L’infrastructure réseau est au cœur du fonctionnement des entreprises, et ce dans la plupart des secteurs d’activité. On peut la considérer comme le centre névralgique de toute l’organisation informatique, car c’est elle qui permet de centraliser les données, simplifier leur échange et faciliter la communication entre les collaborateurs.
C’est donc un outil indispensable au bon fonctionnement des entreprises, qui nécessite une attention de tous les instants sur le plan de la sécurité. Cela afin de se prémunir contre des attaques externes et internes de plus en plus nombreuses et sophistiquées.
L’infrastructure réseau, objectif ultime des cyberattaques
Seul problème, les cyberattaques sur l’infrastructure réseau continuent de s’aggraver en fréquence, en ampleur et en impact. Serveurs externes et internes, périphériques et équipements réseau, postes de travail, etc. sont ciblés par des attaquants novices et expérimentés car toutes ces entités présentent encore trop de vulnérabilités : surface d’attaque large, manque de sensibilisation des collaborateurs, failles de sécurité, défaut de conception, de configuration et d’implémentation, mesures de sécurité rudimentaires, etc.
Aucun secteur n’est épargné par les incidents de sécurité, même si les attaquants ont leurs cibles privilégiées. C’est notamment le cas du secteur de la santé, de la finance ou du retail, et cela quelle que soit la taille des organisations évoluant dans ces domaines.
Pour garantir la sécurité de l’infrastructure réseau contre ces attaques, des mesures de sécurité spécifiques sont nécessaires : réduction de la surface d’attaque, segmentation du réseau, chiffrement des communications, sensibilisation des utilisateurs aux attaques d’ingénierie sociale, principe du moindre privilège, monitoring des logs, etc. Des audits de sécurité ou des tests d’intrusion sont également un bon moyen de détecter les failles existantes sur votre réseau informatique afin de les corriger.
Dans cet article, nous nous attarderons sur les failles courantes (techniques et organisationnelles) les plus souvent exploitées lors d’attaques internes et externes sur l’infrastructure réseau en les illustrant via des cas concrets rencontrées lors de nos tests d’intrusion. Nous détaillerons également les bonnes pratiques et mesures à implémenter pour réduire le risque ou contrer ces attaques.
Quelles sont les vulnérabilités courantes de l’infrastructure réseau et comment se protéger ?
Gestion de la surface d’attaque et exposition aux risques
Toutes les attaques informatiques commencent généralement par une phase de reconnaissance permettant d’identifier la surface d’attaque d’une entreprise cible. Autrement dit, il s’agit pour les attaquants de rassembler le maximum d’informations sur le système d’information avant de lancer des attaques sur des entités potentiellement vulnérables.
La surface d’attaque est donc la somme des éléments exposés à l’intérieur ou à l’extérieur de votre réseau qui peuvent être attaqués pour provoquer un incident de sécurité : serveurs (internes et externes), applications, APIs, technologies, versions, composants, données techniques ou personnelles, etc.
Tous ces éléments présentent potentiellement des vulnérabilités qu’une personne non autorisée pourrait exploiter, suite à un scan de ports ou une recherche minutieuse sur Google ou sur le Dark Web, pour s’introduire dans votre système d’information.
Réduire sa surface d’attaque est un principe fondamental en cybersécurité pour se prémunir contre des attaques internes et externes. Pour ce faire, deux actions sont requises : d’une part, il est indispensable de connaître votre surface d’attaque donc d’en établir une cartographie complète, qui doit par ailleurs être continuellement actualisée car une architecture système évolue constamment. D’autre part, il est nécessaire de mettre en œuvre des mesures de durcissement de vos systèmes et réseaux (hardening) afin de réduire votre surface d’attaque.
Cartographier votre surface d’attaque revient à maintenir à jour une liste de tous vos actifs, leurs versions, implémentations et imbrications dans l’ensemble de votre système d’information. Cette action n’est pas très complexe à réaliser. Des outils tels que shodan ou censys facilitent cette démarche. Seulement pour les éléments non répertoriés ou inconnus tels que des outils utilisés par vos collaborateurs, des éventuelles fuites de documents sensibles ou de mots de passe, etc. il peut être intéressant de faire appel à un tiers spécialisé pour réaliser un audit de reconnaissance permettant de dresser une cartographie exhaustive de votre surface d’attaque dans l’objectif de la réduire.
