La surface d’attaque : son utilité, ses limites, ses nouveaux défis

Magazine
Marque
MISC
Numéro
98
Mois de parution
juillet 2018
Domaines


Résumé

La surface d’attaque est une notion essentielle en cybersécurité. Nous proposons dans cet article un rappel des divers éléments de sa définition (partie 1), puis formulons quelques hypothèses relatives à l’objectif de réduction de la surface d’attaque, qui se heurte à plusieurs difficultés (partie 2). Enfin, dans une visée plus prospective, nous interrogeons-nous sur les effets potentiels de l’intelligence artificielle sur la définition de la surface d’attaque (partie 3).


1. Définitions, enjeux

C’est au tournant des années 1990-2000 que l’on voit apparaître la notion de « surface d’attaque ». Ainsi apparaît-elle depuis dans des articles qui en proposent définitions, modèles formels [1], taxonomies [2], métriques [3], méthodes d’analyses (pour des environnements et applications particuliers tels que BlackBerry [4], Windows [5], Cloud, web browser [6], mobiles [7] ; ou pour des dimensions spécifiques telles que la surface d’attaque humaine [8]...), méthodes de réduction [9].

1.1. Définitions

La notion de surface d’attaque est aujourd’hui centrale en cybersécurité, gestion du risque et de la menace. Les évolutions technologiques incessantes conjuguées à l’expansion accélérée du cyberespace (cloud computing, Internet des objets [10]) contribuent par ailleurs à une remise en question constante de la notion, de son approche.

La « surface d’attaque » désigne « les potentielles vulnérabilités qui...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[1] Pratyusa K. Manadhata, et alt., « A formal model for a system’s attack surface », juillet 2007, 21 pages

[2] Nils Gruschka, Meiko Jensen, « Attack surfaces : a taxonomy for attacks on Cloud services », 2010, IEEE Conference, 3rd international conference on Cloud Computing, pp.276-279

[3] Eric Osterweil, Danny McPherson, Lixia Zhang, « The shape and size of threats: defining a networked system’s attack surface », 2014, IEEE, 6 pages

[4] James O’Connor, « Attack surface analysis of BlackBerry Devices », Symantec Security Response, Ireland, 39 pages (rapport non daté)

[5] James Hoagland, et alt., « Windows Vista Network Attack Surface Analysis », Symantec Advanced Threat Research, 116 pages. (rapport non daté)

[6] Erwan Abgrall et alt., « Empirical investigation of the Web browser attach surface under Cross-site scripting: an urgent need for Systematic security regression testing », 2014 IEEE International Conference on Software Testing, Verification, and Validation Workshops, 8 pages

[7] Mark Sherman, Attack surfaces for mobile devices, Proceedings of the 2nd International Workshop on Software Development Lifecycle for Mobile, pp. 5-8, 2014

[8] Edwards, Matthew, « Panning for gold: Automatically analysing online social engineering attack surfaces », Computers & security, Volume 69, n° 1, août 2017, pp.18-34

[9] Akashdeep Bhardwaj, Sam Goundar, « Reducing the threat surface to minimize the impact of cyberattacks », Network Security, Volume 2018, n° 4, avril 2018, pp. 15–19

[10] Daniel Miessler, « Securing the Internet of Things: mapping attack surface areas using the OWASP IoT Top 10 », RSA Conference 2015, San Francisco, 20-24 avril 2015, présentation PowerPoint, 54 pages

[11] Eric Osterweil, Danny McPherson, Lixia Zhang, « The shape and size of threats: defining a networked system’s attack surface », 2014, IEEE.

[12] Stephen Northcutt, « The Attack Surface Problem », SANS Technology Institute, https://www.sans.edu/cyber-research/security-laboratory/article/did-attack-surface

[13] « Analyse et réduction de la surface d’attaque », site Information-Security, https://www.information-security.fr/analayt-reduction-surface-dattaque/

[14] « Attack your attack surface », rapport de Skybox Security, mars 2016, 13 pages, https://www.skyboxsecurity.com/sites/default/files/Attack%20Surface%20Visualization.pdf

[15] Michael Howard, « Fending off future attacks by reducing attack surface », Microsoft, février 2003

[16] Anil Kurmus et alt., « Attack surface metrics and automated compile-time OS kernel tailoring », 17 pages, https://www.ibr.cs.tu-bs.de/users/kurmus/papers/kurmus-ndss13.pdf - Joshua A. Meek, Wayne Zage, « M.I.D.A.S.: metrics identification of attack surfaces », Master Thesis, Department of Computer Science, Ball State University, Indiana, USA, 2012

[17] Pratyusa K. Manadhata, « Attack Surface Measurement », http://mlsec.info/project/attacksurface/

[18] Eric Osterweil, Danny McPherson, Lixia Zhang, « The shape and size of threats: defining a networked system’s attack surface », 2014, IEEE

