Diplômé de l’École des Mines de Paris, Emmanuel Gras a travaillé dans les laboratoires de R&D de Orange. Il a ensuite rejoint le centre opérationnel de l’ANSSI en tant qu’auditeur où il a conçu plusieurs outils d’audit d’infrastructures Active Directory. Il participe au développement de la solution Alsid en tant que CEO. Pour cet expert, les entreprises consacrent beaucoup d’argent et de moyens humains aux périphéries et oublient un élément clé : l’Active Directory.
Comme la plupart des experts, Philippe Gray a suivi l’attaque Ransomware Netwalker qui a affecté, le 14 mai, les serveurs de Bolloré Transport & Logistics en République Démocratique du Congo. Les assaillants, non identifiés pour l’heure, menacent de divulguer prochainement les données dérobées. Cette cyber-attaque n’est pas isolée, rappelle l’expert, revenant sur les attaques qui ont fait parler d’elles il y a quelques mois avec l’intrusion des maliciels dans les serveurs des hôpitaux en Europe et aux USA.
Depuis quelques temps, «la cible s’est déplacée dans le secteur de la logistique. «Avant Bolloré, le spécialiste australien du secteur, Toll Group, avait subi les affres de Netwalker, appelé aussi Mailto», explique Emmanuel Gras, l’un des deux ingénieurs fondateur de Alsid, une entreprise née de l’expertise de l’Agence Nationale française de la Sécurité des Systèmes d’Information (ANSSI), haute autorité en matière de sécurité et de défense des systèmes d’information.
Pour cet ingénieur formé à la bonne école, la sécurité informatique des groupes et organisations constitue l’un des enjeux majeurs des secteurs public et pivé. Au sein de Alsid, «ma mission est de faire un état des lieux dans les entreprises après une attaque et de faire en sorte que les cyber-malfaiteurs ne puissent plus revenir».
Avec Luc Delsalle, le co-fondateur et CTO d’Alsid, « nous étions arrivés à la conclusion qu’un schéma se répétait dans toutes les entreprises du monde : les serveurs, les postes et les mobiles sont gérés par un système central, Active Directory, et celui-ci est très attractif pour les cyber- assaillants car, dès lors qu’ils en prennent possession, il peuvent attaquer toute l’entreprise. Nous avons donc décidé de fonder Alsid pour adresser cette problématique majeure ».
C’est le même schéma qui a été suivi par Ramsomware Netwalker, pour attaquer la filiale de Bolloré. Les motivations des assaillants semblent avoir évolué. «Au départ, les motivations étaient stratégiques. L’on relevait des vols de données dans le cadre de l’espionnage public, entre Etats, industriels, ou autres. De plus en plus, les motivations deviennent financières », explique Emmanuel Gras. C’est le cas du cabinet d’avocats américain GSMlaw détenant le dossier de célébrités comme Donald Trump, Lady Gaga et Madonna, qui s’est vu réclamé une rançon de 42 millions de dollars en échange de la non divulgation des données subtilisées.
Pour Alsid, les entreprises doivent protéger leur réseau en partant d’Active Directory, d’une part car les systèmes traditionnels sécurisent toujours le SI depuis les terminaux et cela n’empêche pas des brèches de s’ouvrir. Et pour cause : les attaques ciblées reposent aujourd’hui sur des méthodes sophistiquées qui vont au-delà de la simple infection par un malware. D’autre part, quel que soit le temps qu’ils mettront à corrompre un terminal, les cyber-assaillants chercheront de toute façon à converger vers le cœur du réseau : Active Directory.
« Active Directory, rappelle-t-il, est une infrastructure hautement critique qui permet paradoxalement à un cyber-assaillant d’infiltrer l’intégralité d’un réseau très simplement, depuis un seul poste compromis. Véritable trousseau d’accès central, « AD » gère les droits des utilisateurs, les comptes e-mails, l’information liée aux activités ou encore les données financières. Il constitue, dans la majorité des cas, la pierre angulaire de la sécurité en entreprise ».
Néanmoins ,reconnaît Emmanuel Gras, le système Active Directory souffre d’un défaut : sa complexité. « Plutôt qu’établir une distinction claire entre les administrateurs qui peuvent tout faire et les autres, il attribue plus ou moins des droits parmi des dizaines possibles à chaque utilisateur. Au point que la liste des personnes avec leurs attributions est illisible et que, sans une plateforme comme celle d’Alsid qui monitore les faiblesses de l’AD, il devient impossible pour les équipes de sécurité d’identifier des comportements suspects sur le réseau.
