Cyber Sentinel

Actuellement, notre entreprise est dotée d'une MPLS pour l'interconnexion avec tous nos sites distants. Cela offre plusieurs avantages dont la sécurité, notamment en isolant les flux externes. Car c'est une zone privée... garantie par le gestionnaire !

Pourtant, SENTINEL y a détecté des trames réseaux "IP EXTERNES" vers "IP EXTERNES", c'est-à-dire les flux dont la source est une IP externe et la destination est une autre IP externe.

Que font ces IP chez nous, dans notre réseau interne ? Selon l'adresse MAC, elles transitent par la MPLS. On a demandé des explications au prestataire. Sa réponse est étonnante.

Pour l’instant, on reste focalisés sur la MPLS principale, dont le gestionnaire a organisé une réunion mercredi dernier pour, soi-disant, "répondre à nos interrogations" concernant le trafic bizarre qui passe par ladite MPLS et que nous avons détecté grâce à SENTINEL. Mais ses explications sont insatisfaisantes. J'avais remarqué que, sur les neuf personnes du prestataire qui s'étaient invitées (que des grosses têtes selon leurs fonctions professionnels), il y avait quatre responsables commerciaux. Des commerciaux pour répondre à des questions techniques ? C'est étonnant. Mais on a accepté la visioconférence, qui s'est avérée inutile.

Car, malgré les preuves incontestables que nous avons fournies, ce prestataire continue de prétendre que les flux réseaux de sa MPLS sont corrects ("tout est OK", "il n'y a aucune défaillance") et pour soi-disant "aller au fond des choses", il a tenté de nous fourguer un outil de contrôle (payant ?), une de leurs sondes… à installer chez nous, au sein de notre réseau interne. C'est non... ne serait-ce que pour raison éthique, car le contrôle ne peut pas être fait par la même entité, qui serait alors juge et partie.

L'équipe du prestataire a été incapable de répondre aux questions techniques, prétextant que les personnes concernées étaient absentes. Pourtant elles étaient conviées à cette réunion... par le prestataire lui-même ! De plus, le "Responsable Technique France" était là, lui. Mais il ne sait peut-être pas tout.

Sur mon insistance, le gestionnaire de la MPLS a fini par accepter ce qu’il rechignait à faire alors qu'il l'avait proposé lui-même dans une précédente réunion : fournir une attestation précisant que le réseau de sa MPLS ne présente aucun risque pour notre entreprise. Nous verrons bien comment sera rédigée ladite attestation car, déjà, il a voulu mettre des bémols ;-)

On ne joue pas au poker. On ne joue pas. C'est sérieux. Puisque les échanges contradictoires sont stériles et que cela a trop duré, j'ai remercié poliment pour la proposition de "surveiller" notre réseau, en m'abstenant de préciser qu'on a déjà ce qu'il faut car ledit prestataire le sait déjà… à son grand dam : SENTINEL est très efficace, et gratuit (pour nous). Il y aura probablement des contrôles externes, mais ils seront faits par un prestataire indépendant. Le Directeur informatique a conclu en précisant qu'on continuera de surveiller notre réseau avec notre sonde car, comme relaté même par la presse, les menaces informatiques vont s'amplifier notablement… et si les anomalies de la MPLS perdurent, nous prendrons d’autres dispositions.

Pour rappel, au fur et à mesure de nos découvertes depuis plusieurs mois, ce FAI a progressivement "nettoyé" son réseau. Par exemple, il n'y a plus de trames à destination du port 3389... qui servaient pour la "synchronisation de la base de temps", selon ses dires. Il nous prend pour des jambons, car le port 3389 est utilisé pour le contrôle à distance habituellement. D'ailleurs, sur les traces de ce dernier mois, il n'y a même plus de trames NTP (synchro horloge). Et il n'y a plus aucun "PING"… zéro ! Pourtant, le prestataire affirme qu'il n'a rien changé. Alors, il faut croire que lesdites trames (qui consommaient une grosse part de notre bande passante) étaient superflues (en plus d’être potentiellement dangereuses), puisqu'elles n'existent plus depuis un mois. Mais de nombreuses trames BGP subsistent. Elles seraient nécessaires pour le fonctionnement de la MPLS, selon le prestataire. Mais, il y en a trop, beaucoup trop. Actuellement, nous sommes focalisés sur l'analyse de ces flux informatiques, pour vérifier qu'il ne s'agit pas plutôt d'exploits BGP (piratage), probablement à l'insu dudit gestionnaires et ses sous-traitants, tous cadors de la sécurité informatique.

A la remarque du DSI qui a souligné qu'il n'y a rien d'anormal sur la MPLS concurrente (qu'on utilise sur certains de nos sites), le contradicteur a répondu que le concurrent utilise une autre technologie.

Cette anecdote illustre clairement qu'il ne suffit pas de contrôler seulement ce qui vient de l'extérieur : il faut surveiller aussi les flux informatiques internes gérés par des prestataires parfois laxistes, et leur ribambelle de prestataires et sous-prestataires qui se rejettent la faute... à supposer qu'on arrive à identifier leur responsabilité en cas de sinistre.

N'hésitez pas à contrôler vos prestataires. C'est beaucoup de temps et d'énergie, mais cela en vaut la peine, car c'est indispensable pour protéger l'infratsructure informatique de l'entreprise. On peut toujours faire l'autruche en espérant esquiver les menaces... pas sûr que cela fonctionne longtemps ;-)

...Surtout que les nouveaux robots pirates sont dopés à l'IA... Bonne chance ! En effet, notre détecteur de tentatives d'intrusion révèle que les nouveaux robots bombardent avec fulgurance, de 0... à plus de 200 tentatives par seconde !... puis retour à près de zéro, dans la minute.

Vos sauvegardes sont-elles réellement bonnes ? Are you sure? De toute façon, vous avez un bon contrat d'assurance, n'est-ce pas ?

Car, le pire, c'est les attaques silencieuses... minutieusement préparées, en douce... qui font tout péter d'un coup, même les sauvegardes... "le fil rouge, sur le bouton blanc... le fil vert, sur le bouton bleu"