Définition et cadre de la corruption de données
La corruption de données (ou altération de données) est la conséquence d’une atteinte à l’intégrité d’un ensemble cohérent de données par l’action d’une ou plusieurs actions accidentelles, ou malveillantes. Elle peut intervenir durant l’écriture, la lecture, le stockage ou la transmission des données.
La corruption peut être totale (le fichier clients), ou partielle : seuls certains enregistrements (la fiche client de Mr Blanc) ou attributs (toutes les adresses du fichier clients) sont affectés.
L’intégrité peut être atteinte par:
- une modification incertaine et non reproductible,
- par l’intermédiaire de fonctions réversibles,
- par perte ou par soustraction de la donnée.
Dans la majeure partie des cas, la conséquence d’une corruption de données est l’impossibilité d’interpréter correctement les données ou l’exécution de programmes modifiés frauduleusement par l’assaillant. Cependant des dispositifs (contrôle d’intégrité, dispositif de scellement ou de cohérence) peuvent être en place pour pallier aux défaillances élémentaires.
L’impact de la corruption de données peut être:
- temporaire : La réinitialisation du système permet généralement le retour à la situation nominale,
- ou persistant : existence d’une copie non corrompue… à l’exception de certains cryptolockers qui affectent également le système de sauvegarde les rendant plus persistant.
La détection d’une corruption de données est détectée soit par les utilisateurs soit par le dispositif de surveillance mis en place (SOC,…). Une fois l’évènement détecté, il est qualifié et peut déclencher l’activation d’une cellule de crise en fonction des impacts.
La corruption de données fait l’objet d’investigations destinées entre autre à qualifier si son origine est accidentelle ou malveillante. Dans ce dernier cas le RSSI est mobilisé.
Typologie de corruption de données accidentelle
- Défaillance matérielle :
Elle a pour origine une défaillance électronique, une panne mécanique ou une surtension électrique qui affecte tout type de support de stockage (disque dur, clé USB, bandes magnétiques, etc…). Cette défaillance provoque une perte partielle ou totale d’accès aux données. - Perte du matériel :
Elle est causée par la perte physique du support du stockage. Les données contenues sur le support sont, par voie de conséquence, perdues. - Panne logicielle :
Elle est causée par une défaillance du logiciel (bug) ou de la synchronisation des données (architecture multi-tiers, réplication de données entre 2 sites). Elle provoque une altération ou une perte partielle ou totale de données. - Mauvaise manipulation / Mauvaise pratique :
Elle trouve son origine en une mauvaise utilisation liée à une erreur humaine ou à des modes opératoires erronés. - Partie Tierce :
Les entreprises déportent une partie de leur SI et services informatiques chez des prestataires (externalisation). Ces prestataires peuvent faire l’objet d’attaques ou de malveillantes visant les données qui, par dommage collatérale, peuvent impacter l’entreprise donneuse d’ordre.
Typologie de corruption de données malveillante
La corruption de données malveillante est multiforme et peut provenir de multiples vecteurs. Elle est catégorisée de manière suivante :
- Corruption logicielle :
Modification d’un système applicatif par l’ajout de code non légitime. L’objectif est de porter atteinte à l’intégrité du système hébergeur en s’exécutant dans le contexte du système applicatif.
Les conséquences recherchées de cette corruption logicielle peuvent être multiples:
- L’ouverture et le maintien d’accès au système hébergeur (attaque Sunbursti,…),
- L’exfiltration de données (keylogger, copies d’écrans…),
- Le téléchargement, l’exécution et la prolifération de code malveillant (NotPetyaii…).
- Corruption matérielle :
Altération du fonctionnement nominal d’un équipement matériel :
- Directement par l’intermédiaire d’une mise à jour de firmware (ie EquationDrug ou GrayFishiii), d’un driver ou par un code malveillant (stuxnetiv),
- Indirectement (serveurs endommagés suite au déclenchement du système anti incendie).
L’objectif étant de porter atteinte à l’intégrité d’un matériel servant de support à un système applicatif.
- Les conséquences recherchées de cette corruption matérielle peuvent être multiples :
- Le détournement de l’usage,
- La génération de désordre,
- La destruction…
- Corruption d’un référentiel de sécurité :
Atteinte à l’intégrité d’un référentiel de sécurité (annuaire Active Directory, LDAP, …) en :
- Créant des comptes non légitimes,
- Ajoutant des privilèges à un compte existant,
- Modifiant les attributs de comptes existants (mots de passe, statuts, privilèges, …)
- Supprimant des comptes.