« Lors d’un audit, nous avons par exemple vu un groupe AD appelé DNSadmin qui attribuait des droits d’accès aux profils en charge du réseau. Parmi eux, la plupart n’étaient pas administrateurs et paraissaient donc inoffensifs. Pourtant, leur groupe leur accordait la possibilité de s’ajouter à d’autres groupes grâce auxquels ils pouvaient cette fois-ci obtenir des droits d’administration sur certains systèmes », poursuit le CEO d’Alsid. Selon l’expert, personne n’aurait pensé à monitorer l’activité de ces utilisateurs, alors qu’il suffisait que l’un d’eux succombe à un phishing pour qu’un cyber-assaillant accède aux données les plus critiques.
Au delà du renforcement des niveaux de protection informatique, comment identifier les assaillants? « Difficile d’identifier les auteurs des attaques, en général des experts qui utilisent divers techniques de camouflage et sèment de fausses pistes derrière. Auparavant, l’analyse du fuseau horaire permettait une localisation géographique plus ou moins fiable. Aujourd’hui, ce paramètre est caduc, parfaitement intégré par les réseaux des cyber-attaques qui opèrent en général dans des pays différents des leurs. Seule certitude, « explique Gras, « il y a peu de chances que ces auteurs d’attaques soient des groupes gouvernementaux ».
Basée à Paris et opérant de façon mondiale, avec une solution logicielle pour repérer et corriger les failles avant l’attaque, Emmanuel Gras part du postulat que les infrastructures des groupes sont vivantes. «Les systèmes évoluent des dizaines de fois par seconde. Notre solution qui fonctionne24 heures sur 24 analyse ces changements et permet au client de corriger la faille avant la cyber-attaque ».
Au cours des audits qu’ils ont menés au sein de l’ANSSI, les deux experts se sont surtout rendu compte d’un paradoxe : alors qu’il s’avère rapide de compromettre un serveur AD, tous les acteurs de la sécurité se concentrent sur la protection du réseau à sa périphérie. Le problème est que les réseaux sont extrêmement étendus. Quand une entreprise compte par exemple 20.000 collaborateurs, il devient impossible d’empêcher un phishing correctement conçu de compromettre un jour ou l’autre un PC ou un portable. Si bien qu’il faut considérer que protéger la périphérie ne permet plus d’apporter une protection absolue », analyse Emmanuel Gras, qui s’appuie sur 20 développeurs pour élaborer des réponses techniques aux entreprises et groupes.
Facteur aggravant, une infrastructure Active Directory évolue en permanence au gré de l’activité des utilisateurs. « Les entreprises mènent des audits de sécurité. Mais concernant l’AD, ces audits reviennent à prendre une photo qui n’est généralement plus valable dès le lendemain. A titre d’exemple, nous travaillons actuellement sur un système qui enregistre en moyenne vingt changements par seconde », prévient Emmanuel Gras. Une solution qui sécurise le SI en analysant les failles d’Active Directory présente de surcroit un avantage sur celles qui n’en protègent que le périmètre : elle permet aux équipes d’être proactives. Alors que les solutions traditionnelles déclenchent l’alarme lorsque l’attaque a commencé, une plateforme comme celle d’Alsid indique quelles sont les failles de sécurité à combler avant même que les cyber-malfaiteurs ne les aient exploitées.
Le secteur bancaire et financier en général reste l’une des cibles privilégiées des cyber-attaques. Dans cet univers de flux financiers, tout incident sur un outil informatique entraine une perte d’exploitation énorme. «Il faut être proactif et corriger le problème avant que l’attaquant ne découvre la faille ». Les maliciels comme Ransomware semblent avoir multiplié leurs activités depuis l’apparition de la pandémie de covid-19.
En ces grands moments de remise en question des systèmes et de changement des règles de sécurité sous pression et à la hâte, beaucoup de petites portes sont ouvertes au bonheur des chasseurs de données et des maîtres chanteurs.
Le portefeuille clients d’Alsid comprend de grands comptes comme, la foncière Unibail- Rodamco, Vinci Energies, Sodexo, Lagardère, Sanofi, Somfy, Safran, Noble Group et d’autres acteurs de la finance et des administrations. Si le point de départ de l’activité est effectivement en France, Alsid a une ambition internationale et compte déjà plusieurs grands clients à l’étranger. « En Asie ; nous accompagnons des acteurs de la finance à Hong-Kong, à Singapour, en Australie et en Malaisie qui sont particulièrement sensibles aux questions de cybersécurité », confie Emmanuel Gras. Le territoire des Etats-Unis est aussi en développement, avec deux nouvelles références clients pour amorcer 2020.
