Recommandations Cert-IST suite au bilan sur les vulnérabilités et attaques de 2020
Date : 07 Mars 2021
Cet article constitue une suite du bilan que nous avons publié en février à propos des vulnérabilités et attaques de 2020. Il reprend chacun des faits majeurs identifiés dans le bilan et propose des mesures pour mieux se protéger. L’objectif n’est pas d’établir un guide sécurisation ou de rappeler les bonnes pratiques de la sécurité, mais de se focaliser sur certains points particuliers. La plupart des mesures proposées sont plutôt simples et déjà assez largement appliquées. En fait l'article aurait pu s'intituler : Règles simples à appliquer en premier !
La menace cyber induite par la crise de la Covid-19
Le bilan du Cert-IST montre que l’événement le plus marquant dans le contexte Covid-19 est la généralisation du télétravail. Dans certains cas, le déploiement dans l’urgence du télétravail s’est fait au détriment de la sécurité. Notre recommandation dans ce domaine de ne pas considérer comme acquises les solutions qui ont été mises en place dans l’urgence : il faut passer en revue les aménagements qui ont été faits pour permettre le télétravail, statuer sur leur niveau de sécurité et renforcer la sécurité lorsque cela est nécessaire.
L’un des problèmes souvent rencontrés est que pour des raisons de performance, il a parfois été choisi de mettre en place sur les postes de télétravail un split-tunneling (plutôt qu’un tunnel obligatoire qui envoie tout le trafic vers l’entreprise). Dans ce cas le poste de télétravail n’est plus protégé par le filtrage fait dans l’entreprise (par exemple la protection contre les sites malveillants) ce qui l’expose fortement aux attaques (par exemple si un email piégé est ouvert sur le poste et télécharge un malware).
Les attaques de Ransomware visant les entreprises
Les attaques par ransomware constituent un risque majeur pour les entreprises. De nombreuses mesures de sécurité en profondeur permettent de réduire ce risque (par exemple : segmentation des réseaux, gestion des comptes à privilèges, surveillance des infrastructures, etc.). Mais nous avons choisi ici simplement 3 mesures particulières qui permettent de diminuer fortement le risque d’une intrusion réussie.
Pour éviter les intrusions dans le système d’information :
- Patcher rapidement les équipements exposés sur Internet (serveurs VPN, Appliances en bordure de réseau, etc.) lorsque des vulnérabilités sont découvertes. L’objectif doit être que le patch soit appliqué immédiatement si un programme d’exploitation est disponible sur Internet. Cette mesure est déjà appliquée par une grande majorité des entreprises pour tous les équipements de bordure recensés. Cela permet en cas de crise de se concentrer sur l’identification et le traitement des solutions non officielles (le shadow-IT).
- Empêcher l’infection des postes bureautiques en bloquant les flux réseaux directs vers Internet. Les flux web via les proxy-web doivent aussi être filtrés pour interdire l’accès à des sites dangereux. On pourra par exemple utiliser un système de filtrage (souvent par catégorie), ou utiliser un service de PDNS (protective DNS, voir par exemple cette annonce conjointe récente de la NSA et la CISA). Certaines entreprises interdisent aussi complétement l’accès à des sites web non strictement nécessaires (accès à Internet uniquement à une liste de sites autorisés).
Pour détecter une intrusion réussie avant que le ransomware ne soit déployé dans l’entreprise : plusieurs témoignages recommandent de surveiller les alarmes générés par le système antivirus. Il est courant en effet que les attaquants génèrent des alarmes en cherchant à arrêter les antivirus ou en utilisant des outils de hacking qui sont détectés par l’antivirus (par exemple détection d’outils comme Mimikatz ou PasswordDump).
Les attaques visant les accès VPN et les Appliances exposées
Le bilan Cert-IST montre qu’en 2020 beaucoup d’attaques ont visé des serveurs VPN ou des Appliances connectés directement sur Internet. Et nous faisions le constat que certaines de ces Appliances semblaient trop fragiles (elles semblent « dures dehors mais molles dedans »).
