A) Préambule :

Cet article technique est construit en deux parties. Sans être exhaustif il recense les principaux projets en cours dans les entreprises ou encore, les principales technologies / outils.

Pour parler de lutte contre le cyber criminalité au niveau de l’entreprise, impossible de faire l’impasse sur les notions d’accès, de protocole et de liaisons intersites. C’est l’objet de cette première partie.

Première partie : Transport de données intersites et sécurisation des accès réseau à travers des technologies avancées comme le SD-WAN, les réseaux privés 5G, ainsi que des protocoles de sécurité tels que TLS, IPsec.

C’est volontairement que nous n’avons pas développé la partie sur la sécurité réseau (firewalling par exemple). Le domaine mérite un article à lui seul.

Seconde partie : Dédiée à quelques outils de lutte en cyber criminalité + pdf « Cyber Kit Tools »

• Outils de Lutte contre la Cybercriminalité : Présentation des technologies de tests de pénétration et des solutions de surveillance réseau.
• Outils de surveillance réseau, les solutions de test de pénétration, et les meilleures pratiques pour protéger les applications contre les menaces actuelles.

B) Partie N°1 : Liaisons intersites, protocole, authentification et cryptographie

1. Liaisons inter-sites :

1.1. Protocole SSL/TLS et les évolutions de TLS 1.3

Le protocole SSL a progressivement laissé place à TLS (Transport Layer Security), avec TLS 1.3 comme norme de sécurisation des communications entre clients et serveurs, éliminant les suites de chiffrement obsolètes pour renforcer la confidentialité et réduire les phases de négociation.

• TLS 1.3 introduit des améliorations comme la suppression du support de la négociation de suites de chiffrement obsolètes (SSL et RC4), et réduit les phases de négociation de la connexion sécurisée, améliorant à la fois la sécurité et la latence.

1.2. Protocole IPsec et Sécurisation des VPN

Le protocole IPsec reste pertinent pour la sécurisation des réseaux privés virtuels (VPN), mais il est régulièrement complété par des solutions modernes comme WireGuard, réputé pour sa rapidité et sa simplicité. WireGuard utilise des algorithmes de cryptographie modernes et convient bien aux environnements de cloud et de télétravail. WireGuard utilise des techniques cryptographiques modernes comme Curve25519

• IPsec (Internet Protocol Security) est une solution très pertinente, surtout dans des environnements traditionnels où la compatibilité avec les systèmes existants est essentielle. Cette technologie fournit une connexion sécurisée entre les réseaux, offrant des fonctionnalités telles que l’authentification et le chiffrement des données en transit. IPsec est particulièrement adapté aux connexions actives, permettant aux entreprises de maintenir la sécurité de leurs communications sans nécessiter de modifications majeures de l’infrastructure existante.
• OpenVPN est une solution connue pour sa flexibilité et sa robustesse. Elle utilise des protocoles de chiffrement standard tels que AES et peut fonctionner sur presque toutes les plateformes. OpenVPN est souvent apprécié pour sa capacité à traverser les pare-feu et à établir des connexions sécurisées dans des environnements variés. Sa configuration peut être jugée complexe.
• WireGuard et une solution qui est toujours en développement. WireGuard représente une avancée moderne dans le domaine des VPN, conçue spécifiquement pour répondre aux exigences contemporaines de performance et de sécurité. Avec une architecture minimaliste, WireGuard promet des connexions plus rapides et un code plus simple, ce qui réduit les risques de vulnérabilités. Cependant, un des principaux reproches formulés à son encontre est l’absence de gestion dynamique des adresses IP. Cela signifie que la configuration peut devenir plus complexe dans des environnements où les adresses IP changent fréquemment, limitant ainsi son adoption dans certains scénarios où la flexibilité est obligatoire.

1.3. SD-WAN (Software-Defined WAN) : La Sécurité Réseau Agile

Les réseaux SD-WAN représentent une évolution importante dans la gestion des réseaux étendus (WAN), en particulier pour les entreprises ayant des infrastructures globales. C’est depuis quelques années, l’un des enjeux de développement de nombreux opérateurs telecoms. Contrairement aux WAN traditionnels, SD-WAN permet d’utiliser des réseaux divers (Internet, MPLS, LTE) tout en priorisant la performance et la sécurité des connexions entre différents sites.

• Sécurité intégrée : SD-WAN intègre des fonctions de sécurité telles que des firewalls, VPN, et chiffrement de bout en bout, tout en segmentant le trafic pour éviter les fuites de données entre applications critiques et non critiques.
• En optimisant l’acheminement du trafic selon les priorités métier, SD-WAN améliore la performance des applications critiques, même sur des liaisons non sécurisées comme Internet, tout en offrant une gestion centralisée de la sécurité.

1.4. Réseaux Privés 5G : Sécurité et Performance

Les réseaux privés 5G sont une innovation majeure permettant aux entreprises de déployer leurs propres infrastructures de communication à très faible latence et à haut débit.

• Avantages en sécurité : Les réseaux 5G privés offrent un contrôle granulaire sur l’accès au réseau, permettant une segmentation stricte des utilisateurs et des applications. Ils intègrent également des capacités natives de chiffrement de bout en bout et des mécanismes d’authentification forts.
• Idéal pour les liaisons intersites avec du temps réel, comme les environnements de fabrication industrielle, les hôpitaux, ou encore les smart cities, les réseaux privés 5G apportent à la fois performance et sécurité pour des infrastructures critiques.

1.5. Autres

En matière de liaisons inter-sites, des solutions portées par les opérateurs, telles que le MPLS (Multiprotocol Label Switching) ou le Lan to Lan, conservent des atouts majeurs en offrant une fiabilité élevée, une faible latence et un contrôle renforcé sur le trafic, répondant ainsi aux besoins de sécurité et de performance des entreprises. Il est également possible de faire de la QOS.

2. Sécurité Applicative : API et Protection des Systèmes

2.1. Sécurité des API : Enjeu Majeur pour les Architectures Distribuées

Les architectures microservices et des API deviennent des cibles de choix pour les cyber attaquants. Les failles comme les API exposées, les mauvaises authentifications, ou les contrôles d’accès insuffisants sont parmi les plus fréquentes.

• OAuth 2.0 et JWT : Les API sécurisées adoptent des standards comme OAuth 2.0 pour l’authentification et l’autorisation, souvent couplé à JWT (JSON Web Tokens) pour gérer les sessions de manière sécurisée.
• Attaques d’API : Les attaques par répudiation, bruteforce des tokens JWT, ou exploitation d’une API non protégée sont de plus en plus courantes. Utiliser des solutions comme API Gateway permet de contrôler les accès, gérer les quotas et les restrictions par utilisateur.
• Outils de test : Burp Suite et OWASP ZAP sont des outils clés pour identifier les failles des API RESTful, en simulant des attaques comme le fuzzing ou les injections SQL dans les points d’accès API.

2.2. OWASP Top 10 : Renforcer la Sécurité des Applications Web

OWASP Top 10 est une liste des vulnérabilités les plus critiques pour les applications web, publiée par l’Open Web Application Security Project (OWASP). Cette liste est largement reconnue comme une norme pour la sécurité des applications web. Elle est utilisée par les développeurs, les entreprises, et les professionnels de la cybersécurité pour identifier, prioriser, et corriger les vulnérabilités les plus importantes dans leurs applications.

Objectifs du OWASP Top 10 :

• Sensibiliser à la sécurité
• Fournir des recommandations
• Promouvoir les meilleures pratiques

3. Authentification et Gestion des Accès : AWS Cognito et Alternatives

Dans cette section, nous nous attardons sur les mécanismes mis à disposition des principales plateformes et à quelques alternatives.

3.1. AWS Cognito : Une Solution d’Authentification Puissante

AWS Cognito est une solution d’authentification proposée par Amazon qui facilite l’authentification et l’autorisation des utilisateurs pour des applications web et mobiles. Elle permet de gérer des utilisateurs, de générer des tokens JWT sécurisés, et de configurer l’authentification multi-facteurs (MFA) via TOTP ou SMS.

• Cas d’utilisation : Cognito est idéal pour des applications SaaS nécessitant une gestion évolutive des utilisateurs, combinant sécurité et intégration avec d’autres services AWS.

Google Cloud Identity Platform : Proposée par Google, cette solution permet de gérer l’authentification et l’accès des utilisateurs de manière centralisée, avec des intégrations natives à Google Cloud et une prise en charge de standards comme OAuth 2.0 et OpenID Connect.