[19] Department of Defense, DoD Cybersecurity Discipline, Implementation Plan, octobre 2015 (version amendée en février 2016), 27 pages

[20] Improving Cyber Basics. DoD Cyber Discipline Implementation Plan and DoD Cyber Scorecard, Décembre 2016, 10 slides

[21] Moritz Lipp, et alt., « Meltdown », 2018, 16 pages, https://meltdownattack.com/meltdown.pdf

[22] Department of Defense, « The DoD Cyber Strategy », avril 2015, Washington, 42 pages

[23] Amar Toor, « Singapore will ban civil servants from using the internet », 24 août 2016, site Theverge.com, https://www.theverge.com/2016/8/24/12621508/singapore-internet-ban-public-servants-cyber-attack

[24] Harold Abelson et alt., « Keys under Doormat: mandating insecurity by requiring government access to all data and communications », Computer Science and Artificial Intelligence Laboratory, Technical Report, 6 juillet 2015, 34 pages

[25] Phil Quade, « Executive Insights: using artificial intelligence to rebalance the cyber criminal advantage », 27 février 2018, site Fortinet.com, https://www.fortinet.com/blog/industry-trends/executive-insights--using-artificial-intelligence-to-rebalance-t.html

[26] Miles Brundage et alt., « The Malicious use of artificial intelligence: forecasting, prevention, and mitigation », février 2018, 101 pages

[27] Andrew B. Gardner, « Combatting Advanced Cybersecurity Threats with AI and Machine Learning », RSA Conference 2017, 13-17 février 2017, San Francisco, présentation PowerPoint, 33 pages

[28] Maria Korolov, « How AI can help you stay ahead of cybersecurity threats », site CSOOnline.com, 19 octobre 2017, https://www.csoonline.com/article/3233951/machine-learning/how-ai-can-help-you-stay-ahead-of-cybersecurity-threats.html

[29] Moises Danziger, Marco Aurelio, Amaral Henriques, « Attacking and Defending with Intelligent Botnets », 3-7 septembre 2017, Brésil, 5 pages, XXXV Simposio Brasileiro de Telecomunicaçoes e Processamento de Sinais

[30] « Les deep fakes, des vidéos truquées au fort potentiel de nuisance », 29 mars 2018, Site rts.ch, https://www.rts.ch/info/sciences-tech/technologies/9405974-les-deep-fakes-des-videos-truquees-au-fort-potentiel-de-nuisance.html



Articles qui pourraient vous intéresser...

Avec le Spanning Tree Protocol, suis-je en sécurité dans mon réseau ?

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Dans le cadre des hors-séries sur les retours aux fondamentaux, cet article aura comme sujet le protocole STP (Spanning Tree Protocol). Inventé en 1985 par Radia Perlman, il permet principalement d’assurer une liaison réseau redondante et sans boucle. Ce protocole étant primordial au sein d’un réseau de moyenne à grande envergure, s’il n’est pas correctement configuré, cela pourra alors permettre à des attaquants de compromettre le réseau.

Return oriented programming 101

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Le Returned Oriented Programming (ou ROP) est une technique permettant d'exploiter des programmes disposant de la protection NX (No eXecute) ou DEP (Data Execution Prevention). L'objectif de cet article est de vous présenter les bases du ROP, ainsi que l’exploitation pas-à-pas d’un programme d’entraînement via l'utilisation de la bibliothèque python pwntools [1]. Dans un souci de simplicité, la démonstration sera réalisée sur un programme s'exécutant sur un système Linux 64 bits. Bien entendu, cette démonstration reste applicable sur d'autres architectures (ARM, MIPS, etc.).

Use-After-Free dans le noyau Linux

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Pièce logicielle qui a accompagné les deux dernières décennies, le noyau Linux est un système relativement complet qui dispose d’un allocateur de mémoire dynamique. Comme tous les logiciels classiques, le noyau est ainsi régulièrement sujet à des vulnérabilités de type Use-After-Free via cet allocateur.

Introduction au dossier : Sécurité système & logiciel - Exploitation & contre-mesures

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

La thématique de ce hors-série, comme vous avez d’ores et déjà pu le remarquer, est dédiée à la sécurité système et logiciel. Derrière cette terminologie qui couvre un large spectre de ce que peut être la sécurité, l’idée est de continuer les hors-séries qui traitent des fondamentaux de sous-domaines de la sécurité informatique.

Applications des TPM

Magazine
Marque
MISC
HS n°
Numéro
22
Mois de parution
octobre 2020
Domaines
Résumé

Les TPM, inventés il y a une vingtaine d’années, ont pénétré progressivement les plateformes numériques. Malgré ce long historique, les TPM ont encore aujourd’hui du mal à s’imposer. Pourtant, leurs applications potentielles sécuritaires sont très intéressantes : Authenticated Boot, Remote Attestation, Scellement, amélioration de la sécurité de la cryptographie logicielle. Cet article détaille ces principales applications et liste quelques produits connus qui utilisent les TPM.