Dans ce domaine, nous émettons deux recommandations :
- Pour les constructeurs d’Appliance : améliorez la robustesse des Appliances.
- Pour les entreprises utilisant ces Appliances : n’exposez pas sur Internet les interfaces d’administration des Appliances, même si elles sont protégées par un mot de passe (et que le mot de passe est robuste). Ces interfaces sont souvent des pages web et il peut exister parfois des vulnérabilités permettant de contourner l’authentification (par exemple au moyen de failles de type « traversées de répertoire » ou « SSRF »). Tout comme il ne doit pas y avoir d’accès RDP ouverts sur Internet, et que l’on déconseille de plus en plus les accès SSH, il ne doit pas y avoir d’interfaces d’administration ouvertes sur Internet.
L’attaque Orion SolarWinds et les attaques par la Supply-chain
L’attaque Orion SolarWinds détectée en décembre 2020 par le gouvernement américain a montré plusieurs choses que nous ne traiterons pas dans nos recommandations, comme le niveau de sophistication que peut avoir une attaque étatique, ou la difficulté de se protéger contre les attaques de la supply-chain.
Elle a aussi montré que les attaquants visaient en particulier le cloud Office 365. Les attaques visant Office 365 vont sans doute se multiplier dans le futur. Notre recommandation pour ce chapitre est donc de renforcer la surveillance des infrastructures cloud Office365 en collectant des logs et en mettant en place des règles de détection des anomalies.
Les attaques DDOS
Le bilan annuel montre que les attaques DDOS sont toujours là et qu’aucune entreprise n’est à l’abri d’une attaque soudaine (accompagnée par exemple d’une demande de rançon) avec un flux de 150 Gbps. Il est donc important d’évaluer l’impact d’une indisponibilité temporaire suite à une attaque DDOS (l’attaque durant de quelques heures à quelques jours) et d’étudier la nécessité ou non de s’appuyer sur un service externe anti-DDOS pour gérer cette situation.
Des attaques étatiques pas toujours sophistiquées
Il n’y pas de mesure simple pour se protéger contre les attaques sophistiquées. Mais toutes les attaques étatiques ne sont pas forcément sophistiquées et en 2020, on a observé deux types d’attaques étatiques :
- Des attaques sophistiquées, comme l’attaque Orion SolarWinds,
- Des attaques plus simples, mais systématiques, souvent attribuées à la Chine (qui n’est probablement pas le seul acteur, mais semble un acteur très actif).
Cette seconde catégorie d’attaques s’appuie sur des programmes d’attaque ou des détails techniques déjà publiés sur Internet. Le savoir-faire de l’attaquant est d’une part de savoir « armer » un exploit (le rendre opérationnel) et d’autre part de savoir l’utiliser à grande échelle. Il est à noter que ces attaquants étatiques sont souvent en avance sur les attaques des cybercriminels et sont les seuls que l’on ait vu utiliser des vulnérabilités comme SharePoint ou Exchange qui demandent une expertise que les cybercriminels ne semblent pas encore disposer.
Notre recommandation ici est donc la même que celle que nous donnions ci-dessus à propos des ransomware : il faut savoir patcher rapidement les vulnérabilités qui affectent des équipements exposés sur Internet. Lorsqu’un programme d’exploitation est disponible sur Internet, les équipements exposés doivent être patchés immédiatement.
Les évolutions techniques observées en 2020
A propos des évolutions techniques vues en 2020, notre recommandation principale est de faire attention aux vulnérabilités qui concernent l’écosystème Microsoft : Exchange, SharePoint et IIS.
Pour Exchange, il faut considérer que l’attaquant a pu voler au moins un compte mail et son mot de passe. Si ces données suffisent pour se connecter à une boite mail depuis Internet (c’est-à-dire qu’il n’y a pas de protection de type 2FA) alors :
- Les mails de la victime sont à la portée d’une attaque de phishing réussie,
- Le serveur Exchange lui-même devient un serveur exposé aux attaques depuis Internet et doit donc être maintenu à jour en conséquence (cf. la recommandation sur l’application des patches pour les équipements exposés).