Azure AD (Active Directory) : Microsoft propose Azure AD, une solution d’identité avec SSO, MFA, et des outils de gestion des identités pour les environnements cloud et hybrides, adaptée aux infrastructures basées sur Microsoft.

3.2. Autres

1. Auth0 : Une alternative populaire pour l’authentification des utilisateurs. Auth0 propose une interface facile à utiliser et une API flexible, avec des fonctionnalités robustes pour la gestion des accès.
2. Okta : Une solution axée sur les entreprises avec des fonctionnalités de SSO (Single Sign-On), MFA et gestion des identités à grande échelle.
3. Keycloak : Une solution open-source pour la gestion des accès et des identités, supportant SSO, OAuth 2.0, et OpenID Connect. Keycloak est une option idéale pour les entreprises préférant l’auto-hébergement.

3.3. Authentification sans mot de passe

L’authentification sans mot de passe est une méthode de connexion qui repose sur des facteurs d’identité autres que les mots de passe traditionnels, afin de renforcer la sécurité et de simplifier l’expérience utilisateur. Plutôt que de demander aux utilisateurs de mémoriser des mots de passe vulnérables aux attaques de phishing, bruteforce, ou de fuite de données, l’authentification sans mot de passe utilise des facteurs biométriques, des tokens physiques ou des systèmes de validation uniques pour vérifier l’identité des utilisateurs.

Sur quoi repose l’authentification sans mot de passe ?

Biométrie : Les empreintes digitales, la reconnaissance faciale, ou la reconnaissance vocale permettent de vérifier l’identité de l’utilisateur de manière unique.

1. • Exemple : Windows Hello de Microsoft, qui utilise la biométrie pour permettre aux utilisateurs de se connecter aux systèmes sans mot de passe.

Authentification par Token physique : Des dispositifs de type clé USB, comme YubiKey ou Titan Security Key de Google, qui génèrent des codes d’accès uniques pour chaque session.

1. • Exemple : Les clés de sécurité FIDO2, qui peuvent être utilisées sur des plateformes comme Google, Microsoft et Facebook, fournissent une authentification par clé physique en générant un code unique via le protocole FIDO.

Applications de vérification mobile : Des applications d’authentification envoyant des codes de vérification uniques directement sur l’appareil de l’utilisateur, souvent sous forme de notifications push.

1. • Exemple : Duo Mobile permet de valider une connexion en envoyant une notification push à l’appareil mobile de l’utilisateur, éliminant ainsi le besoin de mots de passe.

Solutions existantes et concrètes pour l’authentification sans mot de passe

• FIDO2 et WebAuthn : Ces standards, soutenus par l’Alliance FIDO et le W3C, utilisent des facteurs biométriques ou des clés physiques pour remplacer les mots de passe. FIDO2 s’appuie sur la cryptographie à clé publique, rendant chaque session unique et non réutilisable, ce qui empêche l’interception des identifiants.
• Microsoft Authenticator : Une application permettant aux utilisateurs d’approuver les connexions sans mot de passe via une notification push.
• Okta Passwordless : Solution d’Okta intégrant FIDO2, des tokens et des biométries pour une authentification robuste sans mot de passe.

5. Cryptographie et Sécurité des Données : Protéger les Données Sensibles

5.1. AES 256 : Le Standard de Chiffrement

L’AES (Advanced Encryption Standard), en particulier sa version AES-256, est largement adopté comme standard de chiffrement. AES-256 offre une protection robuste contre les attaques par force brute.

• Fonctionnement : AES repose sur un algorithme symétrique, où la même clé est utilisée pour chiffrer et déchiffrer les données. AES-256 se distingue par sa clé de 256 bits, qui offre un niveau de sécurité bien supérieur aux versions précédentes.
• Évolutions récentes : Avec l’émergence des menaces liées à l’informatique quantique, des alternatives à AES basées sur la cryptographie post-quantique (algorithmes résistants aux ordinateurs quantiques) sont en cours de développement.

Précision à la demande de nos lecteurs concernant AES256 et Curve25519 :

Comparer AES-256 et Curve25519 n’est pas tout à fait approprié parce que ces deux technologies remplissent des rôles différents dans la cryptographie.

1. AES-256 (Advanced Encryption Standard) est un algorithme de chiffrement symétrique. Il est utilisé pour chiffrer des données de sorte que le même secret (clé) est utilisé pour chiffrer et déchiffrer les informations. AES-256, en particulier, utilise une clé de 256 bits, le rendant extrêmement résistant aux attaques par force brute.
2. Curve25519 est une courbe elliptique utilisée pour la cryptographie asymétrique. Elle sert dans des protocoles comme Diffie-Hellman pour établir un secret partagé entre deux parties qui ne se connaissent pas au préalable. Curve25519 est utilisée dans des protocoles de chiffrement comme TLS pour sécuriser les échanges de clés dans les connexions réseau.

AES-256 et Curve25519 ne sont donc pas directement comparables car :

• AES-256 se concentre sur le chiffrement de données en bloc, idéal pour protéger des données au repos ou en transit une fois que la clé de session est partagée.
• Curve25519 est conçue pour l’échange sécurisé de clés et la cryptographie asymétrique, afin d’établir un canal sécurisé pour la transmission des clés de chiffrement comme celles d’AES.

En bref, AES-256 et Curve25519 sont souvent utilisés ensemble dans les protocoles de chiffrement modernes : Curve25519 établit une clé de session sécurisée, puis AES-256 est utilisé pour chiffrer les données pendant la session elle-même.

5.2. Cryptographie Post-Quantique

« Les ordinateurs quantiques pourraient, dans un futur proche, casser les algorithmes classiques de chiffrement asymétrique comme RSA ou ECC en quelques heures, car les techniques de cryptographie asymétrique sont particulièrement vulnérables aux capacités de calcul massives qu’offriront ces ordinateurs. Bien que AES-256, en tant qu’algorithme symétrique, soit moins vulnérable, il est néanmoins exposé, et sa sécurité pourrait également être menacée par des ordinateurs quantiques. Cependant, pour décrypter une clé basée sur AES-256, il faudrait un nombre de qubits très élevé nous laissant un peu de temps devant nous avant que la menace ne devienne réalité.

A noter : La cryptographie post-quantique se concentre sur la création de nouveaux algorithmes résistants aux capacités des ordinateurs quantiques. Dans le cas des algorithmes asymétriques, des alternatives comme la lattice-based cryptography ou les fonctions de hachage résistantes aux attaques quantiques sont en cours de développement. Pour les algorithmes symétriques comme AES-256, augmenter la taille des clés pourrait suffire à renforcer la résistance contre les futurs ordinateurs quantiques.

C) Partie N°2 : Technologies et Solutions Logicielles : L’Artillerie des Experts en Cybercriminalité [Pour plus d’exhaustivité, nous avons placé en bas de cet article, un pdf sur les différents outils des équipes CYBER]

Les cybercriminels se dotent d’outils de plus en plus sophistiqués, ce qui impose pour les contrer, d’utiliser des technologies tout aussi avancées. Nous vous proposons d’explorer quelques solutions logicielles utilisées par les experts en cybersécurité pour identifier, analyser, et contrer les menaces, avec un focus sur les technologies de pointe qui illustrent l’avant-garde de la défense cybernétique.

1. Analyse Réseau et Détection des Menaces

Wireshark : Le Standard de l’Analyse Réseau

Wireshark est un outil incontournable pour l’analyse des paquets réseau. Il permet de capturer et d’inspecter en profondeur les données transitant par un réseau. Les experts en cybersécurité l’utilisent pour détecter des comportements anormaux, identifier des tentatives d’intrusion ou analyser des communications suspectes.

• Cas d’utilisation / exemple : Analyse en temps réel des paquets lors d’une attaque DDoS pour comprendre les vecteurs d’attaque. Il est particulièrement efficace pour identifier les tentatives de vol de données en transit (MITM, Man-in-the-Middle).
• Wireshark dispose de filtres personnalisés, permet la détection de protocoles obscurs ou malveillants, et la capacités d’exportation de logs.

Nmap : Le Couteau Suisse de la Cartographie Réseau

Nmap est un autre outil indispensable pour les pentesters et les experts en cyberdéfense. Il permet de scanner les réseaux et d’identifier les ports ouverts, les services actifs et les versions logicielles des hôtes connectés.

