Quest-ce quune bombe logique ?

De nombreuses cyberattaques sont lancées instantanément au moment choisi par l'attaquant. Celles-ci sont lancées sur le réseau et peuvent être soit une campagne ponctuelle, soit une campagne en cours. Certaines classes d'attaques, cependant, sont des actions retardées et attendent un déclencheur quelconque. Les plus évidentes d'entre elles sont les attaques qui nécessitent une interaction de l'utilisateur. Les attaques de phishing et XSS en sont d'excellents exemples. Les deux sont préparés et lancés par l'attaquant mais ne prennent effet que lorsque l'utilisateur déclenche le piège.

Certaines attaques sont des actions retardées mais nécessitent un ensemble particulier de circonstances pour se déclencher. Ils peuvent être entièrement sûrs jusqu'à ce qu'ils soient déclenchés. Ces circonstances peuvent être tout à fait automatiques plutôt qu'activées par l'homme. Ces types d'attaques sont appelés bombes logiques.

Les bases d'une bombe logique

Le concept classique d'une bombe logique est un simple déclencheur de date. Dans ce cas, la bombe logique ne fera rien tant que la date et l'heure ne seront pas correctes. À ce stade, la bombe logique est "explosée" et provoque l'action nuisible qu'elle est censée provoquer.

La suppression de données est la solution standard des bombes logiques. Effacer des appareils ou un sous-ensemble plus limité de données est relativement facile et peut causer beaucoup de chaos, principalement si des systèmes critiques sont ciblés.

Certaines bombes logiques peuvent être multicouches. Par exemple, il pourrait y avoir deux bombes logiques, une réglée pour exploser à un moment donné et une qui explose si l'autre est trafiquée. Alternativement, les deux peuvent vérifier si l'autre est en place et s'éteindre si l'autre est trafiqué. Cela offre une certaine redondance pour que la bombe explose, mais double les chances que la bombe logique soit attrapée à l'avance. Cela ne réduit pas non plus la possibilité que l'attaquant soit identifié.

Menace interne

Les menaces internes utilisent presque exclusivement des bombes logiques. Un pirate informatique externe peut supprimer des éléments, mais il peut également bénéficier directement du vol et de la vente des données. Un initié est généralement motivé par la frustration, la colère ou la vengeance et est désabusé. L'exemple classique d'une menace interne est un employé récemment informé qu'il va bientôt perdre son emploi.

Comme on pouvait s'y attendre, la motivation chutera et, probablement, le rendement au travail. Une autre réaction possible est une volonté de vengeance. Parfois, il s'agira de petites choses comme prendre des pauses inutilement longues, imprimer de nombreuses copies d'un CV sur l'imprimante du bureau ou être perturbateur, peu coopératif et désagréable. Dans certains cas, la volonté de vengeance peut aller plus loin qu'un sabotage actif.

Conseil : Une autre source de menace interne peut être les sous-traitants. Par exemple, un entrepreneur peut implémenter une bombe logique comme police d'assurance dans laquelle il sera rappelé pour résoudre le problème.

Dans ce scénario, une bombe logique est un résultat possible. Certaines tentatives de sabotage peuvent être assez immédiates. Ceux-ci, cependant, sont souvent assez faciles à relier à l'auteur. Par exemple, l'attaquant pourrait briser le mur de verre du bureau du patron. L'attaquant pourrait se rendre dans la salle des serveurs et arracher tous les câbles des serveurs. Ils pourraient écraser leur voiture dans le hall ou la voiture du patron.

Le problème est que les bureaux comptent généralement de nombreuses personnes susceptibles de remarquer de telles actions. Ils peuvent également disposer de CCTV pour enregistrer l'attaquant commettant l'acte. De nombreuses salles de serveurs nécessitent une carte à puce pour y accéder, enregistrant exactement qui est entré, sorti et quand. Le chaos basé sur la voiture peut également être capturé sur CCTV; si la voiture de l'attaquant est utilisée, cela a un impact négatif actif sur l'attaquant.

À l'intérieur du réseau

Une menace interne pourrait se rendre compte que toutes ses options de sabotage physique possibles sont soit défectueuses, aient une forte probabilité qu'elles soient identifiées, ou les deux. Dans ce cas, ils pourraient abandonner ou choisir de faire quelque chose sur les ordinateurs. Pour une personne techniquement qualifiée, surtout si elle connaît le système, le sabotage informatique est relativement facile. Il a également l'attrait d'apparaître difficile à attribuer à l'attaquant.

L'attrait d'être difficile à épingler sur l'attaquant vient de quelques facteurs. Tout d'abord , personne ne cherche de bombes logiques, il est donc facile de les rater avant qu'elles n'explosent.

Deuxièmement , l'attaquant peut délibérément chronométrer la bombe logique pour qu'elle explose lorsqu'il n'est pas là. Cela signifie que non seulement ils n'ont pas à faire face aux conséquences immédiates, mais cela « ne peut pas être eux » parce qu'ils n'étaient pas là pour le faire.

Troisièmement , en particulier avec les bombes logiques qui effacent les données ou le système, la bombe peut s'effacer d'elle-même au cours du processus, rendant potentiellement impossible son attribution.

Il y a un nombre inconnu d'incidents où cela a fonctionné pour la menace interne. Au moins trois cas documentés où l'initié a réussi à déclencher la bombe logique mais a été identifié et condamné. Il y a au moins quatre autres cas de tentative d'utilisation où la bombe logique a été identifiée et "désarmée" en toute sécurité avant qu'elle n'explose, entraînant à nouveau l'identification et la condamnation de l'initié.

Conclusion

Une bombe logique est un incident de sécurité où un attaquant met en place une action différée. Les bombes logiques sont presque exclusivement utilisées par des menaces internes, principalement comme vengeance ou comme « police d'assurance ». Ils sont généralement basés sur le temps, bien qu'ils puissent être configurés pour être déclenchés par une action spécifique. Un résultat typique est qu'ils suppriment des données ou même effacent des ordinateurs.

Les menaces internes sont l'une des raisons pour lesquelles lorsque les employés sont licenciés, leur accès est immédiatement désactivé, même s'ils ont un délai de préavis. Cela garantit qu'ils ne peuvent pas abuser de leur accès pour poser une bombe logique, même si cela ne fournit aucune protection si l'employé avait « vu l'écriture sur le mur » et avait déjà posé la bombe logique.