Pour réduire votre surface d’attaque suite à son identification, des actions de durcissement de vos systèmes et réseaux peuvent être les suivantes (liste non exhaustive) :
- Modification des mots de passe par défaut de tous vos services et équipements connectés au réseau
- Désinstallation ou suppression des applications, des services et des environnements non utilisés
- Veille technique et technologique sur nouvelles versions et les vulnérabilités découvertes sur les composants tiers ou services utilisés
- Mise en place du principe du moindre privilège dans la gestion des droits d’accès aux serveurs, applications, base de données, etc.
- Segmentation du réseau via cloisonnement des systèmes et applications critiques
- Mise en place d’un système d’authentification à plusieurs facteurs sur vos applications et systèmes critiques
Défaut de segmentation du réseau interne et attaques par pivotement
La plupart des réseaux sont mis en place sous forme de réseaux plats, avec chaque serveur et chaque poste de travail fonctionnant sur le même réseau local (LAN), de sorte que chaque application et chaque système du réseau est capable de communiquer et de se connecter à tout le reste.
D’un point de vue sécurité, ce type de pratique est à bannir car la plupart de ces systèmes n’ont pas besoin d’interagir entre eux. De plus, si un réseau à plat est attaqué (par un attaquant ou un malware) et qu’une machine est compromise, l’ensemble du système d’information est également menacé. En effet, ces attaques utilisent une méthode appelée « pivotement », qui consiste à utiliser une entité compromise pour accéder à d’autres éléments et se déplacer librement dans le réseau.
Ainsi, la segmentation du réseau est une mesure de sécurité essentielle, car, même si elle ne permet pas déjouer des attaques, elle reste un des principaux moyens d’en réduire les impacts lors d’une attaque réussie.
Le principe est simple. Comme son nom l’indique, il s’agit de diviser un réseau informatique en segments de réseau plus petits et isolés les uns des autres au sein de réseaux locaux virtuels (VLAN). Cela permet de regrouper les applications, serveurs, postes de travail, [etc.] en sous-partitions de réseau en fonction de vos enjeux et priorités de sécurité, et surtout en fonction de la criticité de ces systèmes. Par ailleurs, le filtrage IP et les pare-feux permettent de faciliter le cloisonnement de zones.
L’usage du Wi-Fi peut également constituer un point d’entrée pour une attaque informatique. D’abord, il est indispensable de distinguer les connexions Wi-Fi des terminaux personnels ou des visiteurs de ceux des connexions Wi-Fi des terminaux de l’organisation (généralement avec un Wifi guest), puis de filtrer et restreindre les flux des postes se connectant au réseau Wi-Fi. Pour ce faire, plusieurs réseaux Wi-Fi peuvent être mis en place (chacun étant évidemment cloisonné) au sein de votre organisation afin de restreindre l’accès à certaines ressources critiques tout en faisant en sorte de donner accès seulement aux éléments nécessaires aux différents groupes d’utilisateurs au sein de votre entreprise.
Ci-dessous un exemple concret de tests de segmentation réalisé lors d’un test d’intrusion en boite grise sur un réseau interne. Les tests étant en boite grise, un accès au Wi-Fi guest a été fourni au pentester en charge de l’audit afin de tester la segmentation du réseau :
- Lors des tests, le réseau était bien cloisonné à l’exception d’une imprimante disponible à l’intérieur du réseau : le pentester, comme tous les visiteurs des locaux de l’entreprise cliente avait ainsi la possibilité d’imprimer des documents
- Cependant l’interface d’administration de l’imprimante était également accessible via les identifiants par défaut
- Si cette vulnérabilité avait été exploitée par un attaquant malveillant, il aurait pu se servir de l’imprimante comme vecteur d’attaque pour compromettre le réseau interne.
- La recommandation du pentester a donc été de limiter l’accès à l’imprimante uniquement au personnel de l’entreprise et de modifier les identifiants de connexion à l’interface d’administration
Ainsi, la segmentation de l’architecture réseau limite les conséquences d’une intrusion à un périmètre délimité du système d’information. En cas de cyberattaque, le mouvement latéral de l’attaquant ou du malware serait impossible, ce qui empêche toute propagation. De plus, les multiples sous-réseaux agissant comme de petits réseaux à part entière, cela permet aux administrateurs de mieux contrôler le flux de trafic entre chacun d’eux, et donc de repérer plus facilement des événements inhabituels.
