles menaces.