La surface d’attaque : son utilité, ses limites, ses nouveaux défis

Magazine
Marque
MISC
Numéro
98
Mois de parution
juillet 2018
Domaines


Résumé

La surface d’attaque est une notion essentielle en cybersécurité. Nous proposons dans cet article un rappel des divers éléments de sa définition (partie 1), puis formulons quelques hypothèses relatives à l’objectif de réduction de la surface d’attaque, qui se heurte à plusieurs difficultés (partie 2). Enfin, dans une visée plus prospective, nous interrogeons-nous sur les effets potentiels de l’intelligence artificielle sur la définition de la surface d’attaque (partie 3).


1. Définitions, enjeux

C’est au tournant des années 1990-2000 que l’on voit apparaître la notion de « surface d’attaque ». Ainsi apparaît-elle depuis dans des articles qui en proposent définitions, modèles formels [1], taxonomies [2], métriques [3], méthodes d’analyses (pour des environnements et applications particuliers tels que BlackBerry [4], Windows [5], Cloud, web browser [6], mobiles [7] ; ou pour des dimensions spécifiques telles que la surface d’attaque humaine [8]...), méthodes de réduction [9].

1.1. Définitions

La notion de surface d’attaque est aujourd’hui centrale en cybersécurité, gestion du risque et de la menace. Les évolutions technologiques incessantes conjuguées à l’expansion accélérée du cyberespace (cloud computing, Internet des objets [10]) contribuent par ailleurs à une remise en question constante de la notion, de son approche.

La « surface d’attaque » désigne « les potentielles vulnérabilités qui...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[1] Pratyusa K. Manadhata, et alt., « A formal model for a system’s attack surface », juillet 2007, 21 pages

[2] Nils Gruschka, Meiko Jensen, « Attack surfaces : a taxonomy for attacks on Cloud services », 2010, IEEE Conference, 3rd international conference on Cloud Computing, pp.276-279

[3] Eric Osterweil, Danny McPherson, Lixia Zhang, « The shape and size of threats: defining a networked system’s attack surface », 2014, IEEE, 6 pages

[4] James O’Connor, « Attack surface analysis of BlackBerry Devices », Symantec Security Response, Ireland, 39 pages (rapport non daté)

[5] James Hoagland, et alt., « Windows Vista Network Attack Surface Analysis », Symantec Advanced Threat Research, 116 pages. (rapport non daté)

[6] Erwan Abgrall et alt., « Empirical investigation of the Web browser attach surface under Cross-site scripting: an urgent need for Systematic security regression testing », 2014 IEEE International Conference on Software Testing, Verification, and Validation Workshops, 8 pages

[7] Mark Sherman, Attack surfaces for mobile devices, Proceedings of the 2nd International Workshop on Software Development Lifecycle for Mobile, pp. 5-8, 2014

[8] Edwards, Matthew, « Panning for gold: Automatically analysing online social engineering attack surfaces », Computers & security, Volume 69, n° 1, août 2017, pp.18-34

[9] Akashdeep Bhardwaj, Sam Goundar, « Reducing the threat surface to minimize the impact of cyberattacks », Network Security, Volume 2018, n° 4, avril 2018, pp. 15–19

[10] Daniel Miessler, « Securing the Internet of Things: mapping attack surface areas using the OWASP IoT Top 10 », RSA Conference 2015, San Francisco, 20-24 avril 2015, présentation PowerPoint, 54 pages

[11] Eric Osterweil, Danny McPherson, Lixia Zhang, « The shape and size of threats: defining a networked system’s attack surface », 2014, IEEE.

[12] Stephen Northcutt, « The Attack Surface Problem », SANS Technology Institute, https://www.sans.edu/cyber-research/security-laboratory/article/did-attack-surface

[13] « Analyse et réduction de la surface d’attaque », site Information-Security, https://www.information-security.fr/analayt-reduction-surface-dattaque/

[14] « Attack your attack surface », rapport de Skybox Security, mars 2016, 13 pages, https://www.skyboxsecurity.com/sites/default/files/Attack%20Surface%20Visualization.pdf

[15] Michael Howard, « Fending off future attacks by reducing attack surface », Microsoft, février 2003

[16] Anil Kurmus et alt., « Attack surface metrics and automated compile-time OS kernel tailoring », 17 pages, https://www.ibr.cs.tu-bs.de/users/kurmus/papers/kurmus-ndss13.pdf - Joshua A. Meek, Wayne Zage, « M.I.D.A.S.: metrics identification of attack surfaces », Master Thesis, Department of Computer Science, Ball State University, Indiana, USA, 2012

[17] Pratyusa K. Manadhata, « Attack Surface Measurement », http://mlsec.info/project/attacksurface/

[18] Eric Osterweil, Danny McPherson, Lixia Zhang, « The shape and size of threats: defining a networked system’s attack surface », 2014, IEEE

[19] Department of Defense, DoD Cybersecurity Discipline, Implementation Plan, octobre 2015 (version amendée en février 2016), 27 pages

[20] Improving Cyber Basics. DoD Cyber Discipline Implementation Plan and DoD Cyber Scorecard, Décembre 2016, 10 slides

[21] Moritz Lipp, et alt., « Meltdown », 2018, 16 pages, https://meltdownattack.com/meltdown.pdf

[22] Department of Defense, « The DoD Cyber Strategy », avril 2015, Washington, 42 pages

[23] Amar Toor, « Singapore will ban civil servants from using the internet », 24 août 2016, site Theverge.com, https://www.theverge.com/2016/8/24/12621508/singapore-internet-ban-public-servants-cyber-attack

[24] Harold Abelson et alt., « Keys under Doormat: mandating insecurity by requiring government access to all data and communications », Computer Science and Artificial Intelligence Laboratory, Technical Report, 6 juillet 2015, 34 pages

[25] Phil Quade, « Executive Insights: using artificial intelligence to rebalance the cyber criminal advantage », 27 février 2018, site Fortinet.com, https://www.fortinet.com/blog/industry-trends/executive-insights--using-artificial-intelligence-to-rebalance-t.html

[26] Miles Brundage et alt., « The Malicious use of artificial intelligence: forecasting, prevention, and mitigation », février 2018, 101 pages

[27] Andrew B. Gardner, « Combatting Advanced Cybersecurity Threats with AI and Machine Learning », RSA Conference 2017, 13-17 février 2017, San Francisco, présentation PowerPoint, 33 pages

[28] Maria Korolov, « How AI can help you stay ahead of cybersecurity threats », site CSOOnline.com, 19 octobre 2017, https://www.csoonline.com/article/3233951/machine-learning/how-ai-can-help-you-stay-ahead-of-cybersecurity-threats.html

[29] Moises Danziger, Marco Aurelio, Amaral Henriques, « Attacking and Defending with Intelligent Botnets », 3-7 septembre 2017, Brésil, 5 pages, XXXV Simposio Brasileiro de Telecomunicaçoes e Processamento de Sinais

[30] « Les deep fakes, des vidéos truquées au fort potentiel de nuisance », 29 mars 2018, Site rts.ch, https://www.rts.ch/info/sciences-tech/technologies/9405974-les-deep-fakes-des-videos-truquees-au-fort-potentiel-de-nuisance.html



Articles qui pourraient vous intéresser...

Sûreté mémoire : le temps des cerises

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

L’étude et la compréhension des buffer overflow datent de 1972, et leurs premiers usages documentés de 1988 [1]. Près de 50 ans plus tard, où en sommes-nous ? Il nous faut bien admettre que la situation est déprimante : Microsoft et Google reconnaissent chacun ([2], [3]) que près de 2/3 des attaques utilisent à un moment ou un autre une vulnérabilité mémoire. Le ver Morris, qui n’était au départ qu’une preuve de concept, avait quand même coûté la bagatelle de quelques millions de dollars à l’époque… Aujourd’hui, les coûts sont abyssaux : sur le plan financier bien sûr, mais aussi pour nos vies privées, voire nos vies tout court. Face à ce problème, de nombreuses approches sont possibles : analyse statique du code, instrumentation et vérification à l’exécution, langages « sûrs »… Je vous propose d’explorer dans cet article un vieux concept remis au goût du jour, les capabilities, et tout ce qu’elles pourraient nous permettre de faire.

Zerologon pour les (mots de passe) nuls

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

ZeroLogon est LA vulnérabilité de septembre 2020 qui expose de nombreux domaines Windows à une compromission totale via un scénario d’exploitation réaliste et fiable. Mais ce qui donne à Zerologon ses lettres de noblesse c’est qu’elle repose essentiellement sur la mauvaise utilisation d’un algorithme cryptographique permettant de réaliser une attaque à clair choisi particulièrement astucieuse. Zoom sur la vulnérabilité la plus passionnante de la rentrée 2020 !

Sécurité avancée des services Serverless (FaaS)

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Les fonctions Serverless sont aujourd’hui une nouvelle tendance du cloud. Rapides et peu onéreuses, elles ne requièrent aucun entretien des infrastructures sous-jacentes par le client. Cependant, ce service entraîne un changement de modèle d’architecture, rendant les solutions de protection classiques inadaptées. Ce papier sensibilise aux nouvelles menaces du cloud et suggère différentes règles à suivre pour s’en prémunir.

Introduction au dossier : ARM - quels progrès pour la sécurité ?

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Une fois n’est pas coutume, le sujet de ce dossier concerne une thématique avec une actualité « grand public » on ne peut plus récente : la percée significative des processeurs ARM dans le monde des ordinateurs personnels au travers de son adoption par la marque à la pomme pour sa nouvelle génération d’ordinateurs portables et fixes. Au-delà des promesses, plus de puissance avec une consommation moindre (certains résultats spécifiques sont impressionnants, en témoigne « Accelerating TensorFlow Performance on Mac » sur le blog officiel de TensorFlow), ce qui nous intéresse ici ce sont les questions de sécurité. Depuis quelques années maintenant, la course entre les techniques d’exploitation modernes et les contre-mesures associées voit un nouvel acteur intervenir : les extensions de sécurité matérielles.