Bienvenue sur Inforisque la première marketplace santé et sécurité au travail
bannière antivol d'extincteur
bannière parechocs-sensibles de sécurité
Accueil Actualités Le « Watering hole »
Retour aux articles S'inscrire à la Newsletter

Le « Watering hole »

Publié le

Classé dans la catégorie : Risques informatiques

Aujourd’hui les cybercriminels ont à disposition un large arsenal pour compromettre les systèmes d’information des entreprises et des particuliers. Parmi les techniques les plus usitées, l’exploitation des vulnérabilités constitue sans aucun doute le principal vecteur d’intrusion. Les méthodes d’infection employées peuvent alors prendre différentes formes dont « l’infection par site Web ». Le « Watering hole » fait partie de cette catégorie.

Le principe du « Watering hole » :

Le « Watering Hole » fait partie des méthodes dites «Infection par site Web », autrement appelé «Drive-By Download». Cette dernière repose sur le principe suivant :

  1. Création ou compromission d’un site Web par l’attaquant (accès à l’interface d’administration, compromission des régies publicitaires pour injecter du code au sein des publicités affichées, découverte d’une vulnérabilité de type XSS…)
  2. Dépôt du malware sur le site (Ex : code JavaScript offusqué s’exécutant au chargement de la page, iframe contenant un ActiveX ou un applet Java malicieux hébergé sur un autre site, …)
  3. Compromission de la machine cliente. La victime est incitée à se rendre ou redirigée de manière automatique sur le site Web hébergeant le malware. Son navigateur exécute le code malicieux et un malware est installé à son insu sur son poste de travail ou son Smartphone, très souvent de manière transparente. L’attaquant dispose alors d’un accès partiel ou complet sur l’appareil infecté.

Simple attaque de type « Drive-by Download »?

La subtilité de cette attaque réside dans le choix des sites Web initialement compromis (cf étape 1). En effet, en fonction de la cible, le choix est principalement réalisé en fonction de la localité de l’entité ciblée ou en lien avec son métier.

Plusieurs cas concrets récents peuvent être cités en exemple :

  • Professionnel : (politique/religieux/syndical…) Dans le cas d’Apple, de Microsoft ou de Facebook en février dernier, le site Web compromis était un site Web consacré au développement sur iPhone (iphoneDevSDK), site susceptible d’être visité par les développeurs des trois sociétés. La population cible peut également être plus restreinte comme l’illustre la compromission du site http://www.rferl.org (Radio Free Europe Radio Liberty)
  • ;
  • Géographique : En Septembre 2012 lors de l’attaque VOHO[1], les cybercriminels avaient compromis un site gouvernemental local au Maryland, celui d’une banque régionale dans le Massachusetts afin de compromettre les machines de populations spécifiques résidant ou travaillant dans les localités ciblées ;
  • Et pourquoi pas Personnel : Il est tout à fait possible de voir le site du club de sport ou de musique où les enfants de la victime sont inscrits, être compromis…

Pourquoi utiliser cette méthode plutôt qu’une autre ?

En comparaison de l’envoi de phishing par exemple, cette méthode présente de nombreux avantages pour les attaquants :

  • Scalable :
    • Elle permet de couvrir un grand nombre de victimes « facilement ». Le «Drive-By Download» est largement utilisé dans le domaine de la cybercriminalité permettant de compromettre rapidement un très grand nombre de machine ;
    • L’exploitation récente de vulnérabilités Java ou Adobe Flash, peuvent permettre de contourner les mécanismes de cloisonnement au sein des navigateurs Web et ainsi de couvrir de nombreux systèmes d’exploitation et navigateurs Web vulnérables différents ;
  • Efficace : Couplée avec l’exploitation d’une vulnérabilité de type « 0-day », le taux d’infection peut être très élevé. Le rapport sur la campagne « VOHO »[2] publié par RSA et portant sur des attaques par « Watering Hole » recensait 32 160 machines infectées appartenant à 731 organisations pour un taux d’infection de 12% ;
  • Discret : Aucune action de l’utilisateur n’est nécessaire si ce n’est d’aller visiter ses sites Web habituels. L’absence de signaux rend également l’identification de la source de l’infection difficile. Enfin, la possibilité de filtrer les postes infectés (classe IP, langue du navigateur, localité …) permet de restreindre les dommages collatéraux et donc de limiter la visibilité de l’attaque.

Cette méthode présente cependant un certain nombre d’inconvénients :

  • Potentiellement, une phase de reconnaissance, consistant à identifier sur quels sites se rendent les futures victimes ;
  • Une phase de compromission de sites légitimes peut être nécessaire : les attaquants peuvent cependant identifier les sites vulnérables via des scans automatisés ;
  • Les attaquants doivent réaliser une analyse post-infection afin de déterminer, pour chaque poste compromis, quel type de profil a été infecté et si le profil correspond à la cible (société, fonction, …)

A noter que le filtrage effectué afin de réduire le périmètre des postes compromis émergent également au sein des attaques par phishing.

Quels sont les mécanismes de défense ?

Face à ce type de menace, il n’existe pas de solution « miracle ». Il convient donc d’appliquer des bonnes pratiques afin de limiter les risques d’infection et d’être réactif en cas de compromission :

  • [Mise à jour du parc] - On constate que les vulnérabilités exploitées sont le plus souvent liées aux technologies Java ou à Adobe Flash. A minima, il convient de maintenir à jour le parc applicatif. Cependant, cette mesure peut ne pas être suffisante (cas des 0-day). Nous recommandons donc de les désinstaller lorsqu’ils ne sont pas nécessaires.
  • [Filtrage Web] – Mettre à jour régulièrement en ajoutant automatiquement et au besoin manuellement les sites connus comme hébergeant des malwares au sien des listes noire des équipements de filtrage Web (nécessite de disposer d’un service de veille). De manière plus radicale, il est envisageable d’imposer la navigation Web pour des populations sensibles depuis des postes séparés du reste du réseau de l’entreprise.
  • [Durcissement des postes] – Des mécanismes de contournement peuvent également être mis en place. Pour Java par exemple, il est possible de configurer le niveau de sécurité sur « high » de manière à n’exécuter les applets non signés qu’après validation manuelle de l’utilisateur. Des mesures similaires peuvent être appliquées sur le plug-in Flash. Il est aussi possible de pousser des plugins comme « NoScript » afin d’interdire l’exécution de code JavaScript, Flash, Java …

La compromission par « Watering Hole » partage les mêmes objectifs que par « spear-phishing » et la même méthode d’infection que les attaques par « Drive-by download ».

Cette combinaison est ainsi surtout utilisée pour des attaques cherchant à s’introduire au sein d’une organisation, quel que soient les postes compromis.

Avec le temps et grâce aux campagnes de sensibilisation, les utilisateurs, et en particulier les populations VIP, sont de plus en plus précautionneuses quant à l’ouverture des pièces jointes aux courriels. Les attaques par « Spear-phishing » sont ainsi complétées par des attaques de type « Watering-Hole » qui ne nécessitent aucune action de la part de la victime si ce n’est de visiter ses sites Web habituels…

Auteur : communiqué de Thibaut Gadiolet, consultant Sécurité chez LEXSI.

Pour réagir, connectez-vous !

Article précédent

Image actualité

Il est désormais possible d’évaluer la durée de vie des filtres antigaz

13/06/2013

Article suivant

Bien-être au travail et fonction publique territoriale : un équilibre fragile

14/06/2013

Image actualité

Les derniers produits : Toutes les categories