08 Mar. 21 Cybersécurité

Top 5 des vulnérabilités les plus marquantes en 2020 :
votre SI est-il fiable ?

L’année 2020 fut marquée par l’ouverture massive des accès distants afin de développer le travail nomade. De nombreuses entreprises ont dû faire évoluer rapidement leur infrastructure pour s’adapter aux restrictions sanitaires et ont donc utilisé des solutions de type VPN SSL pour donner accès aux collaborateurs au réseau de l’entreprise. Malheureusement, un grand nombre d’équipements vulnérables ont été mis en place, et certains d’entre eux ont pû être utilisés pour compromettre les systèmes et les entreprises.

Pour faire le point sur les faiblesses potentielles de vos équipements, voici le Top 5 des vulnérabilités en 2020.

La brique VPN SSL

Plusieurs vulnérabilités ont été identifiées sur les équipements VPN SSL :

  • des vulnérabilités qui permettent de lire des fichiers sur ces solutions d’accès sécurisé : il devient alors possible pour un attaquant de récupérer certaines informations confidentielles (mot de passe / login / données internes)
  • des vulnérabilités qui permettent d’exécuter du code directement sur la passerelle.
  • Fortinet CVE-2018-13379
  • Pulse Secure CVE-2019-11510
  • Citrix : CVE-2019-19781

Les Services DNS

Autre point dont la vulnérabilité a eu un impact particulièrement important en 2020 : le DNS.

Ce mécanisme, qui permet de convertir des noms en IP, est utilisé aussi bien en externe qu’en interne de l’entreprise.

Une vulnérabilité critique a été identifiée au niveau des services Microsoft. Elle agit au niveau du code qui analyse les réponses et les requêtes. En utilisant les résolutions de noms, elle peut permettre à un attaquant d’exécuter du code sur le serveur DNS. Cette vulnérabilité devient extrêmement critique quand ces services sont publiés sur l’externe.

  • Microsoft Domain Name system : CVE-2020-1350

Le protocole SMB

Une vulnérabilité au niveau du protocole de partage de fichiers (SMB en version 3.1.1) permet à un attaquant de prendre la main sur le serveur ou sur le client. La vulnérabilité est présente au niveau du protocole et impacte donc le serveur et le client.

Les détails de cette vulnérabilité ont été divulgués par des chercheurs avant le correctif Microsoft, exposant ainsi fortement les utilisateurs de ce protocole.

  • Microsoft CVE-2020-0796

Le protocole NetLogon Remote Protocole

Ce point concerne surtout le réseau interne d’une entreprise. Il permettrait à un attaquant interne d’élever ses permissions au niveau du réseau Microsoft.

Cette vulnérabilité est présente dans notre classement car la démonstration d’exploitation a été publiée très rapidement après le correctif Microsoft, exposant ainsi fortement les utilisateurs de ce service.

  • Microsoft Netlogon CVE-2020-1472
  • Samba AD : CVE-2020-1472

Le social engineering

L’année 2020 a vu le nombre d’attaques par social engineering monter en flèche. Ces attaques ne sont plus le fruit du hasard mais elles ciblent précisément une entreprise, en s’attaquant à sa plus grande vulnérabilité : l’utilisateur.

En effet, certains pirates se sont aperçus que ce type d’attaque peut être très rentable, pour un investissement bien moins important.

Ils abandonnent alors les recherches techniquement très pointues d’éventuelles failles de sécurité, pour se concentrer sur le fonctionnement des entreprises elles-mêmes. Comment l’entreprise est-elle organisée ? Quels sont les rapports entre les salariés, entre les salariés et les dirigeants ? Qui gère l’administratif, la comptabilité ? Qui est en congé ou en déplacement, et à quelle date ? Toutes ces informations sont collectées petit à petit, en surveillant l’activité de l’entreprise sur internet ou même en contactant directement certains salariés.

Deux options d’attaque apparaissent alors :

  • une demande de virement bancaire qui semble légitime car elle est très proche des demandes habituelles et s'insère dans un contexte favorable, mais qui aboutit sur le compte du pirate,
  • ou plus classiquement, l'accès au réseau de l'entreprise grâce aux identifiants d'un utilisateur légitime, afin de voler des données, mettre en place une surveillance prolongée de l'entreprise, ou simplement bloquer le système de l'entreprise pour demander une, voire même plusieurs rançons (une pour la clé de déchiffrement, puis une autre pour récupérer vraiment les données, puis une autre pour débloquer telle partie du réseau, etc.).

Même si ce type d’attaque semble inévitable à l’avenir, les vulnérabilités dues au comportement des utilisateurs sont faciles à minimiser fortement. Les formations de sensibilisation des utilisateurs leur permettent d’être plus attentifs à leur environnement de travail et d’acquérir les bons réflexes pour déjouer les pièges des pirates.

Malgré l’application de protocoles de plus en plus stricts, il est impossible aux éditeurs de garantir des solutions entièrement sécurisées. Les différents correctifs apportés font partie du cycle de vie de ces solutions. Il est donc extrêmement important de faire une veille constante sur internet et d’appliquer les correctifs des solutions dès leur sortie, avant qu’elles ne soient exploitées par les hackers.

Pour vérifier la fiabilité de votre SI,
ou pour plus d’informations sur les formations de sensibilisation: