Quelles sont les vulnérabilités les plus exploitées par les cybercriminels pour accéder aux réseaux internes ?
En 2020, les attaques par rançonlogiciels ont pris une ampleur dramatique. Pour rappel, il s’agit de programmes malveillants dont le but est d’obtenir de la victime le paiement d’une rançon, payable typiquement en cryptomonnaie (et donc impossible à annuler une fois payée). La menace est si répandue que des entreprises stockent même de la cryptomonnaie en prévision d’une attaque[1].
Entre janvier et août 2020, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a recensé plus de 104 attaques informatiques de ce type contre des entreprises en France. Les petites entreprises (PMEs/ETIs) ne sont malheureusement pas en reste. Le coût additionné des attaques par cryptovirus touchant les PME françaises s’élève à plus de 700 millions d’euros par an selon l’étude réalisée par l’institut de recherche technologique IRT-Systemx.
Une grande majorité des attaques sont opportunistes et profitent du faible niveau de maturité de sécurité des entreprises. L’objectif des attaquants est toujours le même : s’introduire dans le réseau interne puis compromettre une ou plusieurs machines du réseau ciblé.
Voyons quels sont les vecteurs d’attaque les plus utilisés par les cybercriminels pour obtenir un accès au réseau interne.
Les accès RDP[2]
C’est la porte d’entrée numéro un des attaquants afin de s’introduire dans les petites et moyennes entreprises. Scannant Internet ou utilisant des moteurs de recherche spécialisés, une fois un accès RDP détecté, celui-ci sera exploité soit par l’exploitation d’une vulnérabilité (par exemple BlueKeep), soit par la recherche d’un identifiant valide.
Pour obtenir un identifiant valide, les attaquants testent de multiples combinaisons. Il existe malheureusement de nombreux comptes par défaut ou avec un mot de passe faible et sinon ils peuvent également les acheter !
Il existe aussi des listes complètes d’identifiants valides (trouvées par des attaques automatisées réalisées par des robots) qui sont aussi échangées sur les forums du darkweb.
Ces listes sont utilisées par les groupes de cybercriminels pour obtenir un accès aux réseaux internes des organisations.
Les accès VPN
Un autre axe d’attaque fortement exploité depuis le début de l’année 2020 : les accès VPN. Avec la crise sanitaire, de nombreuses entreprises ont dû déployer en urgence des accès à distance et malheureusement plusieurs vulnérabilités critiques ont été découvertes auprès des éditeurs de solutions VPN (dont Citrix, F5, Pulse Secure, Palo Alto Networks, Fortinet, Secureworks).
Au mois de juillet, un pirate a d’ailleurs diffusé les identifiants VPN (avec le login et mot de passe en clair) de centaines entreprises.
Les cybercriminels sont à l’affût de n’importe quelle vulnérabilité affectant les VPNs afin d’exploiter celles-ci rapidement.
Les courriels malveillants
Concernant les vulnérabilités liées aux courriels malveillants, nous vous invitons à lire notre article spécialement dédié sur ce thème : Comment éviter les cyber attaques qui utilisent la messagerie ?
Quelques astuces utiles pour vous protéger !
Règles générales à appliquer pour sécuriser les accès RDP :
- Les supprimer (si ceux-ci ne sont pas utilisés),
- Les filtrer (liste blanche d’adresses IP autorisées à s’y connecter),
- Renforcer l’authentification (mise en place d’une second facteur d’authentification et d’un mot de passe fort),
- Toujours garder à jour la machine hébergeant le service RDP,
- Modifier le port par défaut pour accéder au service RDP (par défaut, il s’agit du port 3389).
Attention car des vulnérabilités sur ce type de composant sont régulièrement découvertes (ex : vulnérabilité BlueKeep).
Si vous ne pouvez pas le faire vous-même, n’hésitez pas à utiliser aussi notre plate-forme RISK&Me pour réaliser une cartographie de votre SI et d’être sûr qu’aucun accès non désiré n’est accessible via Internet.
Bonnes pratiques concernant les accès VPN :
Afin d’utiliser ces accès VPN, les attaquants peuvent exploiter une vulnérabilité liée au composant logiciel et dans ce cas il sera nécessaire d’appliquer les correctifs de sécurité dès leur apparition pour vous protéger.
Ils chercheront également à découvrir un compte avec un mot de passe faible, c’est pour vous prémunir de ce type d’attaque qu’une politique de mots de passe fort est nécessaire.
Il est aussi important de réaliser une veille régulière sur les composants VPN utilisés dans votre SI afin d’être informé au plus tôt en cas de découverte d’une vulnérabilité critique.
[/vc_column_text][vc_column_text]
Se prémunir des courriels malveillants :
Que ce soit par des campagnes massives d’envoi de courriels malveillants (phishing), ou par la personnalisation des courriels envoyés (spear-phishing), l’email demeure le vecteur d’attaque le plus utilisé par les cybercriminels pour pénétrer les entreprises (en particulier les grandes entreprises). Malgré une sensibilisation accrue et des technologies de plus en plus pointues pour détecter les courriels malveillants, le courriel demeure le type d’attaque le plus efficace. Maillon faible de la cybersécurité, vous trouverez dans cet article les nombreux aspects à prendre en compte afin de sécuriser votre serveur de messagerie (lire l’article : la sécurité de la messagerie).
[/vc_column_text][vc_column_text]
[2] Remote Desktop Protocole : protocole pour accéder à une machine Windows à distance
