Cette année a été le théâtre de certaines des attaques de ransomware les plus importantes et dommageables à ce jour. En l’espace d’à peine cinq jours en mai dernier, deux cyberattaques de grande ampleur ont secoué des entreprises publiques et privées à travers le monde. La première, dirigée contre Colonial Pipeline, a paralysé pendant une semaine l’un des principaux oléoducs et fait grimper le prix de l’essence aux États-Unis à un niveau record depuis 2014. La seconde attaque, visant le système de santé publique irlandais, a entraîné l’annulation ou le report de milliers de rendez-vous, de traitements anticancéreux et d’interventions chirurgicales, ainsi que la mise en ligne de données de patients.
Plus récemment, la société informatique Kaseya a été victime de la plus grande attaque de ransomware jamais enregistrée. Des cybercriminels réclamaient plus de 70 millions de dollars pour la restauration des systèmes et le déverrouillage des données de ses clients. En l’occurrence, les auteurs de l’attaque ont ciblé un éditeur de logiciels bien établi mais peu connu, leur donnant accès à des centaines d’autres environnements pour y causer des dommages dont l’étendue reste à déterminer.
Face à l’augmentation de l’ampleur, de la gravité et de la fréquence des cyberattaques, les entreprises cherchent de nouveaux moyens pour renforcer leurs cyberdéfenses. L’un des plus simples consiste à éliminer les protocoles non sécurisés de leur environnement. Or ceux-ci, notamment liés à certaines des cyberattaques les plus coûteuses de l’histoire, demeurent d’utilisation étonnamment courante.
Les protocoles anciens et risqués rendent les entreprises vulnérables
En 2017, l’exploitation de la faille Zero Day EternalBlue touchant le protocole SMBv1 (Server Message Block version 1) a servi à perpétrer deux attaques de ransomware dévastatrices en l’espace de six semaines : WannaCry et NotPetya. Celles-ci ont infecté des millions d’ordinateurs dans plus de 150 pays, paralysant des systèmes de santé, des infrastructures critiques et des transports internationaux. L’attaque WannaCry a coûté à elle seule 4,7 milliards au niveau mondial.
Pourtant, quatre ans après la mise au jour d’EternalBlue, une nouvelle étude a révélé que 67 % des environnements d’entreprise comptent encore au moins dix équipements exploitant SMBv1. Si ce dernier nombre peut sembler relativement faible, l’exécution de code à distance permise par les vulnérabilités Eternal(x) fait de tout équipement qui utilise SMBv1 un tremplin facilitant le lancement d’une attaque à grande échelle. Quand bien même ces dix équipements ne représentent qu’une fraction du parc, la cyberdéfense n’admet aucune faille. Il n’est pas nécessaire que SMBv1 soit présent sur chaque équipement de l’environnement informatique pour servir à lancer une attaque catastrophique. Il suffit d’un.
Le protocole exploité par les attaques WannaCry et NotPetya n’est pas le seul à présenter notoirement des risques élevés et à être toujours présent dans les environnements informatiques.
70 % des environnements dénombrent encore au moins dix équipements utilisant le protocole LLMNR (Link-Local Multicast Name Resolution), exploité dans des attaques de type spoofing depuis 2007. LLMNR permet de tromper une victime pour l’inciter à révéler ses identifiants en donnant accès au hashcode correspondant. Celui-ci va permettre à l’attaquant d’obtenir les identifiants, en particulier si d’anciennes techniques liées à la gestion des mots de passe en environnement Microsoft telles que LANMAN n’ont pas été désactivées. Les identifiants permettent aux cybercriminels d’opérer des mouvements latéraux, afin de se déplacer à leur guise à l’intérieur d’un réseau.
Statistique encore plus inquiétante, 34 % des environnements comptent au moins dix postes clients exécutant le protocole NTLM (New Technology LAN Manager), une méthode d’authentification simple qui peut être facilement exploité en quelques heures pour obtenir des identifiants valides.
En 2012, il a été démontré que toute permutation possible du hashcode sur 8 octets dans le protocole NTLM pouvait être déchiffrée en moins de six heures. En 2019, HashCat, un outil open source de récupération de mot de passe, s’est montré capable de percer tout hashcode de 8 octets en moins de deux heures et demie.
Un pirate chevronné peut sans difficulté intercepter des hashcodes NTLM équivalents à autant de mots de passe ou encore déchiffrer des mots de passe NTLMv1 hors connexion. L’exploitation d’une faille de l’authentification NTLMv1 peut permettre à un assaillant de lancer des attaques de type MITM (Machine in the Middle) voire de prendre le contrôle total d’un domaine.
Le problème ne tient pas seulement à l’utilisation de protocoles non sécurisés mais aussi à la fréquence de la — mauvaise – utilisation de protocoles courants dans les environnements d’entreprise.
Prenons l’exemple de HTTP (Hypertext Transfer Protocol), qui est le protocole universel d’Internet. Si HTTP n’est pas problématique par nature, son utilisation pour le transfert de données sensibles est à haut risque. Lorsque des données sont transmises via HTTP, les identifiants sont exposés, ce qui en fait la cible idéale pour l’interception et le vol d’informations confidentielles par des hackers. Afin d’y remédier, une version plus sûre a été créée, HTTPS, permettant aux entreprises de traiter des informations en toute sécurité sur Internet en cryptant les communications entre les postes clients et les serveurs. Google a pris des mesures déterminantes pour remplacer progressivement HTTP par HTTPS en marquant comme non sécurisés tous les sites qui n’utilisent pas ce dernier. Cependant, une étude révèle que 81 % des environnements d’entreprise emploient encore des identifiants HTTP non sécurisés, rendant ces entreprises et leurs collaborateurs vulnérables aux attaques.
Éliminer les protocoles non sécurisés
La multiplication des effectifs distribués et des environnements hybrides, mêlant des composants sur site et dans le cloud, a augmenté d’autant les possibilités d’introduction de protocoles non sécurisés dans les réseaux, ainsi que la difficulté d’en tenir un inventaire précis.
Les audits manuels ne fournissent qu’une photographie du réseau à l’instant T, ce qui rend impérative une surveillance du trafic ayant pour but d’identifier les protocoles et les menaces à contrer. En surveillant et analysant le trafic au moyen d’un logiciel de détection et réponse réseau (NDR), les entreprises peuvent découvrir tous les protocoles utilisés sur leur réseau et identifier ceux susceptibles d’être exploités à des fins malveillantes. En outre, l’analyse des données réseau par Machine Learning à l’échelle du cloud contribue à protéger les réseaux contre les piratages en dressant les profils des accès à considérer comme normaux. Les équipes informatiques pourront ainsi établir des listes et déterminer les menaces et anomalies à rechercher à l’avenir.
Tandis que les cybermenaces sont d’une complexité sans cesse croissante, un certain nombre d’attaques sont encore menées grâce à l’exploitation de failles et de techniques vieilles de plusieurs années. Les entreprises doivent donc se concentrer sur les aspects élémentaires de l’hygiène informatique afin d’éliminer les protocoles non sécurisés. En veillant à verrouiller leurs points d’entrée, les équipes de cybersécurité peuvent consacrer leur temps à une stratégie de défense proactive plutôt que réactive et s’appuyer sur des systèmes leur permettant de surveiller le passé, le présent et le futur afin d’assurer la sécurité de l’entreprise.
___________________
par Riad Nassou, directeur régional des ventes chez ExtraHop