TPE, PME, grandes entreprises, organismes publiques, … toutes les entreprises seront, un jour ou l’autre, touchées par une cybermalveillance. Entre 2022 et 2023, nos audits de sécurité ont révélé que les entreprises présentaient des risques critiques, indépendamment de leur taille. Plus inquiétant encore, nos audits de configuration démontrent que 100% des entreprises exposent des risques critiques souvent évitables par des mesures simples. L’exemple de l’attaque subie par le CHU de Brest, paralysé pendant plusieurs jours suite à l’utilisation d’un mot de passe de soignant diffusé sur internet, illustre parfaitement l’impact dévastateur de telles failles. En nous appuyant sur nos audits réalisés auprès de nos clients en 2023, cet article met en lumière les 10 vulnérabilités informatiques les plus exploitées par les attaquants. L’objectif ? informer et armer les entreprises contre les menaces futures.
Retour d’expérience : les principales failles de sécurité informatique rencontrées chez nos clients
Zoom sur les tendances alarmantes des cyberattaques en 2023 et sur les pistes pour lutter contre ces actes de cyber malveillance.
10. Serveurs DNS “Système de nom de domaine”
Le DNS est un service utilitaire primordial pour le bon fonctionnement des services applicatifs comme la navigation ou la messagerie. Les portes sont souvent laissées grandes ouvertes sur l’ensemble du réseau. Les attaquants font alors appel au transfert de zone pour lister l’ensemble des machines du domaine. Cette démarche permet de découvrir rapidement les cibles intéressantes – par responsabilité ou département (R&D, comptabilité). Cette faille ne permet pas directement de compromettre le système. C’est une faille utile dans le cadre de la découverte de la cible.
09. Contrôleur de domaine trop verbeux
Les domaines trop verbeux fournissent aux attaquants des informations cruciales pour organiser leurs attaques. Que ce soit au travers de connexions LDAP ou Samba, il est souvent possible d’obtenir des informations intéressantes comme le nom de domaine, la version du système d’exploitation (fingerprint) et encore plus intéressant la liste des utilisateurs du domaine. De la même façon, il est possible d’obtenir au niveau de chaque machine, l’utilisateur connecté.
08. Relations de confiance: propagation de la compromission
En environnement UNIX, les programmes de terminaux à distance (rlogin et rsh) utilisent un système d’authentification faible et permettent en plus de mettre en place des relations de confiance entre machines (par l’intermédiaire de fichiers .rhosts ou hosts.equiv). Ainsi si l’une des machines est compromise, l’attaquant peut se connecter librement à l’ensemble des machines de confiance. Ces applications sont dans la plupart des cas interdites dans la politique de sécurité au profit d’outils plus sécurisés comme SSH. Mais là encore, l’expérience montre que des rebonds sont possibles à cause du manque de protection des clés privées. La clé publique associée est souvent utilisée sur un grand nombre de serveurs permettant à l’attaquant de s’y connecter.
En environnement Windows, il est possible de définir des relations de confiance entre domaines Active Directory. Dans ce cas, l’annuaire des utilisateurs est répliqué entre domaines de confiance. Un attaquant s’il arrive à obtenir un compte sur un domaine « plus faible » aura accès à tous les domaines avec ce compte.
07. Gestion des droits : besoin d’en connaître
Le besoin d’en connaître est une notion primordiale en sécurité pour s’assurer de la confidentialité des données. Bien souvent la gestion des droits sur les partages de fichiers présente des faiblesses : des restrictions d’accès trop laxistes voire inexistantes permettent
d’obtenir de nombreuses informations stratégiques et confidentielles.
06. Protocoles d’administration – le diable est dans les détails
Même dans les entreprises où la sécurité est prise en compte sur les postes utilisateurs et les serveurs, certaines catégories d’équipements passent quasiment tout le temps à la trappe. Que ce soit les éléments actifs du réseau comme les switchs, les routeurs ou les imprimantes, la sécurité est souvent négligée. Ainsi les mots de passes d’administration par défaut sont rarement changés et s’ils le sont, il reste les protocoles d’administration activés par défaut sur ce genre d’équipement.
