Connectivité et vulnérabilités (Ouvrage Collectif SSI)

Une bonne hygiène de son système d’information passe par une parfaite gestion des mises à jour de sécurité des systèmes d’exploitation et par la connaissance exhaustive de ses équipements, qui représentent autant de points d’entrée – et de vulnérabilité.

Après une décennie passée à sécuriser les systèmes d’information et à sensibiliser les utilisateurs, je souhaite partager avec vous mon regard sur la sécurité des établissements « connectés ». Nous sommes en 2018. Posséder un antivirus à jour sur l’ensemble de son parc informatique est devenu un standard et ce n’est plus un sujet pour un RSSI. Je sais que certains d’entre vous esquisseront un sourire en pensant à ce poste fourni par un prestataire et qui ne tolère toujours pas l’installation d’un antivirus en 2018. Je ne peux que vous conseiller de prendre vos dispositions pour isoler complètement cet équipement du reste de votre réseau informatique. Le fait est qu’en matière de sécurité, il est indispensable d’avoir un antivirus à jour, mais ce n’est pas une garantie suffisante. La correction des vulnérabilités est tout autant importante et encore trop souvent négligée.

Vulnérabilités par défaut de mise à jour

A mes débuts, j’ai eu l’occasion de côtoyer de très près le malware Conficker. Ce dernier se propageait à travers les réseaux à une vitesse impressionnante. C’est sûrement, de mémoire de RSSI, le ver qui a infecté le plus de machines dans les années 2000. Au moment où j’écris ces lignes, je n’ai pas été surpris d’apprendre qu’un établissement de santé avait récemment trouvé des traces de ce ver sur son réseau. Ce malware exploitait une vulnérabilité du système d’exploitation corrigée peu de temps avant par l’éditeur. Oui, mais voilà, fallait-il encore avoir déployé correctement les mises à jour sur son parc informatique ! A l’époque, Conficker engorgeait les réseaux, ce qui était déjà très problématique, mais sans détruire la donnée présente sur le poste infecté. D’ailleurs, le plus souvent, les petites structures équipées de peu de postes ne se rendaient même pas compte qu’elles étaient infectées. Il aura, cependant, fallu plusieurs mois, pour ne pas dire années, dans les grands groupes pour totalement s’en débarrasser.

Il y a maintenant un an, débarquait un ransomware du nom de Wannacry. Ce dernier a infecté beaucoup moins de postes que Conficker mais il a causé des dégâts beaucoup plus visibles, ce qui lui a valu d’être largement connu. Mon constat est qu’une fois de plus le non-déploiement d’une mise à jour de sécurité, publiée elle aussi quelques mois plus tôt, est à l’origine du problème. La propagation de ce malware a aussi été facilitée par la présence en (encore) trop grand nombre dans les entreprises de systèmes d’exploitation qui ne sont plus supportés par l’éditeur et qui ne bénéficient plus des correctifs de vulnérabilités. Quand je parle de Windows NT ou de Windows 98, la plupart me répondront en souriant « Quoi ! On en trouve encore !? ». Mais si je parle de Windows 2003 et de Windows XP, c’est une toute autre histoire : on commence le plus souvent à m’expliquer que c’est à cause d’un constructeur, d’un éditeur… Une décennie s’est écoulée entre ces deux attaques, mais ce sont bien les mêmes causes qui ont permis à ces deux malwares de faire leur renommée.

Les équipements auxquels on ne pense pas

Et là, je vous parle uniquement des vulnérabilités sur un système d’exploitation très répandu. Qu’en est-il des routeurs, des pare feux, des GTB (Gestion Technique de Bâtiment)… ou encore de la machine à café (les derniers modèles nécessitent une connexion à Internet pour valider le solde de votre carte) ? Tous ces équipements embarquent des mini-systèmes d’exploitation et, avec eux, leurs lots de vulnérabilités, qu’il sera nécessaire de corriger au fil des diffusions des alertes. Et puis, il y a tous ces équipements auxquels on ne pense pas toujours et qui nécessitent, eux aussi, une connexion sur le réseau de l’établissement, le plus souvent pour permettre le pilotage d’un appareil distant. Dernièrement, un casino en a fait les frais : l’attaquant s’est introduit dans le réseau informatique en passant par le thermomètre connecté de l’aquarium ce qui, par rebond, lui a permis d’accéder au système d’information. Nous n’en sommes qu’au début de l’ère du « tout connecté », la multiplication de tels équipements va aller croissant et malheureusement pour le RSSI, il ne sera pas toujours possible de refuser leur déploiement.

Des proies faciles

Un site comme Shodan (www.shodan.io) référence l’ensemble des équipements connectés visibles sur Internet et il y a vraiment de quoi attraper le vertige quand on y lance une recherche. Tous ces équipements sont autant de points d’entrée dans les structures. Il faut se rendre à l’évidence qu’avec de tels outils, un routeur dont la faille de sécurité n’est pas rapidement corrigée devient alors une proie facile pour l’attaquant. N’imaginez pas non plus que, parce que votre système d’information n’a que peu d’équipements visibles sur Internet, vous serez moins sujet aux attaques. Le plus souvent, ces dernières sont réalisées par campagnes de mails ou au travers de la navigation Internet, les attaquants ayant au préalable infecté un site Internet légitime (attaque de type « point d’eau »). Un attaquant dispose aujourd’hui d’un arsenal d’outils impressionnant et régulièrement mis à jour lui permettant le plus souvent d’exploiter automatiquement les dernières vulnérabilités avec très peu de connaissances techniques.

Le pot de miel

Entre l’annonce d’une vulnérabilité et le moment où il devient possible de l’exploiter, les délais pour appliquer les correctifs sont de plus en plus courts (quelques jours à peine, voire quelques heures). A une époque il était courant de dire qu’il fallait moins de 10 minutes pour qu’un poste dépourvu d’un antivirus et connecté à Internet se retrouve infecté. En ce qui concerne les vulnérabilités, c’est la même histoire ! Il existe des outils appelés « Honeypot » (pot de miel) dont les failles ne sont pas corrigées mais surveillées afin de comprendre comment un attaquant opère pour les exploiter ou pour identifier une tentative d’attaque. Il est alors possible de constater la vitesse fulgurante avec laquelle ces machines font l’objet d’attaques.

Je pourrais aussi vous parler des sites Internet et des outils de gestion (CMS) qui souvent les accompagnent, mais vous l’aurez compris: une bonne hygiène de son système d’information passe par la connaissance exhaustive de ses équipements et une parfaite gestion de leurs mises à jour. Je sais pertinemment que l’application des mises à jour peut apporter son lot de problèmes, le fait qu’il faille les planifier pour ne pas interrompre l’activité, etc. La tâche est loin d’être simple, mais au regard de la multiplication des d’équipements connectés, il est impératif de lancer des actions si l’on ne veut pas refaire le même constat dans dix ans.

Partager ce document sur les réseaux