• Cas d’utilisation : Nmap est utilisé pour effectuer des reconnaissances réseau et identifier les points d’entrée potentiels lors d’un test d’intrusion. Il permet également de tester la robustesse des pare-feux et des règles de filtrage.
• Nmap est capable de détecter les services cachés, de faire de la détection d’OS (système d’exploitation), et de fournir des rapports détaillés sur les vulnérabilités potentielles.

2. Tests de Pénétration (Pentests) et Exploitation des Failles

Kali Linux : La Distribution Préférée des Pentesters

Kali Linux regroupe plus de 600 outils de sécurité et de tests d’intrusion. Il est la distribution phare utilisée par les professionnels pour mener des attaques simulées sur des systèmes afin de détecter des failles de sécurité.

• Principaux outils : Aircrack-ng (audits de réseau Wi-Fi), Hydra (attaque par force brute), et John The Ripper (craquage de mots de passe).
• Pourquoi Kali ? : Kali est un environnement entièrement dédié à la sécurité offensive. Il permet aux experts de réaliser des tests de pénétration sur des réseaux complexes, tout en intégrant les derniers outils de sécurité.

Metasploit : L’Art de l’Exploitation des Failles

Metasploit est une plateforme complète permettant de tester et exploiter des failles dans les systèmes informatiques. C’est l’un des outils les plus populaires pour les pentesters en raison de sa base de données massive de vulnérabilités et de ses capacités d’automatisation.

• Fonctionnalité principale : Metasploit permet aux experts de simuler des cyberattaques en exploitant des failles connues pour évaluer la sécurité des systèmes. Il permet également de tester la robustesse des patches et des mises à jour de sécurité.
• Atout : Grâce à sa base de données de plus de 1 500 exploits, Metasploit permet de réaliser des tests d’intrusion rapides tout en offrant des rapports détaillés pour corriger les failles.

Les experts considèrent cette solution comme un outil très intéressant pour appréhender un environnement et notamment pour tester rapidement une large gamme de vulnérabilités. Dans un test de pénétration typique, Metasploit peut être utilisé pour des tests initiaux, suivi par des outils plus discrets pour des actions spécifiques.

Metasploit est un incontournable qui couvre tout le cycle d’un test d’intrusion, de la reconnaissance (avec des intégrations comme Nmap) à la post-exploitation (avec Meterpreter). Les utilisateurs avancés peuvent écrire leurs propres modules Ruby pour exploiter des vulnérabilités spécifiques. Il peut être combiné avec des outils comme Burp Suite, Nessus ou Wireshark pour des tests plus complets.

Les experts ajoutent quelques points d’attentions :

• Metasploit est open source et accessible ce qui signifie qu’il est également utilisé par des cybercriminels, ce qui réduit parfois son efficacité lorsque des systèmes sont configurés pour détecter ses signatures.

• Metasploit est principalement efficace pour exploiter des vulnérabilités déjà connues. Les attaques Zero-Day ou les vulnérabilités spécifiques nécessitent des modules personnalisés. Pour bien faire, il faut donc utiliser des solutions complémentaires pour aller dans le détail de ce que ne verra pas Metasploit.
• Attention, certains modules ne sont pas furtifs ce qui rend la solution peu efficace pour des opérations nécessitant un haut niveau de discrétion.

• Metasploit est roi dans l’exploitation de systèmes obsolètes ou mal configurés, mais il est parfois moins adapté pour les environnements modernes avec des mécanismes de sécurité renforcés.

Cobalt Strike

Conçu pour les tests d’intrusion avancés et la simulation d’attaques adverses. Plus furtif que Metasploit et conçu pour simuler des menaces avancées, mais payant et destiné aux experts.

• Fonctionnalités principales : Framework d’attaques post-exploitation. Simule des menaces persistantes avancées (APT). Modules personnalisables pour des attaques sophistiquées.
• Avantage : Une solution robuste avec des capacités d’émulation d’adversaire bien au-delà de Metasploit.

Empire (souvent couplé à Cobalt Strike)

• Fonctionnalités principales : Framework de post-exploitation écrit en Python. Support de divers payloads, en particulier pour Windows. Communication via canaux chiffrés. Intégration avec des outils comme BloodHound.
• Avantage : Léger et flexible pour les tests d’intrusion ciblés.

