Arrivée chez Avast le 1er octobre dernier, Jaya Baloo savait qu’elle allait démarrer son nouveau poste de responsable de la sécurité des systèmes d’information (RSSI) sur les chapeaux de roues, mais elle ne s’imaginait pas que ça allait être à ce point là.
En effet, elle a pris ses fonctions au plein milieu d’un incident majeur de sécurité, à savoir le piratage du réseau interne d’Avast par des hackers qui voulaient infecter le logiciel CCleaner. Nous l’avons rencontrée à l’occasion de la conférence « CyberSec & AI 2019 » que l’éditeur vient d’organiser à Prague. Compte tenu des journées et des nuits de travail intensives qu’elle passe actuellement, elle est plutôt en forme. Les sept années passées chez l’opérateur néerlandais KPN au poste de RSSI l’ont visiblement bien préparée.
Quand on l’interroge sur le sujet, elle avoue sans détours qu’il y a eu deux points noirs dans cette histoire. Le premier est l’existence d’un compte VPN sans authentification forte, preuve d’un dysfonctionnement dans la gestion des comptes internes.
« C’était en principe un compte temporaire, le genre de compte créé pour une tâche bien particulière comme un backup ou une opération d’administration. C’était le seul compte VPN pour lequel l’authentification forte n’était pas activée et il aurait dû être supprimé, mais il ne l’a pas été. Il est resté planqué au fin fond du répertoire de comptes VPN, et l’attaquant l’a utilisé après avoir réussi à voler l’identifiant et le mot de passe. Mais nous ne savons pas encore comment il a fait ça », nous explique-t-elle.
Un faux positif qui ne l’était pas
Le second point noir est une mauvaise interprétation des alertes de sécurité qui a fait perdre un temps précieux. Le 23 septembre, les équipes d’Avast remarquent des incohérences dans les logs de connexion. Ils voient un utilisateur sans aucun droit particulier se connecter en VPN sur un contrôleur de domaine Active Directory, et cela depuis un Mac. Cette action, trop curieuse pour être vraie, a d’abord été jugé comme un faux positif, une erreur dans les logs.
« Toutefois, une enquête a été lancée pour vérification. Début octobre, il s’est avéré que les logs étaient parfaitement corrects. Ils s’expliquent par le fait que l’attaquant utilisait une machine virtuelle Mac et qu’il a effectué une élévation de privilèges pour accéder au contrôleur de domaine », poursuit Jaya Baloo.
A partir de là, c’est l’alerte générale. La production logicielle est stoppée, en attendant de vérifier que les produits ne sont pas corrompus.
« Toutes les versions logicielles des six derniers mois ont été contrôlées. Mais la priorité a été donnée aux logiciels pour entreprises, car c’est là où l’impact d’une infection potentielle est la plus élevée », souligne la responsable.
De nouveaux certificats ont été créés remplaçant les anciens qui ont été révoqués. Une mise à jour d’urgence, et donc automatique, de CCleaner a été diffusée. Enfin, le compte VPN temporaire a été fermé.
« C’était la chose qu’il fallait faire en dernier, pour ne pas attirer l’attention de l’attaquant », explique Jaya Baloo.
Repartir de zéro
Mais l’histoire est encore loin d’être terminée. Les équipes de sécurité ont commencé à passer à la loupe les téraoctets de logs dont ils disposent, un travail fastidieux qui est toujours en cours.
Parallèlement, il a fallu assainir l’environnement. Tous les identifiants ont d’ores et déjà été réinitialisés, mais ne n’est pas suffisant.
« Imaginez que vous avez une maison et dans une pièce vous avez vu des termites. Est-ce qu’ils sont également dans une autre pièce ? Ont-ils infesté toute la maison ? On ne sait pas. J’ai préféré partir du principe que toute l’infrastructure est compromise et qu’il fallait donc repartir de zéro », explique Jaya Baloo.
Un nouveau réseau a donc été créé, qui ne connecte pour l’instant que les équipes de sécurité et la direction. Par la suite, ce réseau deviendra le nouveau réseau bureautique qui interconnectera tous les salariés d’Avast.
« Nous allons également garder une partie de l’ancien réseau qui servira pour la recherche de malwares. Ces deux réseaux seront totalement séparés, en s’appuyant notamment sur l’utilisation de machines virtuelles », précise la RSSI.
Sur le nouveau réseau, la surveillance des flux sera considérablement renforcée, avec notamment une analyse en profondeur des paquets (Deep packet inspection).
« Je n’ai pas envie de jouer à Big Brother et je trouve qu’il faut préserver une certaine liberté des salariés. Mais ça doit être fait », ajoute-t-elle.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
