Mineurs et Minions : Les violations de données ne sont pas la seule chose qui vous coûte cher

Bien sûr, une violation de données peut coûter plus cher (du moins pour le moment) et elle met certainement en lumière votre échec (vous devez le signaler), mais la sécurité ne peut pas se résumer uniquement à l’exposition des données.

De nos jours, on n'entend parler d'une violation que s'il y a eu une exposition de données. Selon la façon dont certaines personnes parlent (et écrivent), les violations n’ont d’importance que si des données sont exposées. Un rapport récent de Netwrix sur la sécurité et les risques informatiques a en effet noté que « les organisations prévoient de concentrer leurs investissements sur la sécurisation des données sensibles, car elles ne peuvent pas prévoir toutes les menaces possibles. » ( Rapport sur les risques informatiques 2017 )

Étant donné que le coût moyen d’une violation de données s’élève à plus de 3 millions de dollars, selon une étude de Ponemon (sponsorisée par IBM), cela semble être une stratégie judicieuse. Protégez les données. Après tout, cela ne coûte pas seulement en termes d’argent, cela ternit également l’image de marque et la réputation de l’entreprise et coûte souvent leur emploi à des gens.

Le problème avec une stratégie de sécurité aussi myope est qu’elle ignore complètement qu’il existe tout autant de coûts associés à d’autres violations. Parce que personne n’attaque vos défenses avec l’intention de s’éloigner une fois qu’ils l’ont fait. Les attaquants ne cherchent pas à se contenter d’accéder à votre réseau ou à vos systèmes. Nous avons largement dépassé la phase de la simple « dégradation comme rite de passage » dans la communauté des hackers. Le plus souvent, les attaquants d’aujourd’hui sont là pour l’argent.

Et même si nous savons que les informations d’identification et les données personnelles valent beaucoup d’argent sur le dark web, les données ne sont pas le seul moyen de gagner de l’argent de nos jours. Le marché très lucratif du cryptomining l’a récemment prouvé. Un blog très détaillé et long (et qui vaut la peine d'être lu) de Talos calcule qu'une seule campagne de cryptojacking pourrait générer entre 182 500 $ par an et 100 millions de dollars par an :

« Pour mettre les gains financiers en perspective, un système moyen générerait probablement environ 0,25 $ de Monero par jour, ce qui signifie qu'un adversaire qui a enrôlé 2 000 victimes (ce qui n'est pas une mince affaire) pourrait générer 500 $ par jour ou 182 500 $ par an. Talos a observé des botnets constitués de millions de systèmes infectés, ce qui, selon notre logique précédente, signifie que ces systèmes pourraient être exploités pour générer théoriquement plus de 100 millions de dollars par an. 

Théoriquement, bien sûr.

Ces chiffres sont impressionnants, mais ce ne sont pas les profits des mineurs qui importent vraiment dans cet article. Ils constituent simplement la principale motivation des attaques. Quelques centaines de milliers de dollars suffisent pour inciter à exploiter des ressources gratuites. Et comme c’est si rentable, vous devez prendre pleinement conscience des coûts liés aux intrusions laissant des mineurs et leurs complices dans votre infrastructure.

Le coût de la consommation frauduleuse de ressources

Les coûts d’une violation de données sont bien connus, allant des frais de nettoyage aux dépenses de notification et d’indemnisation.  Les coûts liés à d’autres types de violations sont moins documentés, mais ils existent bel et bien sous forme de dépenses opérationnelles inutiles et d’opportunités manquées. Que ce soit des mineurs ou des minions, des processus Linux classiques ou du code conteneurisé, la réalité est qu’une fois infiltrés, ces bots étrangers et indésirables consomment illicitement des ressources facturées en fin de mois (ou trimestre, selon la fréquence de votre facture cloud).

Vous pourriez penser que ces bots utilisent des ressources que vous auriez de toute façon payées. En effet, vous n'exploitez en moyenne que 20 % de cette instance/serveur, mais vous payez pour 100 % quoi qu'il arrive. Les bots vous font-ils donc vraiment perdre de l'argent ?

Vous avez bien raison, ils le sont.

Rappelons-nous un instant le principe de mise à l’échelle automatique, l’une des raisons pour lesquelles de nombreuses organisations adoptent le cloud public. Lorsque la charge ou les performances dépassent un seuil, nous souhaitons qu'une nouvelle instance soit lancée pour répondre à la demande. Si nous avons une instance qui n'utilise que 20 % pour servir des clients légitimes et qu'un bot consomme soudainement les 80 % restants. Nous allons payer pour une deuxième instance, puis une troisième, puis une quatrième, et enfin une cinquième, pour répondre à la demande qui aurait pu être satisfaite par une seule instance si elle n’était pas utilisée de manière illicite.