Néanmoins, il est important de réaliser des tests pour vérifier que la segmentation mise en place pour isoler vos systèmes et applications critiques les uns des autres est robuste. Pour ce faire, un pentest de réseau interne reste le moyen le plus efficace. Lors des tests d’intrusion, les pentesters se focalisent sur les contrôles de segmentation, à la fois depuis l’extérieur du réseau et depuis l’intérieur du réseau, pour identifier des vulnérabilités potentielles (failles techniques, défaut de configuration ou d’implémentation) qui pourraient permettre d’accéder aux systèmes, applications et données critiques.
Un test d’intrusion interne permet en effet de s’assurer que les systèmes et applications critiques ne communiquent pas avec des réseaux moins sûrs. L’objectif de ces tests est de confirmer que la segmentation fonctionne comme prévu et qu’il n’y a pas de failles qui pourraient être exploitées par un attaquant ou un programme malveillant.
Défaut de chiffrement des communications, Sniffing et attaques Man In The Middle
La configuration de certains réseaux internes fait que les informations transitent en clair, c’est-à-dire de manière non chiffrée. Ces informations peuvent être des identifiants de comptes et mots de passe associés, des données sensibles (personnelles, bancaires, etc.), des documents d’architecture et autres informations critiques, etc. Une telle pratique augmente fortement le risque de compromission de votre système d’information par des attaquants externes (ayant obtenu un accès à votre réseau) et des collaborateurs malveillants.
Le risque est d’autant plus grand pour les réseaux Wi-Fi, dans la mesure où les communications peuvent être interceptées dans tout le périmètre couvert par le point d’accès.
En cas de compromission d’une machine du réseau, un attaquant peut récupérer toutes les informations diffusées en utilisant un logiciel qui permet d’écouter le trafic réseau, comme wireshark par exemple. Ce procédé́ est connu sous le nom de « sniffing ».
Pour augmenter l’impact du sniffing, l’attaquant se place en « Man in the Middle » (MitM). Les attaques Man in the Middle, également appelées attaques par espionnage, consistent pour un attaquant à s’introduire dans une transaction d’informations entre deux machines ou serveurs, en utilisant des outils comme Ettercap. Une fois en position Man in the Middle, l’attaquant lance Wireshark afin d’écouter le trafic pour exfiltrer des informations et données sensibles.
Un cas concret rencontré lors d’un test d’intrusion en boite grise sur un réseau interne :
- Cartographie du réseau avec l’outil Nmap
- Découverte d’un serveur de fichier communiquant avec smbv2
- Man In the Middle entre ce serveur et toutes les machines du réseau puis utilisation de wireshark pour intercepter et analyser les communications smb entrantes
- Accès en clair aux fichiers échangés entre les machines utilisateurs et le serveur (factures, contrats, bulletins de paie, documents stratégiques, etc.)
Étant donnée l’étendue des risques de sniffing et les attaques Man In the Middle, le chiffrement des informations qui circulent sur le réseau est nécessaire. Chiffrer les données consiste à les rendre inintelligibles sans une clé de déchiffrement. La mesure de sécurité la plus courante est l’ajout d’une couche de chiffrement sur des protocoles déjà existants (http, rtp, ftp, etc.) via le protocole SSL (https, sftp, srtp, etc.). Dans le cas concret décrit plus haut, la recommandation de correction faite suite aux tests était l’utilisation de smbv3 à savoir donc smbv2 couplé au protocole SSL permettant de chiffrer donc de garantir la confidentialité des communications.
Gestion des accès et des identités
Concernant les attaques sur la fonction authentification, notamment les attaques par force brute ou password spraying, et l’élévation de privilèges, nous en avons déjà détaillé les mécanismes dans notre article précédent sur les vulnérabilités courantes des applications web. Vous pouvez donc vous y référer car cela s’applique à toutes les entités de votre infrastructure réseau accessibles via un système d’authentification. Par ailleurs, nous reviendrons sur les attaques de l’Active Directory dans un article dédié.
Défaut de Logging et Monitoring
Le défaut de Logging et de Monitoring est une faille à la fois technique et organisationnelle permettant aux attaquants de maintenir le plus longtemps possible leur position dans un réseau.
Comme pour la segmentation des réseaux, il est important de préciser que les bonnes pratiques de Logging et Monitoring n’assurent pas une protection maximale contre des attaques mais elles restent un bon moyen de détecter des événements inhabituels et des intrusions donc d’en réduire les impacts. Quels en sont les grands principes et mécanismes ?