La présence de protocoles sécurisés qui font transiter les mots de passe en clair constitue aussi une source très importante de vecteurs d’attaques (par exemple : FTP, Telnet, etc.)
05. Base de données
Les bases de données sont une cible de choix car elles renferment un tas d’informations utilisables. Lorsque les mots de passe par défaut sont changés, les administrateurs des bases de données (administrant un grand nombre de serveurs) utilisent souvent des mots de passes faibles qui sont fonction du nom du serveur. Au-delà des informations confidentielles contenues, ces bases contiennent des listes d’utilisateurs dont il est facile d’obtenir les mots de passes par cassage. Ces comptes peuvent alors être réutilisés pour continuer l’attaque sur le réseau.
04. Partage de fichiers
De nombreux systèmes peuvent avoir des partages de fichiers. Ces partages peuvent être gérés via différents protocoles (FTP, NFS, SMB, …). Les restrictions sur ces partages sont en général trop faibles voire inexistantes. Que ce soient les accès anonymes autorisés sur un FTP ou la restriction d’accès au réseau d’entreprise pour les partages SMB ou NFS, un attaquant a la possibilité d’obtenir énormément d’informations confidentielles. Le pouvoir de nuisance est extrêmement important lorsqu’un attaquant décide d’utiliser la technique de la terre brûlée et de supprimer tous les fichiers présents (sauvegarde, données financières…).
03. Serveurs à l’abandon
Un constat qui est fait lors de nos audits est qu’il n’y a presque jamais d’inventaire matériel réalisé au sein des systèmes d’informations. Lors d’un audit, la découverte de serveurs de tests ou de serveurs à l’abandon, non maintenus et largement vulnérables surprend les administrateurs qui n’avaient même pas connaissance de ces éléments sur le réseau. Ces serveurs sont facilement exploitables et peuvent toujours contenir des informations valides. De plus, ils servent de rebond pour attaquer des cibles plus intéressantes.
02. Mots de passe
Chez 96% des clients audités, un mot de passe par défaut ou trivial permet d’accéder à des ressources confidentielles. Un simple stagiaire y arriverait. C’est un sujet pour lequel les utilisateurs sont le plus sensibilisés en entreprise, il reste pourtant l’un des vecteurs d’attaques les plus utilisés et surtout le plus simple à exploiter.
Retour d’expérience : le top 3 des mots de passes les plus faibles rencontrés
– Le compte n’a pas de mot de passe
– Le mot de passe est le même que le login
– Le mot de passe est le mot de passe générique de création de compte
Et n’oublions pas quand le mot de passe est le prénom de l’utilisateur, de ses enfants, un simple mot du dictionnaire….
01. Failles historiques
Ce qui devrait être le problème le plus anecdotique et paradoxalement le plus facile et le plus automatisé à exploiter. Les vulnérabilités historiques sont connues et des correctifs sont fournis par les éditeurs dès qu’elles sont publiées. Il suffit de mettre à jour les systèmes pour s’en prémunir. Cependant, ces vulnérabilités sont le plus grand vecteur d’attaques et d’infections des systèmes d’informations. Les dernières grandes actualités concernant des compromissions d’entreprises concernent des systèmes qui ne sont pas mis à jour depuis des années.
Conclusion
9 fois sur 10 nous pénétrons sur le système d’information lors d’un audit intrusif. Et ce à partir d’une faille de sécurité triviale (issue du Top 10); depuis une simple connexion internet la plupart du temps. Si nous y arrivons, des pirates, personnes malveillantes ou malwares y arrivent aussi. D’autre part, 8 entreprises sur 10 ayant subi une malveillance ne le savent pas.
Alors que fait on ?
Souvent nous rencontrons des clients qui empilent des outils de sécurité comme les couches d’un mille feuilles alors qu’en supprimant ces 10 failles essentielles, le niveau de sécurité augmente exponentiellement. C’est pourquoi il est nécessaire de mettre en place des contrôles permanents pour vérifier ces points.