Donc il y a ce coût. 

Pour ceux qui sont passionnés par l’environnement, il y a aussi l’augmentation des émissions de carbone due à une consommation accrue d’électricité. Fait fascinant, mais lorsque le calcul est inactif, il consomme moins de watts que lorsqu’il est pleinement sollicité (en particulier lorsqu’il effectue des calculs cryptographiques très complexes). Ainsi, si un mineur ou un minion travaille sans relâche, cela vous coûte en kilowattheures (s'il est sur site) et en heures d'instance (s'il est dans le cloud public), ce qui augmente votre empreinte carbone.

Plus vous consommez d’énergie, plus la chaleur augmente, et il vous faut un refroidissement supplémentaire. Cela entraîne une consommation électrique encore plus importante. Sans oublier les systèmes qui surveillent la température et en rendent compte… vous voyez l’idée. Vous utilisez beaucoup de puissance informatique auxiliaire pour gérer un centre de données, qu’il soit dans le cloud ou sur site, ce qui fait monter vos coûts d’exploitation à cause de la consommation abusive de ressources.

Comme indiqué dans le blog susmentionné de Talos, certains de ces scripts de cryptomining sont intelligents. Ils sont évasifs et peuvent empêcher vos machines de se mettre en veille, de redémarrer, de se connecter ou de réaliser toute autre activité susceptible d’interrompre leur fonctionnement. Ils maintiennent vos machines en marche 24 heures sur 24, 7 jours sur 7, et récupèrent chaque dernier élément numérique possible avant que vous n'appeliez l'exterminateur.

Il s’agit donc de coûts tangibles, ceux que l’on peut constater dans les factures de services publics et de cloud qui montent en flèche. Qu'en est-il des coûts intangibles ? Comme la perte d’un client (ou d’un client potentiel) en raison de mauvaises performances ?

Eh bien, rappelons-nous l’axiome opérationnel n°2 : à mesure que la charge augmente, les performances diminuent.

Si un mineur ou un serviteur consomme des ressources, cela augmente la charge globale sur un serveur, ce qui va diminuer les performances de l'application. Comme la gravité, c'est une loi. L’impact d’une mauvaise performance est bien documenté. Par exemple, nous savons grâce aux recherches d'AppDynamics que 8 utilisateurs sur 10 ont supprimé une application parce qu'elle fonctionnait mal. Nous savons qu’Amazon , Google et Walmart ont tous documenté l’impact que même les microsecondes ont sur les revenus, les conversions et les achats. Selon le secteur d’activité, la perte d’une application ou une légère dégradation des performances peut se traduire assez rapidement par des pertes mesurables.

Même si vous ne voulez pas faire le calcul réel (et je ne le fais certainement pas), l'idée générale parle d'elle-même : les mineurs et les serviteurs coûtent de l'argent réel aux organisations de diverses manières. Certes, l’exposition des données constitue un risque sérieux pour la sécurité et l’entreprise contre lequel il est essentiel de se défendre, mais n’ignorons pas que toute violation peut entraîner de graves conséquences. 

Selon RedLock Cloud Security Trends de mai 2018, 25 % des organisations subissent actuellement des activités de cryptojacking dans leurs environnements. Tripwire a aussi constaté qu’une opération unique de minage de Monero a impacté 15 millions de personnes. eWeek a signalé qu’un service public voyait ses ressources informatiques énormément drainées par des opérations illégales de cryptominage.

Ces rapports sont de plus en plus fréquents, probablement dans l’espoir de mettre en lumière la gravité de ces activités. Ce qu’il faut retenir à propos des mineurs – et des serviteurs servant dans les armées de botnets – c’est qu’ils sont la preuve d’une faille dans vos défenses, dont aucune n’est nécessairement liée à des données sensibles.

Se concentrer trop étroitement sur la protection des données est un bon moyen d’ajouter votre nom à la liste croissante des entreprises qui ont payé pour faire du cryptojacking une activité aussi lucrative. L’incertitude quant à ce que les attaquants exploiteront ensuite n’est pas une bonne raison pour détourner notre attention d’une stratégie de sécurité globale et concentrer tous nos efforts sur la protection des données. Protégeons l’entreprise – et cela inclut les postes opérationnels qui peuvent ronger les résultats financiers de l’entreprise.