Les cyberattaquants, qui ont constamment plusieurs coups d’avance, planifient des stratégies complexes pour infiltrer les réseaux et accéder aux données sensibles. Le mouvement latéral est une tactique par laquelle les attaquants, après avoir obtenu un accès initial, se déplacent latéralement à l’intérieur d’un réseau à la recherche d’actifs ou de données particuliers, souvent sans être détectés ! Parmi les techniques sophistiquées utilisées, on peut citer l’exploitation des vulnérabilités de l’infrastructure, l’utilisation d’informations d’identification volées et même l’attente pendant des mois du bon moment pour frapper après avoir obtenu l’accès.

Quels types d’attaques utilisent le mouvement latéral ?

Les mouvements latéraux jouent un rôle dans différents types d’attaques. Les attaquants naviguent dans un réseau après avoir obtenu un accès initial, cherchant à étendre leur empreinte et à atteindre leur objectif principal. Bien qu’il s’agisse d’une tactique employée dans de nombreuses cyberattaques, certains types de menaces dépendent fortement du mouvement latéral pour être efficaces.

Il existe quatre types d’attaques spécifiques et le fait de comprendre comment et pourquoi elles utilisent le mouvement latéral pour poursuivre leurs objectifs malveillants permet de les anticiper.

Les attaques par ransomware
Désormais tristement célèbres pour leur pouvoir perturbateur, elles utilisent souvent le mouvement latéral pour maximiser leur impact. Une fois à l’intérieur d’un réseau, les ransomwares ne se contentent pas de verrouiller une seule machine ; les attaquants cherchent à crypter le plus grand nombre de systèmes possible. En naviguant dans le réseau et en identifiant les serveurs ou les entrepôts de données critiques, ils peuvent infliger un maximum de dégâts et, par conséquent, exiger des rançons plus élevées. Cette navigation est rendue possible par le mouvement latéral. En exploitant des vulnérabilités, en utilisant des informations d’identification volées ou en employant des outils conçus pour traverser le réseau, les ransomwares peuvent proliférer rapidement dans un réseau et mettre les entreprises à genoux.

L’exfiltration de données
Cette attaque consiste à extraire des données sensibles d’un réseau compromis. Pour un attaquant, il ne s’agit pas seulement d’obtenir un accès initial, mais aussi d’atteindre les endroits où résident des informations sensibles. Il peut s’agir de bases de données clients, de propriété intellectuelle, de dossiers financiers ou de toute autre donnée précieuse. Le mouvement latéral est crucial à cet égard ; il permet aux attaquants de traverser un réseau silencieusement, en évitant d’être détectés pendant qu’ils localisent et siphonnent des données. Plus longtemps ils peuvent se déplacer sans être détectés, plus ils peuvent voler d’informations, ce qui fait de cette technique la pierre angulaire de nombreuses brèches très médiatisées.

L’espionnage
Un autre type d’attaque qui permet de recueillir des renseignements sans déclencher d’alarme. Qu’elles soient menées par des acteurs parrainés par un État ou par des entreprises concurrentes, les opérations d’espionnage nécessitent une plongée profonde dans les systèmes internes de la cible afin d’obtenir des informations classifiées ou exclusives. Une fois qu’ils ont infiltré un réseau, les attaquants utilisent le mouvement latéral pour explorer, souvent en ciblant des départements, des individus ou des systèmes spécifiques qui abritent les informations qu’ils recherchent. En restant discrets et en utilisant des outils sophistiqués, ces cyber espions peuvent souvent maintenir une présence dans un réseau pendant des mois, voire des années, en extrayant continuellement des informations.

Les botnets
Réseaux d’ordinateurs compromis contrôlés par une entité centrale, ils constituent un outil puissant dans l’arsenal des cybercriminels. Mais comment des systèmes individuels deviennent-ils partie intégrante d’un réseau de zombies ? Grâce aux mouvements latéraux : lorsqu’un attaquant a compromis un seul système au sein d’un réseau, il peut l’utiliser comme rampe de lancement pour en infecter d’autres. Cette technique de propagation permet à l’opérateur d’un botnet de développer rapidement son réseau d’ordinateurs "zombies". Que ces botnets soient ensuite utilisés pour des attaques par déni de service distribué (DDoS), pour la diffusion de logiciels malveillants ou pour d’autres activités malveillantes, la clé va résider dans la prolifération rapide, facilitée par le mouvement latéral.

Les entreprises doivent constamment protéger leur réseau notamment des mouvements latéraux. Elle devront veiller et travailler à éliminer les angles morts, traquer proactivement les menaces, maintenir une bonne hygiène informatique, mettre à jour régulièrement les logiciels et maintenir une politique de gestion des mots de passe forte.