Elle a pour objectif soit de prendre pied durablement dans le SI, soit d’occasionner la paralysie partielle ou totale d’un SI
La corruption de référentiel de sécurité est fréquemment combinée avec la corruption ou la destruction des systèmes de sauvegarde (ie Ragnar Lockerv) pour accentuer la pression sur la victime.
- Corruption système :
Altération du fonctionnement nominal d’un système informatique par la modification des programmes de bas niveau (ou de fichiers de configuration) lui permettant de gérer les différentes ressources à sa disposition. Exemple avec la modification de bibliothèques systèmes d’une application (les fichiers DLL d’Internet Explorer par exemple) permettant ensuite d’altérer la mémoire, et par voie de conséquence de modifier certaines données dont l’emplacement est connu ou de faire exécuter des commandes.
- Corruption des données Métier :
Pour une partie non négligeable de l’économie, la disponibilité et l’intégrité des données métiers sont essentielles au bon fonctionnement de l’entreprise (Banques et assurances, sociétés financières, …). La corruption de ces données, structurées ou bureautiques, porte un fort préjudice à l’entreprise victime, dégradant ou stoppant ses processus opérationnels le temps que ces données soient à nouveau disponibles. La corruption d’origine malicieuse des données nominales peut également s’accompagner de la corruption des données sur les sauvegardes afin d’augmenter le rapport de force entre le cybercriminel et l’entreprise.
- Corruption de données volatiles :
Les environnements d’exécution et d’authentification présentent de multiples opportunités de corruption. En effet, les systèmes ou applications exécutent une série de commandes ayant pour objet de personnaliser l’environnement utilisateur : l’altération des commandes exécutées permet d’augmenter le champ des possibles. A titre d’exemple, une faille XSS (pour cross-site scriptingvi) permet, en ajoutant des instructions supplémentaires dans une page web, de les faire s’exécuter dans le contexte utilisateur d’un visiteur de cette page.
La corruption peut aussi se matérialiser par le vol de session avec des techniques par exemple de « Cookie poisoning » ou « Session Hijacking vii» permettant de falsifier les cookies de session ou d’altérer la communication entre deux systèmes pour s’insérer dans les échanges et ultimement usurper l’identité d’un des participants.
Motivations principales d'une corruption de données malveillante
Pour l’ANSSI, une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant. Une cyber-attaque peut émaner d’une personne isolée ou d’un groupe organisé.
La corruption de données peut être la finalité de la cyber-attaque, ou un dommage collatéral.
Une cyber-attaque peut avoir des impacts sur l’image, la stabilité, voire la pérennité de l’entreprise à travers plusieurs objectifs :
- Pour récupérer illicitement des données :
Il y a dans un premier temps les attaques à des fins crapuleuses, pour récupérer des données en vue de les exploiter ou de les revendre. Il peut s’agir de données bancaires, de fichiers clients, d’outils internes, ou d’identifiants de connexion.
- Pour espionner :
On parle ensuite des attaques à des fins d’espionnage, pour capter les informations importantes des entreprises. Ces attaques de cyber-espionnage sont conçues pour le vol de propriété intellectuelle. Elles touchent de plus de plus le secteur industriel.
- Pour déstabiliser :
Les attaques à des fins de déstabilisation, par exemple par le vol d’informations puis leur publication. Ce type de cyber-attaques nuit directement à l’image de marque de l’entreprise touchée. Elle révèle sa défaillance en matière de sécurisation des données et entame la confiance des clients ou des partenaires de l’entreprise victime.
- Pour saboter :
On notera pour les attaques à des fins de sabotage, qu’elles visent à altérer ou à détruire les données d’une entreprise ce qui aura pour conséquence de considérablement ralentir, voire de stopper complètement l’activité ou d’engendrer des pertes importantes.
Objectif du document
Ce document a pour objectifs d’identifier des scénarios représentatifs d’une corruption de données, et de les regrouper par typologie de causes et d’impacts.
Les scénarios génériques identifiés permettent d’établir une cartographie des menaces relatives à la corruption, à la fois macroscopique mais suffisamment exhaustive pour nourrir les réflexions d’entreprise en matière de stratégie de résilience ou de Cyber Threat Intelligence.
À l’issue de cette étape intermédiaire, ces travaux sont amenés à se poursuivre. La suite logique consistera à établir des réponses aux scénarios génériques présentés dans ce document au travers d’un autre groupe de travail.
Le rapprochement des scénarios avec le référentiel MITRE ATT&CK® a permis de standardiser davantage la catégorisation des causes et des impacts. En revanche, ce dernier se limitant aux techniques logiques couplées à des actes de malveillances, un référentiel générique complémentaire a été élaboré pour traiter des menaces physiques et scénarios accidentels source de corruption de données.
