Qu’est-ce que l’exfiltration de données ?
L’exfiltration de données est le vol ou le transfert non autorisé des données depuis un terminal ou un réseau. Selon le cadre MITRE ATT&CK, les cyberadversaires collectent les données, puis les exfiltrent sous forme de packages pour pouvoir échapper à la détection. Ces packages peuvent être compressés et chiffrés.
Déroulement de l’exfiltration de données
Dans certains cas, l’exfiltration de données est réalisée par des cyberattaquants externes qui infiltrent le réseau afin de s’emparer d’identifiants utilisateur, d’éléments de propriété intellectuelle et de secrets commerciaux. Ce type d’attaque commence par l’injection d’un logiciel malveillant sur un endpoint, par exemple un ordinateur ou un terminal mobile connecté au réseau d’entreprise. Le logiciel malveillant exfiltre les données vers un serveur externe contrôlé par le cyberattaquant externe qui peut ensuite les vendre ou les publier.
Dans d’autres cas, l’exfiltration des données peut être le fait d’un collaborateur interne de l’entreprise qui transfère les données à l’extérieur du réseau, par exemple en envoyant un message à une adresse e-mail externe à l’entreprise, ou les copie vers un service de stockage dans le cloud ou un produit SaaS non sécurisé. La plupart du temps, il s’agit d’actions dénuées de toute intention malveillante. Les collaborateurs responsables essayent simplement de faire leur travail, mais exposent les données aux risques en les soustrayant au contrôle de l’équipe de sécurité et des règles d’entreprise.
2023 CrowdStrike Global Threat Report
Téléchargez le Global Threat Report 2023 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.
TéléchargerTechniques courantes d’exfiltration de données
Ingénierie sociale
L’ingénierie sociale est l’une des méthodes d’exfiltration des données les plus répandues. Un cyberadversaire convainc les utilisateurs de partager des données sensibles ou des identifiants en se faisant passer pour un employeur ou un partenaire légitime. Il peut, par exemple, se faire passer par un agent du centre d’assistance et demander à un utilisateur des informations sensibles comme son nom d’utilisateur et son mot de passe.
Le phishing est une technique d’ingénierie sociale courante. Lors d’une attaque de phishing, le cyberattaquant envoie aux utilisateurs un e-mail qui semble émaner d’une source légitime, par exemple le service des ressources humaines. L’e-mail invite l’utilisateur à cliquer sur un lien, lequel redirige la victime vers un site factice, en tous points similaire à celui du portail RH. Ce faux site peut avoir été configuré exclusivement pour la collecte d’identifiants ou son code peut contenir un script malveillant qui installe un enregistreur de frappe ou autre logiciel malveillant. Ce dernier sera ensuite utilisé pour lancer la phase suivante de l’attaque de phishing.
Erreur humaine
Des collaborateurs internes peu prudents peuvent télécharger des données d’entreprise sensibles de leur terminal professionnel sécurisé vers un appareil personnel, non protégé par les solutions ou règles de sécurité du réseau. Les données n’ont alors aucune protection, sinon minime, comme celle offerte par des outils de sécurité pour particuliers. Dans pareil cas, l’exfiltration de données n’est pas toujours limitée au transfert de fichiers, elle peut inclure des captures d’écran prises avec des smartphones, des enregistrements téléphoniques, etc.
Téléchargement d’une menace interne vers un terminal externe
Les collaborateurs internes malintentionnés sont plus rares que les imprudents, mais ils peuvent faire bien plus de dégâts. Ceux-ci peuvent utiliser des identifiants légitimes pour se livrer à des activités malveillantes pendant de longues périodes avant d’être détectés (ou pas). Comme leurs identifiants sont légitimes, l’exfiltration de données peut passer inaperçue, à moins qu’ils ne transfèrent d’importants volumes de données très sensibles ou tentent d’accéder à des systèmes pour lesquels ils n’ont pas les autorisations. Au cours de leur période d’activité, ces utilisateurs internes malintentionnés téléchargent généralement des données depuis un terminal autorisé vers une clé USB ou un appareil personnel, puis les chargent sur un terminal externe, par exemple un service de stockage sur le Dark Web, avant de les vendre ou de les publier.
Prévention de l’exfiltration de données
Les statistiques quant au délai de détection d’une compromission de données sont alarmantes. En effet, il est très difficile de détecter une exfiltration de données, surtout si la technique utilisée par le cyberattaquant a l’apparence d’un flux de trafic réseau normal.
La pratique de défense la plus efficace qu’une entreprise puisse adopter est aussi la plus difficile : la sensibilisation et la formation des collaborateurs. Naturellement, de nombreuses sociétés y ont déjà recours en imposant régulièrement des formations de sensibilisation à la sécurité, mais la plupart des collaborateurs continuent de sous-estimer la probabilité d’être la cible d’une attaque. Les entreprises doivent instiller une culture de la sécurité à l’échelle de l’organisation avant de pouvoir considérer leur personnel comme leur première ligne de défense.
Il est indispensable de mettre en place des stratégies d’utilisation des appareils personnel en entreprise (BYOD), et de les communiquer clairement au personnel. En effet, avec l’adoption croissante du télétravail, il est plus facile que jamais d’utiliser n’importe quel terminal personnel pour accéder à des données de valeur, même une simple console de jeu. Il est indispensable de surveiller le réseau pour identifier les individus qui s’y connectent et les terminaux utilisés à cette fin. Vous pourrez ainsi éviter les tentatives actuelles de compromission de données, mais aussi mieux comprendre les interactions des utilisateurs avec le réseau afin de mieux planifier l’avenir.
Le contrôle des menaces internes, qu’elles soient inoffensives ou malveillantes, passe par le contrôle des privilèges. Il s’agit dès lors d’octroyer des privilèges minimums et de les contrôler de façon dynamique. Ainsi, lorsque l’accès d’un collaborateur à un système sensible ne se justifie plus, son accès doit être supprimé. Il faut par ailleurs révoquer systématiquement les privilèges des anciens collaborateurs dès leur départ, au lieu d’attendre une semaine ou deux pour éliminer les comptes obsolètes.