Nous vivons dans un monde où les cybermenaces sont partout, explosant aussi bien en nombre qu’en complexité. À mesure que les technologies se répandent, le nombre d’opportunités et de portes d’entrée pour les pirates ne cesse d’augmenter, et il suffit de se reporter à 2020 pour le constater. En effet, l’année écoulée a été très chargée pour la cybersécurité avec des violations de données, des piratages et des cyberattaques faisant régulièrement la une des journaux. Selon les analystes, le nombre de cyberattaques a doublé entre 2019 et 2020. Bien que cette croissance ait tendance à suivre les tendances des années précédentes, il apparaît également qu’une part importante de cette augmentation est le résultat des perturbations causées par la crise du COVID-19.
La dernière cyber attaque en date, et peut-être la plus notoire de 2020, est celle qui a été menée contre Twitter. Que se serait-il passé si les équipes de sécurité de Twitter avait remarqué plus tôt l‘accès non autorisé pendant 24 heures du jeune homme de 17 ans qui s’est fait passer pour Elon Musk, Barack Obama et d’autres comptes célèbres pendant quelques heures ? Que ce serait-il si Belgacom (la plus grande entreprise de télécommunications belge, aujourd’hui appelée Proximus) avait réalisé qu’elle avait subi une faille, et que les attaquants étaient toujours dans l’entreprise au lieu de s’en apercevoir deux ans plus tard ? Et qu’en est-il de toutes ces entreprises qui luttent pour leurs menaces internes au quotidien ?
Que sont les canary tokens ?
Avez-vous déjà entendu parler des canary tokens ? Ils n’ont rien de nouveau et ont en fait été présentés pour la première fois à la conférence BlackHat en 2015.
Pour faire simple, ce sont des marqueurs numériques comme des documents Word, des dossiers, des PDF, des images, des URL qui agiront comme des déclencheurs numériques une fois ouverts ou consultés. Ils alerteront alors le créateur qu’ils sont utilisés et feront savoir immédiatement à l’organisation (ou à l’individu) quelle partie de son réseau a été compromise afin qu’elle puisse prendre les mesures nécessaires en cas d’incident. On pourrait les considérer comme des menaces dans une cage au lion, où les attaquants sont le lion. Une sorte de piège astucieux, réservé aux individus malintentionnés.
Techniquement parlant, nous pouvons les définir comme des identificateurs uniques pouvant être intégrés dans différents endroits. Dès qu’ils sont touchés, une alerte est déclenchée.
Voici quelques cas d’utilisation où les canary tokens peuvent être utilisés :
- Lié à une entrée DNS pour détecter une énumération DNS de votre domaine
- Pour aider à la détection par rétro-ingénierie lorsque intégrés dans des applications
- Pour réaliser un scénario d’équipe rouge. Envisagez par exemple de créer un document Word présentant votre CV et de l’envoyer au service des ressources humaines. Lorsque le destinataire ouvre le fichier, le token est déclenché et renvoie le domaine et le nom d’utilisateur de la « victime ».
- Détecter le déclenchement du canary en activant le token, par exemple via un « fichier cible » déposé dans un dossier privé. Lorsque ce fichier est consulté par un utilisateur non autorisé, une alerte est générée.
Il s’agit d’une approche simple et rapide qui permet aux défenseurs de non seulement découvrir qu’il y a eu violation, mais aussi d’obtenir des informations sur qui ou quoi a déclenché le token, ainsi que de suivre son activité.
Pourquoi les canary tokens ?
C’est une très bonne question. Vous vous demandez peut-être : « Pourquoi utiliser des canary tokens et pas un SIEM (Système de gestion des événements et informations de sécurité)? » Il y a plusieurs raisons. Le projet Canary tokens est open source et disponible sur Github. Par conséquent, il est abordable et facilement installable et utilisable par tous.
Une autre question pourrait être : « Pourquoi utiliser des canary tokens alors que j’ai déjà un SIEM ? La réponse à cette question est assez courte : parfois, la simplicité est préférable. Il est très probable que Twitter ait un SIEM et que de nombreuses personnes y travaillent. Les SIEM, comme tous les autres systèmes d’alerte (y compris les honeypots), génèrent une énorme quantité d’alertes qui sont parfois facilement ignorées, y compris lorsqu’elles sont vraiment importantes. Les canary tokens sont simples et les efforts à déployer pour les mettre en place sont loin d’être aussi compliqués et pénibles que le processus de configuration et de maintenance d’un SIEM.
Comment pouvons-nous vous aider à protéger votre infrastructure et vos applications avec des canary tokens ?
Positive Thinking Company peut vous aider à configurer vos tokens en fonction des différents cas d’utilisation possibles et des fonctionnalités qu’ils offrent. Nous offrons nous expertise pour vous montrer comment les placer de manière stratégique dans votre réseau, ainsi que pour créer une console de gestion personnalisée. En outre, nous pouvons vous conseiller pour que vous optimisiez votre utilisation de l’outil, notamment via des simulations de scénarios de red teaming et bien d’autres encore.