Quelles sont les vulnérabilités les plus exploitées par les cybercriminels pour accéder aux réseaux internes ?

Cette année, les attaques par rançonlogiciels ont pris une ampleur dramatique. Pour rappel, il s’agit de programmes malveillants dont le but est d’obtenir de la victime le paiement d’une rançon, payable typiquement en cryptomonnaie (et donc impossible à annuler une fois payée). La menace est si répandue que des entreprises stockent même de la cryptomonnaie en prévision d’une attaque[1].

Entre janvier et août 2020, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a recensé plus de 104 attaques informatiques de ce type contre des entreprises en France. Les petites entreprises (PMEs/ETIs) ne sont malheureusement pas en reste. Le coût additionné des attaques par cryptovirus touchant les PME françaises s’élève à plus de 700 millions d’euros par an selon l’étude réalisée par  l’institut de recherche technologique IRT-Systemx.

Une grande majorité des attaques sont opportunistes et profitent du faible niveau de maturité de sécurité des entreprises. L’objectif des attaquants est toujours le même : s’introduire dans le réseau interne puis compromettre une ou plusieurs machines du réseau ciblé.

Voyons quels sont les vecteurs d’attaque les plus utilisés par les cybercriminels pour obtenir un accès au réseau interne.

Les accès RDP[2]

C’est la porte d’entrée numéro un des attaquants afin de s’introduire dans les petites et moyennes entreprises. Scannant Internet ou utilisant des moteurs de recherche spécialisés, une fois un accès RDP détecté, celui-ci sera exploité soit par l’exploitation d’une vulnérabilité (par exemple BlueKeep), soit par la recherche d’un identifiant valide.

Pour obtenir un identifiant valide, les attaquants testent de multiples combinaisons. Il existe malheureusement de nombreux comptes par défaut ou avec un mot de passe faible et sinon ils peuvent également les acheter !

Il existe aussi des listes complètes d’identifiants valides (trouvées par des attaques automatisées réalisées par des robots) qui sont aussi échangées sur les forums du darkweb.

Ces listes sont utilisées par les groupes de cybercriminels pour obtenir un accès aux réseaux internes des organisations.

Les accès VPN

Un autre axe d’attaque a été beaucoup exploité depuis le début de l’année 2020 : les accès VPN. Avec la crise sanitaire, de nombreuses entreprises ont dû déployer en urgence des accès à distance et malheureusement plusieurs vulnérabilités critiques ont été découvertes auprès des éditeurs de solutions VPN (dont Citrix, F5, Pulse Secure, Palo Alto Networks, Fortinet, Secureworks).

Au mois de juillet, un pirate a d’ailleurs diffusé les identifiants VPN (avec le login et mot de passe en clair) de centaines entreprises.

Les cybercriminels sont à l’affût de n’importe quelle vulnérabilité affectant les VPNs afin d’exploiter celles-ci rapidement.

Les courriels malveillants

Concernant les vulnérabilités liées aux courriels malveillants, nous vous invitons à lire notre article spécialement dédié sur ce thème.

Quelques astuces utiles pour vous protéger !

Règles générales à appliquer pour sécuriser ce type les accès RDP :

  • Les supprimer (si ceux-ci ne sont pas utilisés),
  • Les filtrer (liste blanche d’adresses IP autorisées à s’y connecter),
  • Renforcer l’authentification : mise en place d’une second facteur d’authentification et d’un mot de passe fort).

Attention car des vulnérabilités sur ce type de composant sont régulièrement découvertes (ex : vulnérabilité BlueKeep).

Si vous ne pouvez pas le faire vous-même, n’hésitez pas à utiliser aussi notre plate-forme RISK&Me pour réaliser une cartographie de votre SI et d’être sûr qu’aucun accès non désiré n’est accessible via Internet.

Les accès VPN

Afin d’utiliser ces accès VPN, les attaquants vont soit exploiter une vulnérabilité liée au composant logiciel et dans ce cas il sera nécessaire d’appliquer les correctifs de sécurité dès leur apparition pour vous protéger.

Ils chercheront également à découvrir un compte avec un mot de passe faible, c’est pour vous prémunir de ce type d’attaque qu’une politique de mots de passe fort est nécessaire.

Il est aussi important de réaliser une veille régulière sur les composants VPN utilisés dans votre SI afin d’être informé au plus tôt en cas de découverte d’une vulnérabilité critique.

Les courriels malveillants

Nous vous invitons à consulter notre article dédié à la sécurité de la messagerie.

 

[1] https://www.silicon.fr/les-entreprises-thesaurisent-des-bitcoins-en-cas-de-ransomware-177295.html 

[2] Remote Desktop Protocole : protocole pour accéder à une machine Windows à distance

Autres articles susceptibles de vous intéresser