La Snecma aurait été la cible d'une attaque du type point d'eau

Une faille zéro-day dans Internet explorer 9 et 10 aurait été utilisé pour mener une attaque contre une fédération professionnelle dans l'aéronautique et par ricochet compromettre la sécurité de la Snecma.
Selon l’agence Reuters, la Snecma, une filiale du groupe Safran, aurait été visée par une attaque exploitant une faille de vulnérabilité des navigateurs Internet Explorer (IE) 9 et 10. Mais les conditions et les conséquences du piratage restent floues. On ne sait pas si l’attaque a réussi, ni si elle est finie, et encore moins si des données ont été dérobées et qui en sont les responsables. Seule certitude « la méthode utilisée est pointue techniquement et l’attaque est bien faite. Ce ne sont pas des amateurs qui sont derrière tout ça » explique Gérome Billois, senior manager en risk management et sécurité de l’information au sein du cabinet Solucom.
La technique du point d’eau
L’affaire a commencé la semaine dernière. L’éditeur FireEye a révélé une vulnérabilité zero-day d’IE (autrement dit, une faille jusqu’ici inconnue) qui a servi a attaqué un site web destinés aux vétérans américain. La société Seculert a ensuite expliqué qu’une attaque utilisant la même faille avait ciblé le GIFAS (Groupement des industries françaises aéronautiques et spatiales), fédération professionnelle qui regroupe 321 sociétés du secteur de l’aviation civile et militaire, dont la Snecma.
« Dans les deux cas, c’est la méthode du point d’eau qui a été utilisé » commente Gérome Billois. Le site web des vétérans américains et celui du GIFAS sont peu sensibles en eux-mêmes et donc sécurisés à un niveau standard. « Mais les personnes qui vont sur ces sites sont des cibles de choix du secteur de la défense » ajoute Gérome Billois. Une fois qu’un internaute s’est rendu sur ces sites par l’intermédiaire d’IE 9 ou 10, son poste s’est retrouvé compromis même avec un anti-virus à jour. Impossible de savoir ce qui a été récupéré (ou pas), mais les pirates ont pu avoir accès à des informations comme les mots de passe de l’utilisateur, sa messagerie électronique voir des fichiers stockés en local ou sur le réseau de l’entreprise. « Ceci dit, il convient de relativiser les choses, tempère Gérome Billois. Dans le secteur de la défense, il y a normalement des procédures sécurisées pour accéder aux informations confidentielles ».
Pour se prémunir contre ces attaques le plus simple est de changer de version de navigateur. Problème : « il est très difficile de mettre à jour un navigateur en entreprise car des applications web ont souvent été codées pour certains navigateurs et il faut s’assurer qu’elles fonctionnent avec des versions plus récentes. Pour certaines grandes entreprises, une migration coûte jusqu’à quelques millions d’euros à cause des nombreux tests à réaliser » explique Gérome Billois. A moyen terme, pour se prémunir d’une attaque, mieux vaut changer la manière dont on accède à internet.
Changer sa manière d'accéder à internet

Ainsi, certains réseaux en entreprise ne sont pas connectés à internet et les postes qui s’y connectent n’y ont jamais été reliés. Les salariés travaillent alors sur plusieurs ordinateurs à la fois : le premier leur sert à réaliser des actions sur internet, les autres pour réaliser des actions sur des périmètres fermés.
A l’heure actuelle, ce ne sont plus des postes physiques mais virtualisés qui sont utilisés avec des outils de virtualisation classique ou des solutions comme celles de Bertin Technologies. Pour limiter les risques, les capacités d’échanges entre les deux machines virtuelles sur le même ordinateur sont limitées. Seul le copié/collé de texte est par exemple autorisé. En cas d’infection, seule une partie du poste est alors compromis. Autre méthode : utiliser des fermes de serveurs virtualisés qui s’occupent de l’accès à internet et qui affichent un déport d’écran. Mais cela marche essentiellement pour des postes fixe et moins pour des tablettes car l’ergonomie tactile est difficile à prendre en charge.
« Ces différentes strates correspondent au principe de la défense en profondeur, conclut Gérome Billois. Les attaquants ont peut-être récupérer des informations qui leurs permettront d’aller plus loin dans leur attaque, mais si les consignes de sécurité ont été respectées, ils n’ont eu accès à aucune information dangereuse très sensible sur des postes accédant directement à internet. »
Source :
Reuters : Exclusive: France's Snecma targeted by hackers - researcher
Seculert : 0-day Attack Targets Aerospace Engine Manufacturer’s Remote Users
FireEye : Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website