Pour bénéficier d'une cybersécurité efficace, vous devez pouvoir vous protéger contre plusieurs types d'attaques. Parmi celles-ci figure l'attaque appelée « attaque par repli ». Cette forme d'attaque cryptographique est également appelée « attaque par rétrogradation » ou « attaque par négociation à la baisse ». Lors d'une attaque par repli, un cyberattaquant oblige le système ciblé à fonctionner dans un mode moins performant et moins sécurisé.
Les attaques par repli peuvent prendre différentes formes. Dans cet article, nous allons discuter des différentes formes d'attaques par repli, de ce qu'elles visent à accomplir et de leur fonctionnement. Heureusement, ces attaques sont de nos jours largement étudiées et documentées. Nul besoin donc pour vous de trouver de nouvelles solutions pour protéger votre entreprise contre ces cybermenaces.
Que sont les attaques par repli ?
Le domaine de la cybersécurité présente une grande diversité, et sachez que toutes les cyberattaques ne reposent pas sur les techniques et les exploits les plus récents. Les attaques par repli tirent parti de la rétrocompatibilité d'un système pour le forcer à adopter des modes de fonctionnement moins sécurisés. Les systèmes tels que STARTTLS qui emploient un chiffrement opportuniste sont les plus exposés aux attaques par repli, car ils peuvent utiliser des connexions chiffrées ou non chiffrées.
Lors d'une attaque par repli HTTPS, les visiteurs de votre site web peuvent être contraints d'utiliser des connexions HTTP et non HTTPS. Une attaque par repli peut constituer une infime partie d'une opération malveillante plus importante, comme ce fut le cas en 2015 lorsque l'attaque Logjam a été lancée. Une attaque par par repli TLS telle que Logjam permet aux pirates de type man-in-the-middle de rétrograder les connexions TLS sur un chiffrement 512 bits, qui permet aux cyberattaquants de lire toutes les données qui transitent via cette connexion non sécurisée. Nous reviendrons sur Logjam et d'autres types d'attaques par repli dans la section suivante.
En règle générale, tout système qui intègre une forme de rétrocompatibilité peut être vulnérable à une attaque par repli. L'équilibre entre une utilité maximale et une sécurité maximale est difficile à trouver. Bien qu'il puisse être tentant d'exiger que vos visiteurs mettent constamment à jour leurs systèmes, il faut également permettre aux gens d'accéder à votre serveur à l'aide de technologies plus anciennes.
Types d'attaques par repli
Les attaques par repli peuvent prendre de nombreuses formes, mais elles ont toutes des points en commun. La plupart d'entre elles sont des attaques de type man-in-the-middle (également appelées attaques MITM). Dans ces attaques, des acteurs malveillants se placent entre vos utilisateurs et votre réseau.
Voici quelques-unes des attaques par repli les plus connues :
- POODLE : l'attaque Padding Oracle on Downgraded Legacy Encryption s'insère dans les sessions de communication. Elle force certains navigateurs web à repasser sur le protocole SSL (Secure Sockets Layer) 3.0 lorsque le protocole TLS n'est pas disponible.
- FREAK : similaire à POODLE, la vulnérabilité Factoring RSA Export Keys force les clients à utiliser un chiffrement faible, ce qui lui permet d'accéder au trafic de données qui peut alors être facilement déchiffré.
- Logjam: un exploit Logjam combine des vulnérabilités du chiffrement RSA avec une faille du protocole TLS. Dans les attaques par repli Logjam, une variante plus faible remplace le message qu'un serveur envoie pour l'échange de clés.
- BEAST: le protocole Browser Exploit Against SSL/TLS utilise le chiffrement par enchaînement des blocs, combinant une attaque MITM avec une attaque de limite choisie et un fractionnement des enregistrements. Cette attaque peut permettre aux cyberattaquants de déchiffrer les sessions client-serveur HTTPS et même d'obtenir des jetons d'authentification dans les anciens produits SSL et TLS.
- SLOTH : acronyme de Security Losses from Obsolete and Truncated Transcript Hashes. Les attaques SLOTH permettent à une attaque de type main-in-the-middle de forcer les navigateurs web à s'appuyer sur des algorithmes de hachage anciens et peu sécurisé.
Risques posés par les attaques par repli
Les attaques par repli étant de diverses natures, l'évaluation précise des risques qu'elles posent peut s'avérer complexe. Les conséquences d'une attaque qui exploite une version obsolète du protocole SMTP (Simple Mail Transfer Protocol), par exemple, peuvent être très différentes de celles d'une attaque cryptographique. Néanmoins, quelle que soit la nature spécifique de l'attaque par repli, vous devez comprendre que votre vulnérabilité face à ce type d'attaque peut également accroître la fragilité de votre serveur par rapport à un plus grand nombre de cyberattaques.
Une attaque par repli est comparable à un crochetage de serrure : si l'utilisation d'un tel outil sur le système d'un tiers est un délit en soi, le véritable danger réside dans ce que le cyberattaquant peut faire avec l'accès qu'il a obtenu. Une attaque de ce type peut rendre vulnérables toutes les données de votre entreprise, notamment les identifiants de votre compte d'utilisateur, vos informations de paiement ou vos données médicales personnelles.
Il convient d'identifier les données les plus menacées par les différents types d'attaques par repli susceptibles de se produire. Un système qui subit de force une rétrogradation de Kerberos à NTLM, par exemple, est vulnérable à de nombreux types d'attaques par force brute et de type « Pass the Hash ». Demandez-vous quelles sont les informations auxquelles les pirates peuvent avoir accès et verrouillez les voies d'accès à ces informations.
Plus les protocoles que vous prenez en charge sont anciens, plus une attaque par repli peut être efficace. Dans un monde idéal, personne ne devrait prendre en charge les anciennes versions de TLS, par exemple. Dans la pratique, cependant, de nombreux réseaux doivent encore prendre en charge ces versions. Les entreprises peuvent réduire leur exposition aux risques en restreignant l'utilisation de la rétrocompatibilité à des cas particuliers et en faisant en sorte que des versions spécifiques et récentes du protocole TLS soient obligatoires chaque fois que cela est possible.
Comment se protéger contre les attaques par repli ?
Les comptes et les serveurs les plus sécurisés sont ceux qui prennent en compte les attaques par repli et se protègent activement contre celles-ci. Dans ce cas, il vaux mieux prévenir que guérir : assurez-vous de maintenir votre configuration TLS à jour et éliminez toute rétrocompatibilité inutile. Si vous devez prendre en charge des versions plus anciennes du protocole, nous vous conseillons d'ajouter TLS_FALLBACK_SCSV comme mesure de sécurité supplémentaire.
Le protocole TLS 1.3 intègre des mesures de prévention contre les attaques de repli, qui garantissent que tous les participants à une liaison utilisent les protocoles de sécurité les plus récents, même si un intermédiaire surveille les transmissions. Voici d'autres bonnes pratiques pour prévenir les attaques par repli :
- N'utilisez pas des mots qui garantissent à vos utilisateurs une connexion sécurisée, à moins que vous n'exigiez que cette connexion se fasse sur une session HTTPS validée.
- Privilégiez l'utilisation de protocoles web tels que HTTP/2 qui utilisent uniquement TLS, sans offrir aux visiteurs la possibilité de rétrograder.
- Par-dessus tout, faites passer autant de trafic que possible par TLS, même si ce trafic n'est pas sensible. En utilisant TLS comme méthode de connexion par défaut, vous empêcherez efficacement la plupart des attaques par repli, peu importe ce que vous faites par ailleurs.
Une fois que vous avez mis en œuvre ces bonnes pratiques, vous pouvez vous concentrer sur la mise en place d'une infrastructure qui détecte et atténue les attaques par repli au fur et à mesure qu'elles se produisent. Maintenez la version de TLS que vous utilisez à jour, même si la mise à niveau nécessite beaucoup de temps et d'efforts. Une fois que vous aurez fait cela, vous pourrez facilement suivre le trafic moins sécurisé sur vos serveurs. Vous pourrez ainsi repérer les changements de trafic et détecter les intermédiaires avant qu'ils ne causent des dommages considérables à vos serveurs, à votre réputation et à l'ensemble de votre entreprise.
Solution CrowdStrike de prévention des cyberattaques
Les attaques par repli peuvent sembler simples à première vue. Cependant, les cyberattaquants astucieux peuvent les exploiter comme un outil parmi d'autres, ce qui rend la protection contre ces attaques cruciale pour la cybersécurité de toute entreprise. Si vous ne savez pas comment vous y prendre pour éviter une attaque par repli, nous vous conseillons de faire appel à une équipe d'experts en cybersécurité. Ceux-ci pourront vous guider sur les meilleures pratiques à adopter et vous aider à identifier les aspects de vos opérations à améliorer.
L'équipe d'experts de CrowdStrike est constamment à l'affût, enquêtant et fournissant des conseils proactifs pour détecter toute activité suspecte dans votre environnement et s'assurer que vous ne soyez pas exposé à des cybermenaces sans le savoir. Pour en savoir plus sur la plateforme CrowdStrike Falcon®, contactez notre entreprise pour planifier une démonstration ou vous inscrire à un essai.