Les cybercriminels adaptent leurs attaques aux situations. La pandémie et le confinement qui l’accompagne favorisent l’apparition de nouvelles menaces ciblant le télétravail et ses pratiques ainsi que les infrastructures qui permettent aux collaborateurs de maintenir une continuité d’activité.
Du jour au lendemain, les équipes de cybersécurité doivent s’adapter à une nouvelle réalité : le placement en télétravail de la quasi-totalité des salariés. Dans des situations aussi particulières que celle que nous vivons actuellement, la continuité de l’activité prend souvent le pas sur les bonnes pratiques de sécurité. Des équipes qui, auparavant, géraient des effectifs essentiellement composés de collaborateurs sur site risquent de ne pas être préparées à affronter les nouvelles menaces inhérentes à un environnement de travail aux frontières mal définies.
Au cours des deux dernières semaines, avec l’adoption de connexions VPN, ainsi que l’hébergement des applications et des données dans le Cloud, on constate une évolution des schémas d’attaques et d’alertes.
Voici les cinq principales menaces liées au télétravail depuis le début de la pandémie de COVID‑19 :
1- Attaques VPN par force brute
Le nombre croissant de collaborateurs en télétravail forcé étend la surface d’exposition aux attaques par force brute via le VPN. Il a ainsi été observé une augmentation de 33 % des connexions VPN d’entreprises au cours des deux dernières semaines, soit plus d’un million de nouvelles cibles exploitables par des cybercriminels depuis le début de l’année 2020 (Source : ZDNet).
Représentant environ 45 % des attaques observées par l’équipe de réponse aux incidents de Varonis, les attaques par force brute sont majoritairement des attaques via les connexions VPN ou l’Active Directory. Certaines entreprises désactivent les fonctions de verrouillage intégrées et d’autres restrictions sur les connexions VPN afin d’assurer la continuité d’activité ou d’alléger la charge des équipes informatiques, ce qui facilite ce type d’attaque.
Pour lancer une attaque VPN par force brute, les cybercriminels inondent un portail VPN de tentatives d’authentification à l’aide de listes d’identifiants préalablement piratés. C’est ce que l’on appelle communément le « credential stuffing ». Il suffit que l’une des combinaisons nom d’utilisateur/mot de passe fonctionne pour que l’attaquant ait accès au réseau.
Si la cible utilise l’authentification SSO (Single Sign-On), l’attaquant dispose également d’identifiants de connexion valides au domaine. Après une infiltration rapide du réseau, il peut entamer la phase de reconnaissance au moyen des identifiants de connexion au domaine et tenter une élévation de privilèges.
2- Commande et contrôle via le phishing
Une autre menace classique s’est adaptée à la pandémie : le phishing. Les pirates profitent de la peur engendrée par la pandémie pour inciter les utilisateurs à cliquer sur des liens malveillants et à télécharger des malwares.
Des cybercriminels proposent ainsi des sites Web de « vente » de matériel médical ou font la promotion de traitements miracles, dont le but réel est de déployer de la charge utile de malwares sur les ordinateurs des utilisateurs.
Certaines de ces escroqueries, comme la vente de masques N‑95 à 500 $ l’unité, sont flagrantes. D’autres, en revanche, piratent un ordinateur et toutes les données auxquelles l’utilisateur a accès. Lorsque celui-ci clique sur ces liens malveillants, la charge utile de l’attaquant est téléchargée, et ce dernier établit une connexion à son serveur de commande et de contrôle (C2). Il effectue ensuite une reconnaissance et procède à une élévation de privilèges pour localiser et dérober des données sensibles.
3- Applications Azure malveillantes
Microsoft a fait état d’une hausse de 775 % du nombre d’utilisateurs Azure au cours du mois dernier. Cela signifie que des entreprises mettent en place des environnements Azure pour leurs télétravailleurs, et que d’autres proposent de nouvelles fonctionnalités.
Il est cependant indispensable d’être toujours en mesure d’identifier les applications auxquelles les utilisateurs consentent et de contrôler régulièrement les applications approuvées de manière à pouvoir révoquer toutes celles qui présentent un risque.
Les cybercriminels ont découvert qu’ils pouvaient inclure des applications Azure malveillantes dans leurs campagnes de phishing. Dès que l’utilisateur clique pour installer l’application, le pirate infiltre le réseau de l’entreprise.
4- Contournement de l’authentification multifacteur
Parmi les autres menaces visant les télétravailleurs figurent les attaques de type « Man-In-The-Middle ». Les nouveaux collaborateurs à distance n’étant pas tous habitués à l’utilisation d’Office 365, ils peuvent être confrontés à de faux écrans de connexion à Office 365. Les pirates se servent de ces faux écrans de connexion pour voler des identifiants et des facteurs d’authentification : un pirate intercepte un facteur d’authentification renvoyé par le serveur, puis s’en sert pour se connecter à partir de son ordinateur. Une fois connecté, il peut lancer une attaque C2 à l’aide d’un malware, tenter d’infecter d’autres utilisateurs avec un malware ou passer directement à la phase de reconnaissance afin de rechercher des données sensibles.
Cette menace peut d’autant s’aggraver lorsque les télétravailleurs utilisent des routeurs Wi-Fi domestiques non sécurisés que les cybercriminels peuvent plus facilement pirater.
5- Menaces internes
C’est une période de grande incertitude pour tout le monde. Les peurs et inquiétudes qui nous étreignent nous poussent à agir de manière inhabituelle.
Des utilisateurs inquiets pour leur avenir peuvent télécharger leurs documents et fichiers de travail sur un ordinateur non sécurisé par crainte de perdre leur emploi, de ne pas pouvoir accomplir leur mission de manière optimale ou probablement pour ces deux raisons en même temps. De tels comportements ne sont pas sans poser de problèmes aux équipes de sécurité informatique chargées d’assurer la sécurité de ces données.
Les menaces internes sont particulièrement difficiles à appréhender lorsqu’un collaborateur accède à des données sensibles à partir d’un appareil personnel dans la mesure où ce dernier est dépourvu de contrôles de sécurité d’entreprise, tels que la prévention des pertes de données (DLP), en principe capables de détecter les tentatives internes d’exfiltration de données.
Les employés ne sont généralement pas animés d’intentions malveillantes. Néanmoins, les menaces internes existent et il est important pour une entreprise de comprendre les dangers qui pèsent sur ses données sensibles. Disposer de la visibilité nécessaire pour traiter ce type de comportements directement avec les collaborateurs est un moyen d’atténuer les risques et de sensibiliser les employés au risque cyber.
___________________
Par Jérôme Soyer, Directeur Avant-Ventes pour l’Europe de l’Ouest chez Varonis