Technologie
VentureBeat/Ideogram
Les entreprises d’aujourd’hui sont axées sur les logiciels, ce qui signifie que la cybersécurité se concentre également sur ce domaine. Cependant, le matériel sur lequel ces logiciels fonctionnent attire également l’attention des attaquants. En effet, les acteurs malveillants ciblent de plus en plus les chaînes d’approvisionnement physiques et altèrent l’intégrité du matériel et du firmware des appareils, suscitant des inquiétudes parmi les dirigeants d’entreprise, selon un rapport récent de HP Wolf Security.
Il est à noter qu’une entreprise sur cinq a été touchée par des attaques sur les chaînes d’approvisionnement matérielles, et un inquiétant 91 % des décideurs en informatique et en sécurité estiment que des acteurs étatiques cibleront des PC, ordinateurs portables, imprimantes et autres dispositifs physiques.
« Si un attaquant compromet un appareil au niveau du firmware ou du matériel, il obtiendra une visibilité et un contrôle sans précédent sur tout ce qui se passe sur cette machine », a déclaré Alex Holland, chercheur principal en menaces au HP Security Lab. « Imaginez ce que cela pourrait signifier si cela se produisait sur l’ordinateur portable du PDG. »
‘À l’aveugle et mal équipé’
HP Wolf a publié les premiers résultats de ses recherches en cours sur la sécurité des plateformes physiques, basées sur une enquête menée auprès de 800 décideurs en informatique et en sécurité, avant la conférence de cybersécurité Black Hat qui se tient cette semaine.
Parmi les résultats :
- Près d’une organisation sur cinq (19 %) a été touchée par des acteurs étatiques ciblant les chaînes d’approvisionnement de PC, ordinateurs portables ou imprimantes.
- Plus de la moitié (51 %) des répondants ne peuvent pas vérifier si le matériel et le firmware des PC, ordinateurs portables ou imprimantes ont été altérés pendant leur fabrication ou en transit.
- Environ un tiers (35 %) pensent avoir été touchés, ou connaître des personnes touchées, par des acteurs étatiques tentant d’insérer du matériel ou du firmware malveillant dans des dispositifs.
- 63 % estiment que la prochaine grande attaque étatique impliquera la contamination des chaînes d’approvisionnement matérielles pour introduire des logiciels malveillants.
- 78 % affirment que l’attention portée à la sécurité des chaînes d’approvisionnement de logiciels et de matériel va croître à mesure que les attaquants tenteront d’infecter les dispositifs en usine ou en transit.
- 77 % rapportent qu’ils ont besoin d’un moyen de vérifier l’intégrité du matériel pour atténuer le risque d’altération des dispositifs pendant la livraison.
« Les organisations se sentent à l’aveugle et mal équipées », a déclaré Holland. « Elles n’ont pas la visibilité ni la capacité de détecter si elles ont été compromises. »
Perturbation de la disponibilité et altération des dispositifs
Les attaquants peuvent perturber la chaîne d’approvisionnement matérielle de plusieurs manières, la première étant la perturbation de la disponibilité, a expliqué Holland. Dans ce scénario, les acteurs malveillants lancent des campagnes de ransomware contre une usine pour empêcher l’assemblage des dispositifs et retarder la livraison, ce qui peut avoir des effets d’entraînement dévastateurs.
Dans d’autres cas, les acteurs malveillants infiltrent l’infrastructure de l’usine pour cibler des dispositifs spécifiques et modifier des composants matériels, affaiblissant ainsi les configurations du firmware. Par exemple, ils peuvent désactiver des fonctionnalités de sécurité. Les dispositifs sont également interceptés pendant le transport, par exemple dans des ports d’expédition et d’autres lieux intermédiaires.
« De nombreux dirigeants sont de plus en plus préoccupés par le risque d’altération des dispositifs », a déclaré Holland. « Cela met en lumière cette zone d’ombre : vous avez commandé quelque chose à l’usine, mais vous ne pouvez pas savoir s’il a été fabriqué comme prévu. »
Les attaques sur le firmware et le matériel sont particulièrement difficiles à détecter car elles se situent en dessous du système d’exploitation, alors que la plupart des outils de sécurité fonctionnent au sein des systèmes d’exploitation (comme Windows), a expliqué Holland.