3. Outils de Gestion des Journaux et Analyse des Logs

Graylog : La Surveillance Log Centralisée

Graylog est une solution open source avancée pour la gestion centralisée des journaux (logs). Il permet d’analyser en temps réel les événements de sécurité grâce à la collecte, l’indexation et la surveillance des logs générés par les systèmes et les applications.

• Cas d’utilisation : Détection des anomalies dans les logs, suivi des activités suspectes, et gestion proactive des incidents de sécurité. Graylog est idéal pour surveiller les infrastructures complexes en temps réel.
• Atout : Graylog intègre des dashboards personnalisés, des alertes en temps réel, et des capacités de corrélation des événements pour une réponse rapide aux menaces.

Logstash : La Collecte et le Traitement des Logs

Logstash fait partie de la stack ELK (Elasticsearch, Logstash, Kibana), très utilisée pour le traitement des logs en cybersécurité. Il permet de collecter des données issues de diverses sources, de les transformer et de les envoyer à des systèmes de stockage pour analyse.

• Cas d’utilisation : Logstash est souvent utilisé pour collecter les journaux d’événements et les envoyer vers des systèmes comme Elasticsearch pour une analyse approfondie et des visualisations. Il aide à identifier les anomalies de sécurité en temps réel.
• Atout : Avec sa capacité à traiter des données en temps réel, Logstash est un outil clé pour la gestion des incidents et la détection des menaces.

4. Outils de Craquage de Mots de Passe et Attaques Brute Force

Hydra : L’Art de la Force Brute

Hydra est l’un des outils de force brute les plus rapides pour tester l’authentification sur des services distants comme SSH, FTP, Telnet, et bien d’autres. Il est utilisé par les experts pour évaluer la robustesse des systèmes d’authentification et identifier des mots de passe faibles.

• Cas d’utilisation : Tester la résistance des systèmes d’authentification multi-facteurs, en particulier ceux reposant sur des mots de passe. Il est particulièrement efficace dans les environnements où les systèmes sont mal configurés ou utilisent des mots de passe faibles.
• Atout : Hydra peut tester de nombreux services simultanément, accélérant ainsi la découverte de failles d’authentification.

John The Ripper : Le Craquage de Mots de Passe

John The Ripper est l’un des outils les plus puissants pour craquer des mots de passe chiffrés. Il est principalement utilisé pour tester la robustesse des mécanismes de protection de mots de passe.

• Cas d’utilisation : John The Ripper est employé pour identifier les mots de passe faibles dans des bases de données, des fichiers de hachage ou des systèmes d’authentification.
• Atout : Il est capable de craquer des mots de passe dans divers formats de hachage et est régulièrement mis à jour pour intégrer les dernières méthodes de craquage.

5. Analyse de l’Infrastructure Active Directory et Attaques de l’Interne

BloodHound : Cartographie des Relations Active Directory

BloodHound est un outil d’analyse de l’infrastructure Active Directory (AD) qui permet de visualiser les relations et permissions entre les utilisateurs, groupes et machines dans un environnement AD. Il aide à identifier les chemins d’attaque potentiels qui peuvent être exploités pour obtenir des accès non autorisés.

• Cas d’utilisation : BloodHound est utilisé pour cartographier les chemins d’escalade de privilèges dans un environnement Active Directory, en identifiant les mauvaises configurations et les permissions excessives.
• Atout : Sa capacité à visualiser les relations complexes au sein d’AD permet aux experts de simuler des attaques internes et de proposer des correctifs précis.

6. Solutions de Scanning de Vulnérabilités

Nessus et OpenVAS : Détection des Vulnérabilités

Nessus et OpenVAS sont deux solutions majeures pour le scan de vulnérabilités. Nessus est une solution commerciale largement utilisée pour la détection des vulnérabilités au sein des infrastructures, tandis qu’OpenVAS est une alternative open source.

• Cas d’utilisation : Ces outils permettent de scanner des réseaux, serveurs et applications pour identifier des vulnérabilités connues. Ils sont souvent utilisés dans les audits de sécurité et les tests de conformité.
• Atout : Nessus et OpenVAS fournissent des rapports complets avec des recommandations sur la manière de corriger les failles découvertes.

7. Blue Team ou Red Team ?

Les outils selon votre couleur : Télécharger le pdf.