Avis d’expert sécurité : focus sur les AET

Les Techniques d’Évasion Avancées (AET) constituent un nouveau défi pour les systèmes de sécurité réseau. Un avis d’expert de Laurent Boutet, CISSP, expert avant-vente de Stonesoft.

Contrairement aux moyens de contournement connus, les AET combinent et modifient des méthodes afin de déguiser une attaque ou un code malveillant. Ainsi elles infiltrent un réseau sans être détectées par les systèmes de sécurité en place. Le risque particulier associé aux AET est le nombre presque illimité d’options de combinaison qui peuvent s’effectuer. Les estimations actuelles atteignent 2^250 variantes d’AET, qui vont servir aux pirates informatiques pour déguiser une attaque. Des mécanismes de protection courants (système de prévention d’intrusion ou pare-feu) ne gèrent pas ces techniques. Il n’existe aucune protection complète contre les AET. Néanmoins il est possible de sécuriser des réseaux par des méthodes de prévention.

Décryptage du fonctionnement des AET

Pour contourner un système protégé les cyberpirates déguisent ou modifient des logiciels malveillants et les dirigent, inaperçus, vers des réseaux. Dans le cas de contournements simples et des AET, le protocole TCP/IP, utilisé sur Internet et une majorité de réseaux informatiques, joue un rôle central. Il refait appel à la norme IP RFC 791 et définit un mode de réception ouvert tandis que le mode envoi reste conventionnel. En général seuls des paquets de données sans erreur peuvent être envoyés, et le système accepte tous les paquets de données entrants qui peuvent être interprétés en bout de chaîne. Des paquets de données entrants peuvent disposer de formats différents, mais ils sont toujours interprétés de la même manière. Cette approche ouverte, basée sur la notion que l’interaction entre des systèmes différents doit être aussi fiable que possible, ouvre la porte aux attaques ou aux techniques déployées pour les déguiser.

Les différents systèmes d’exploitation et applications ne se comportent pas de la même manière en recevant des paquets de données, et il peut arriver qu’un IPS ne détecte pas le contexte original du paquet et par conséquent, interprète le flux de données différemment de l’hôte cible. On parle dans ce cas de « désynchronisation de statut ». C’est le point de départ pour des techniques de contournement, qui utilisent ce contexte pour créer les paquets de données qui apparaissent normaux et sécurisés. Ces paquets ne sont identifiés comme des attaques que quand ils sont interprétés par le système final, c’est-à-dire, quand le code malveillant est déjà installé dans le réseau.