La semaine dernière, une nouvelle menace de sécurité ayant pour cible les hyperviseurs Xen, KVM, QEMU et VirtualBox d’Oracle, a été découverte. Cette faille Zero Day, baptisée « Venom », permettrait aux hackers prendre le contrôle de tous les systèmes hébergés dans une seule machine.

Des patches ont été mis à disposition et il semblerait que cette faille n’ait pas encore été exploitée dans le cadre d’une attaque. Les rapports relatifs à cette vulnérabilité indiquent qu’elle nécessite l’exécution d’un code sur une machine virtuelle pour pouvoir être exploitée. Cependant, avant de s’estimer à l’abri, les organisations doivent impérativement se poser une question : sont-elles sûres qu’aucun hacker ne soit déjà infiltré ?

" Cette faille est un cas intéressant. Le fait qu’un hacker puisse difficilement exploiter la vulnérabilité, tout comme le fait qu’elle ne puisse pas être exécutée à distance, pourrait conduire les entreprises à la minimiser ou bien même à l’ignorer. Elles sont en effet susceptibles de penser que la menace ne peut pas provenir de l’intérieur et en sous-estimer les risques.

Pourtant, chaque cyberattaque est conduite selon des motivations bien précises et il faut s’attendre à ce que les hackers à l’origine de cette faille aient un plan solide pour parvenir à leurs fins, quel que soit son degré de sophistication. Si pour l’heure Venom n’a pas été exploitée et ne semble pas représenter un véritable danger au regard de certains experts et organisations, il est important de la considérer comme une menace sérieuse au même titre que toutes les attaques qui ont eu lieu au cours de ces douze derniers mois.

Comme pour Venom, il faut parfois plusieurs mois, voire des années, avant qu’une faille ne soit détectée, et rien ne garantit aujourd’hui aux organisations qu’il n’y a pas de hacker présent sur leur réseau en phase d’observation ou de prise de contrôle à distance par l’intermédiaire de comptes à hauts pouvoirs, généralement utilisés par les administrateurs réseaux.

En outre, nous pouvons tout à fait imaginer que des complices puissent s’infiltrer au sein même des entreprises pour pouvoir les exploiter. Les pirates informatiques se professionnalisent et mettent en œuvre des techniques de plus en plus insidieuses pour atteindre leurs objectifs et déjouer les firewalls ainsi que les systèmes de détection d’intrusion les plus performants.

Les entreprises ne peuvent donc plus se contenter de les empêcher de pénétrer dans leur système à l’aide de solutions de sécurité traditionnelles car ils y parviendront tôt ou tard. Elles doivent désormais être capables de les identifier et les ‘’exfiltrer’’ le plus rapidement possible.

Pour relever ce défi, il est nécessaire qu’elles adoptent des solutions de sécurité à la fois globales et intelligentes qui scrutent chaque recoin du réseau, même quand il n’y a pas de vulnérabilité ou de faille détectée, et que l’activité semble normale. Surveiller proactivement le réseau en temps réel et en continu permet une détection immédiate en cas de menace insidieuse et une remédiation plus rapide, avant que des dommages importants ne soient causés.

Si les entreprises adoptent uniquement des solutions de sécurité traditionnelles, cela revient au même que si elles assuraient leur sécurité physique par de simples verrous : ils retardent les cambrioleurs mais ne les empêchent pas de rentrer ! Les solutions de sécurité dites ‘’intelligentes’’ jouent dans ces cas-là le rôle de la vidéosurveillance : elles préviennent dès que quelqu’un pénètre ‘’anormalement’’ au sein de l’entreprise, ce qui permet de prendre les mesures nécessaires immédiatement.

Dans un contexte où le nombre de failles telles que Venom ne cesse de grandir, le seul moyen d’assurer un haut niveau de sécurité est d’être capable d’avoir une visibilité complète en temps réel de ce qui se passe sur le réseau, le système d’information et l’ensemble des équipements de l’organisation, et partir du principe que le risque d’attaque est permanent. La détection précoce de toute anomalie est la clé pour garantir la protection des données et des ressources face aux vulnérabilités existantes et futures," commente Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm.