Pourquoi les transferts de fichiers constituent l'un des principaux points d'entrée des logiciels malveillants

Le risque lié aux logiciels malveillants de transfert de fichiers correspond à la probabilité qu'un contenu malveillant ou détourné pénètre dans un environnement de confiance par le biais d'échanges de fichiers courants et permette l'exécution, la propagation latérale ou la compromission des données. Ce risque s'accroît lorsque les fichiers entrants franchissent les limites de confiance sans être inspectés ni soumis à des contrôles de validation rigoureux.

Les répercussions opérationnelles comprennent la mise en place de ransomware, le vol d'identifiants via la diffusion de chargeurs, la compromission de la chaîne d'approvisionnement par l'intermédiaire de partenaires de confiance et la propagation entre zones au sein de réseaux segmentés. Les équipes informatiques doivent considérer les fichiers entrants comme du contenu non fiable jusqu'à ce qu'ils aient été inspectés, nettoyés et validés au regard des politiques en vigueur.

Les transferts de fichiers contournent souvent les contrôles de détection et de réponse au niveau des terminaux, car les fichiers sont directement transférés vers des serveurs, des partages réseau ou des flux de travail automatisés sans être vérifiés par l'utilisateur. L'automatisation des transferts de fichiers achemine le contenu via des comptes de service, des tâches planifiées et des intégrations qui ne déclenchent ni invite ni vérification au niveau de l'utilisateur.

Les pipelines d'ingestion par lots, les dossiers de dépôt et les intégrations API créent des flux de travail inter-services dans lesquels le contenu est traité dès son arrivée. En l'absence de contrôle en temps réel et de mécanismes de quarantaine avant validation, les fichiers malveillants peuvent se propager avant d'être détectés.

Un chemin de transfert de fichiers présente un risque élevé lorsqu'un fichier franchit une limite de confiance, arrive sur un système privilégié, contient des types de fichiers sensibles et ne fait pas l'objet d'une inspection en temps réel assortie de mesures de mise en quarantaine. Un chemin de transfert de fichiers présente un risque moindre lorsque l'inspection, l'assainissement, l'utilisation de répertoires à privilèges minimaux et l'application de règles déterministes sont mis en œuvre avant la livraison.

La notation des risques doit tenir compte des éléments suivants :

• Franchissement d'une limite de zone de confiance (de l'extérieur vers l'intérieur, de l'infrastructure informatique vers l'infrastructure opérationnelle, de la zone démilitarisée vers le cœur du réseau)
• Sensibilité de la destination et privilèges système
• Volatilité des types de fichiers et contenu interactif
• Contrôle avant la livraison et gestion des autorisations de sortie

Les pirates exploitent couramment les protocoles SFTP, FTPS et HTTPS, les portails de téléchargement, les pièces jointes aux e-mails, les liens partagés et les chemins de synchronisation dans le cloud pour introduire des logiciels malveillants véhiculés par des fichiers. Ces points d'entrée liés au transfert de fichiers bénéficient de la confiance de l'entreprise, car les fournisseurs, les partenaires et les équipes internes utilisent ces mêmes canaux pour leurs échanges de données courants.

L'exploitation de partenaires de confiance et l'automatisation des processus courants font passer les fichiers malveillants pour des fichiers tout à fait normaux sur le plan opérationnel. Les pirates privilégient les chemins qui franchissent les limites de confiance et déclenchent des traitements en aval sans contrôle préalable.

L'échange de fichiers via SFTP peut servir de vecteur de diffusion de logiciels malveillants lorsque des fournisseurs ou des intégrations automatisées déposent des fichiers directement dans des répertoires internes sans contrôle du contenu. Les modes d'utilisation du protocole SFTP comprennent les comptes de service, les dépôts programmés et le traitement par lots en aval.

Des contrôles insuffisants, tels que la multiplication des clés, la réutilisation des identifiants, des autorisations trop larges sur les répertoires et l'absence de contrôle en temps réel, augmentent les risques. Secure ne garantit pas la sécurité des fichiers.

Les transferts FTPS peuvent devenir une menace lorsque le transport chiffré est confondu avec la sécurité du contenu. Le protocole FTPS protège les données en transit à l'aide du protocole TLS, mais n'inspecte pas le contenu des fichiers.

Parmi les écueils opérationnels, on peut citer la dérive des certificats, les configurations obsolètes des clients et les exceptions de pare-feu qui privilégient la connectivité au détriment de l'inspection. En l'absence de mise en quarantaine et de contrôle des validations, des contenus dangereux s'introduisent dans les flux de travail fiables.