« Si un attaquant parvient à compromettre le firmware, il est vraiment difficile de le détecter avec des outils de sécurité standard », a déclaré Holland. « Cela pose un véritable défi pour les équipes de sécurité informatique de détecter des menaces de bas niveau contre le matériel et le firmware. »
De plus, les vulnérabilités du firmware sont notoirement difficiles à corriger. Avec les PC modernes, par exemple, le firmware est stocké sur une mémoire flash séparée sur la carte mère, et non sur le disque dur, a expliqué Holland. Cela signifie que les logiciels malveillants insérés résident dans la mémoire du firmware sur une puce distincte.
Ainsi, les équipes informatiques ne peuvent pas simplement réinstaller une machine ou remplacer un disque dur pour éliminer l’infection, a noté Holland. Elles doivent intervenir manuellement, en reflashant le firmware compromis avec une copie connue, ce qui est « fastidieux à réaliser ».
« C’est difficile à détecter, difficile à remédier », a déclaré Holland. « La visibilité est faible. »
Toujours avec le problème des mots de passe ?
La gestion des mots de passe est un sujet souvent abordé, mais il semble que cela reste chaotique en ce qui concerne la configuration du matériel.
« Il y a une très mauvaise gestion des mots de passe autour de la gestion des configurations de firmware », a déclaré Holland. « C’est l’un des rares domaines de l’informatique où cela reste répandu. »
Souvent, les organisations ne définissent pas de mot de passe pour modifier les paramètres, ou elles utilisent des mots de passe faibles ou identiques sur différents systèmes. Comme dans tout autre scénario, l’absence de mot de passe signifie que n’importe qui peut accéder et altérer ; les mots de passe faibles peuvent être facilement devinés, et avec des mots de passe identiques, « un attaquant n’a besoin de compromettre qu’un seul dispositif pour accéder aux paramètres de tous les dispositifs », a souligné Holland.
Les mots de passe dans la configuration du firmware sont historiquement difficiles à gérer, a expliqué Holland, car les administrateurs doivent entrer dans chaque appareil et enregistrer tous les mots de passe. Une solution courante consiste à stocker les mots de passe dans des feuilles de calcul Excel ; dans d’autres cas, les administrateurs définissent le mot de passe comme le numéro de série de l’appareil.
« Les mécanismes basés sur des mots de passe contrôlant l’accès au firmware ne sont pas bien gérés », a déclaré Holland, qualifiant la gestion des configurations matérielles de « dernière frontière » de l’hygiène des mots de passe.
Sécurité robuste de la chaîne d’approvisionnement : sécurité organisationnelle solide
Il existe des mesures que les organisations peuvent prendre pour protéger leur matériel essentiel. Un outil dans l’arsenal est le certificat de plateforme, a expliqué Holland. Ce certificat est généré sur un appareil lors de l’assemblage et, à la livraison, permet aux utilisateurs de vérifier qu’il a été construit comme prévu et que « son intégrité est vérifiée ».
Parallèlement, des outils tels que HP Sure Admin utilisent la cryptographie à clé publique pour permettre l’accès aux configurations de firmware. « Cela élimine complètement le besoin de mots de passe, ce qui est un grand avantage pour les organisations », a déclaré Holland.
De même, HP Tamper Lock aide à prévenir les altérations physiques, s’appuyant sur des capteurs intégrés qui se déclenchent lorsque le châssis ou un autre composant est retiré. « Le système passe en état de verrouillage sécurisé », a expliqué Holland, de sorte que les hackers ne peuvent pas démarrer le système d’exploitation ou accéder aux identifiants.
Ces attaques physiques — lorsque des hackers s’introduisent littéralement dans un ordinateur — ne sont pas si répandues, a souligné Holland. Cependant, il a décrit le scénario d’un VIP ou d’un cadre présent lors d’un événement : il suffit qu’il se détourne de son appareil un instant pour qu’un attaquant puisse agir.
En fin de compte, « la sécurité organisationnelle dépend d’une sécurité robuste de la chaîne d’approvisionnement », a souligné Holland. « Vous devez savoir ce qu’il y a dans les dispositifs et comment ils ont été construits, qu’ils n’ont pas été altérés pour pouvoir leur faire confiance. »