Les portails de téléchargement HTTPS exposent des interfaces publiques permettant l'envoi de fichiers, telles que les portails clients, les systèmes de gestion des tickets et les formulaires d'inscription. Le protocole HTTPS crypte la transmission des données, mais ne neutralise pas le contenu malveillant des fichiers. 

Les pare-feu d'applications Web se concentrent sur les modèles de requêtes et la validation des données saisies plutôt que sur l'analyse approfondie des fichiers. L'analyse des fichiers en ligne au niveau de la couche de téléchargement empêche les fichiers dangereux d'atteindre le stockage interne. 

Les pirates dissimulent leurs logiciels malveillants dans des types de fichiers couramment échangés en recourant à des archives imbriquées, à l'exploitation abusive de macros, à des chaînes d'exploits et à l'usurpation de type de fichier. Les logiciels malveillants véhiculés par des fichiers échappent aux contrôles superficiels en intégrant du contenu actif au sein de formats professionnels légitimes.

La conception des politiques doit partir du principe que la détection basée sur le contenu est nécessaire pour tous les fichiers entrants qui franchissent les frontières de confiance.

Les fichiers ZIP et les archives imbriquées échappent à une analyse simple grâce à une récursivité profonde, à la protection par mot de passe et à des extensions non correspondantes. La récursivité des archives dissimule le contenu exécutable à plusieurs niveaux de profondeur.

Les contrôles doivent garantir le respect des limites de profondeur des archives, des politiques de décompression, des règles de gestion des archives protégées par mot de passe et de l'inspection obligatoire avant la publication.

Les documents Office contenant des macros diffusentdes ransomwareset des chargeurs en déclenchant des scripts intégrés ou des objets liés lors de l'interaction avec le document. Les formats de fichiers Office prennent en charge le contenu actif qui s'exécute dans le contexte de l'utilisateur. 

Les politiques doivent mettre en œuvre des contrôles basés sur la liste blanche, des restrictions de macros ainsi que des mécanismes de neutralisation et de reconstruction du contenu afin de supprimer les éléments actifs tout en préservant la facilité d'utilisation. 

Les fichiers PDF ne sont pas automatiquement sûrs, car les documents PDF peuvent contenir des scripts, des liens et des charges utiles malveillantes visant à exploiter les failles des lecteurs. Les attaques par PDF se présentent souvent sous la forme de factures, de contrats ou de rapports. 

Les fichiers PDF entrants qui franchissent des frontières de confiance doivent faire l'objet d'une inspection et d'une désinfection afin de supprimer tout contenu actif et de valider leur structure. 

Les protocoles SFTP, FTPS et HTTPS se distinguent par leurs modèles de chiffrement et d'authentification au niveau du transport, mais ne réduisent pas en soi les risques liés au contenu des fichiers. Secure protège le canal de communication, et non la charge utile.

Le risque lié aux logiciels malveillants persiste tant que l'inspection, la désinfection et l'application des politiques n'ont pas été effectuées avant la transmission vers les systèmes de confiance.

Secure garantit la confidentialité et l'intégrité des données pendant leur transfert en les chiffrant et en protégeant les identifiants contre toute interception. Secure réduit Secure les risques d'attaques de type « homme au milieu » et de surveillance passive. 

Secure ne détecte pas les contenus malveillants, les failles « zero-day » dans les analyseurs de fichiers ni les violations de politique intégrées dans les fichiers.

Les transferts chiffrés réduisent la visibilité au niveau de la couche réseau lorsque l'inspection ne peut pas être effectuée là où le texte en clair est disponible. Les outils de détection réseau ne peuvent pas analyser les charges utiles chiffrées sans une terminaison contrôlée. 

L'inspection doit avoir lieu au niveau des points de terminaison, des passerelles ou des couches de transfert de fichiers gérées, où les fichiers sont déchiffrés, inspectés, nettoyés et rechiffrés avant leur diffusion. 

Une architecture conforme aux meilleures pratiques pour analyser tous les fichiers entrants avant leur transmission nécessite des processus d'inspection en ligne et de mise en quarantaine puis de libération intégrés aux chemins de transfert de fichiers. L'inspection des fichiers doit servir de point de contrôle de la conformité aux politiques, et non de simple option supplémentaire.

Les équipes informatiques doivent mettre en correspondance les processus d'inspection avec l'emplacement de la zone démilitarisée (DMZ), la segmentation des réseaux et les transferts entre zones.

Un processus de mise en quarantaine puis de libération place les fichiers dans un espace de stockage isolé, procède à leur inspection et à leur nettoyage, applique une décision de politique, puis transfère les fichiers approuvés vers leur destination prévue. 

Les étapes du flux de travail comprennent la réception, la mise en quarantaine, l'inspection, la désinfection ou la destruction, l'approbation ou le blocage, et la livraison. L'automatisation, la logique de nouvelle tentative et la gestion claire des échecs permettent de maintenir les niveaux de service sans compromettre la sécurité. 

L'inspection des fichiers dans une zone DMZ doit avoir lieu avant que ceux-ci ne passent de réseaux externes peu fiables vers des zones internes hautement fiables. Les plateformes de transfert de fichiers gérées ou les passerelles sécurisées basées dans la zone DMZ font office de couches d'inspection contrôlées.

Une inspection doit précéder tout accès en écriture aux systèmes internes afin de garantir le respect des règles relatives aux limites de confiance.

La diffusion directe vers les partages et les applications augmente la portée de l'attaque en permettant aux fichiers entrants de s'exécuter ou de se propager avant d'être inspectés. L'écriture directe sur un NAS interne, dans des dossiers de dépôt ou dans des répertoires d'applications accroît la vulnérabilité.

Les modèles de distribution gérés nécessitent un résultat d'inspection favorable avant d'accorder des droits d'écriture aux cibles internes.

Parmi les mesures de sécurité qui réduisent le risque lié aux logiciels malveillants lors du transfert de fichiers, au-delà du chiffrement, on peut citer la validation des types de fichiers, l'analyse multiplisée, le CDR (Content Disarm and Reconstruction), l'analyse en bac à sable et la prévention des pertes de données. Le chiffrement protège le transport, tandis que les mesures de sécurité du contenu valident et neutralisent les charges utiles.

Le choix des contrôles doit tenir compte du niveau de fiabilité de la source, de la sensibilité de la destination et de la volatilité du type de fichier.

Les listes blanches de types de fichiers et la validation du contenu empêchent les formats exécutables et à haut risque d'accéder aux environnements sensibles. Les politiques privilégiant les listes blanches imposent une vérification rigoureuse des extensions et des types de contenu.

Les dérogations opérationnelles doivent être temporaires, faire l'objet d'un réexamen et être consignées afin d'éviter toute lacune permanente dans les politiques.

Multiscanning la détection en utilisant plusieurs moteurs anti-malware pour analyser un même fichier, ce qui permet de réduire les lacunes d'un moteur unique. L'analyse consensuelle renforce la fiabilité des verdicts lors des transferts de fichiers. 

La conception opérationnelle doit définir les seuils de décision pour les systèmes à plusieurs moteurs, les processus de triage des faux positifs et les procédures d'escalade pour les résultats contestés. 

La fonctionnalité « Content Disarm and Reconstruction » supprime le contenu actif des documents et génère des versions sécurisées en vue de leur diffusion. Elle réduit les risques liés aux failles « zero-day » et aux exploits tout en préservant la facilité d'utilisation des documents. 

Les échanges de documents à grand volume tirent profit de la purification lorsque les processus métier exigent des délais d'exécution rapides tout en réduisant les risques liés à la mise en œuvre. 

Le sandboxing analyse le comportement des fichiers dans des environnements contrôlésafin de détecter les logiciels malveillants inconnus ou ciblés. Sandbox fournit des indicateurs comportementaux qui vont au-delà des signatures statiques. 

Sandbox et les techniques de contournement Sandbox nécessitent une gestion bien définie des libérations différées afin de maintenir les niveaux de service sans risque de libération non sécurisée. 

Proactive DLP les politiques de classification des données aux fichiers en transit afin d'empêcher la fuite d'informations personnelles identifiables (PII), d'informations médicales protégées (PHI), de données PCI ou de données soumises à une réglementation. Proactive DLP la gouvernance des transferts de fichiers sur les exigences réglementaires. 

Les politiques DLP doivent être alignées sur les échanges avec les fournisseurs, les dossiers réglementés et les transferts transfrontaliers de données afin de garantir des résultats prévisibles. 

Pour sécuriser les transferts de fichiers sur des réseaux segmentés et au-delà des frontières entre les environnements informatiques et opérationnels, il est indispensable de mettre en place des contrôles et une gouvernance à chaque point de passage entre les zones de confiance. La segmentation renforce le recours au transfert de fichiers comme voie d'exception entre les zones.

L'inspection, la quarantaine et la mise en circulation contrôlée permettent d'éviter la contamination entre zones et de garantir la fiabilité opérationnelle.

Les fichiers transitant d'une zone de faible confiance vers une zone de haute confiance nécessitent une vérification explicite de l'identité de l'expéditeur, des types de fichiers autorisés, des résultats de l'inspection et des destinataires autorisés. Les politiques relatives aux limites de confiance doivent définir qui peut envoyer des fichiers, ce qui peut être envoyé et où ces fichiers peuvent être acheminés.

Les répertoires à privilèges minimaux et les contrôles de vérification avant livraison garantissent le respect des limites.

Les transferts de fichiers à la frontière entre les réseaux informatiques et opérationnels doivent éviter toute connectivité bidirectionnelle non contrôlée ou tout partage de répertoires. Les partages sans restriction créent des portes dérobées persistantes entre les réseaux d'entreprise et les réseaux opérationnels.

Des modèles de courtage à transfert contrôlé, des flux de travail unidirectionnels lorsque cela s'avère nécessaire et des points de validation explicites permettent de maintenir la séparation tout en facilitant les échanges indispensables.

Pour prouver que les transferts de fichiers ont été vérifiés, il est nécessaire de consigner de manière exhaustive les opérations de contrôle, l'application des politiques et les décisions de validation. Les preuves doivent permettre à la fois l'audit et la gestion des incidents.

Les journaux doivent attester de l'exécution déterministe des contrôles pour chaque fichier franchissant une frontière de confiance.

Les journaux MFT relatifs à la protection contre les logiciels malveillants doivent inclure l'identité des utilisateurs ou des systèmes, les terminaux source et destination, les horodatages, le protocole utilisé, les hachages de fichiers (tels que SHA-256), les décisions relatives aux politiques et les résultats de l'inspection. 

Des journaux détaillés facilitent la mise en œuvre de mesures de confinement et l'analyse forensic après des incidents présumés liés à des fichiers. 

Les rapports d'analyse et de nettoyage doivent inclure les versions des moteurs, les résultats par moteur, les actions de neutralisation et de reconstruction du contenu, les indicateurs de la zone de test et la décision finale. 

Les enregistrements reproductibles et les journaux protégés contre toute altération renforcent la valeur probante lors des audits et des enquêtes.

Une liste de contrôle de sécurité pour les transferts de fichiers gérés, destinée aux échanges avec les fournisseurs et aux secteurs réglementés, propose une méthode adaptée à l'architecture pour évaluer et réduire les risques liés aux logiciels malveillants lors des transferts de fichiers. Cette liste de contrôle doit permettre d'évaluer les politiques, les flux de travail, la mise en place des contrôles et la collecte de preuves.

Les contrôles relatifs à l'échange de fichiers avec les fournisseurs doivent normaliser l'intégration des partenaires, la vérification d'identité, l'accès limité dans le temps, la gestion des clés et des certificats, ainsi que les répertoires à privilèges minimaux. Les processus de gestion des fournisseurs doivent prévoir la mise en quarantaine, l'inspection en ligne et la distribution contrôlée vers les cibles internes.

Une application cohérente des règles permet de réduire les abus commis par des partenaires de confiance et les risques de contournement des mesures d'automatisation.

Parmi les mesures permettant de limiter la propagation des ransomwares, on peut citer le blocage des types de fichiers à haut risque, le nettoyage des documents entrants, l'isolation des zones de transit et la restriction des autorisations des comptes de service. La surveillance des volumes de fichiers inhabituels ou des violations répétées des politiques permet d'identifier les tentatives de transit.

Une mise en place isolée et une administration par voie médiateuse réduisent le rayon d'action.

MetaDefender File Transfer™ est la solution de transfert de fichiers géré (MFT) OPSWAT, conçue pour assurer un échange de fichiers sécurisé et conforme aux politiques dans les environnements informatiques (IT) et opérationnels (OT). MetaDefender File Transfer™ intègre directement dans le flux de transfert l'inspection des fichiers en ligne, l'analyse multi-niveaux, la technologie Deep CDR™, Proactive DLP, l'analyse en sandbox optimisée par l'IA, le chiffrement et la gouvernance centralisée afin de garantir un transfert contrôlé, des preuves prêtes pour l'audit et une protection transfrontalière.