La plupart des éléments mis en œuvre dans une communication au sein d’un réseau (échanges d’information, de données, etc.) permettent de conserver des informations sur celle-ci. En effet, tous les systèmes et applications exécutées « journalisent » tous les événements qui se produisent. De la même manière, les routeurs, les proxys et les firewalls ainsi que les points d’accès conservent la trace de chaque paquet. Ces informations sont ensuite gérées par le système des machines auxquels appartient chacune de ces entités. Elles sont stockées, pour un certain temps, dans des fichiers dédiés, communément appelé « logs ».
Un attaquant efficace efface toujours ses traces après avoir compromis une ou plusieurs machines d’un réseau. Ceci afin de dissimuler sa présence aux yeux de l’administrateur du réseau compromis et de maintenir sa position le plus longtemps possible sur les machines compromises. Une bonne gestion des logs s’avère alors très utile pour détecter rapidement les intrusions et réagir efficacement.
Pour faciliter la gestion et l’exploitation des logs, il convient de les centraliser dans la zone des serveurs internes afin de permettre une administration plus aisée. Ensuite, il est nécessaire de mettre en œuvre des programmes (agents) afin de monitorer et synchroniser tous les événements listés sur vos fichiers de logs sur d’autres machines.
Ceci est important car, dans l’éventualité de compromission d’une machine, il est probable que les logs soient détruits par l’attaquant. Centraliser, synchroniser et dupliquer les logs permettra alors de toujours garder une copie.
Failles humaines et attaques d’ingénierie sociale
Au-delà des failles techniques, des problèmes de configuration ou d’implémentation, la vulnérabilité la plus souvent exploitée par des attaquants pour compromettre un SI reste l’humain. Les collaborateurs de votre entreprise sont encore et toujours le maillon faible de votre cybersécurité, les attaquants le savent et l’actualité des cyberattaques réussies le prouve !
Un rapport d’IBM sur les statistiques sur les attaques de phishing montre que le coût moyen d’une violation de données en 2018 était de 3,9 millions de dollars. Et dans leur Internet Crime Report de 2019, le FBI a estimé que les attaques BEC (Business Email Compromise – attaques dans lesquels les fraudeurs se font passer pour des dirigeants ou des fournisseurs de l’entreprise pour inciter les employés à transférer des paiements sur des comptes bancaires contrôlés par les attaquants) auraient coûté environ 1.6 milliards d’euros aux entreprises du monde entier.
Le principe des attaques d’ingénierie sociale est simple, et leur mise en œuvre ne nécessite pas de grandes connaissances techniques dans la plupart des cas. Il s’agit pour un attaquant de s’appuyer sur les ressorts psychologiques humains puis d’utiliser des compétences sociales afin d’obtenir ou de compromettre des informations sur une entreprise ou ses systèmes informatiques (applications, infrastructure externe, réseau interne, tout ou partie du système d’information pour résumer sommairement).
L’email reste le vecteur d’attaque principal. En utilisant les techniques de phishing, de spear phishing (phishing sur un groupe restreint de personnes), couplé avec du vishing (attaques téléphoniques), les attaquants savent exploiter notre curiosité naturelle, notre sens du devoir, notre conscience professionnelle, notre affection des bonnes affaires, etc. pour nous persuader de cliquer sur un lien ou télécharger une pièce jointe. Avec des clones d’interfaces ou des malwares, ils arrivent encore trop souvent à :
- Détourner des sommes d’argent colossales
- Récupérer des identifiants et des mots de passe d’utilisateurs
- Voler, détruire ou altérer des données critiques
- Paralyser tout votre système d’information
Ces dernières années, les exemples d’attaques d’ingénierie sociale réussies sur des petites, moyennes et grandes entreprises sont légion. Et les conséquences sont souvent dévastatrices et irréversibles. Il existe cependant des moyens simples de limiter l’impact des attaques d’ingénierie sociale.
- En premier lieu, penser et mettre en œuvre une stratégie sécurité adaptée à vos enjeux et aux menaces. Chiffrement de tous vos systèmes, segmentation de votre réseau, gestion rigoureuse des accès et des identités, réduction de la surface d’attaque, [etc.] sont autant de moyens pour déjouer des attaques ou en réduire des impacts.
Et surtout tester la robustesse de vos systèmes avec des tests d’intrusion sur votre infrastructure externe ou votre réseau interne. Les tests d’intrusion restent la solution par excellence pour tester la sécurité de vos systèmes face aux attaquants externes et internes. Le principe est simple : identifier des vulnérabilités potentielles pour les corriger rapidement avant qu’elles ne soient exploitées par des attaquants.
Les tests d’intrusion d’infrastructure externe permettent de rechercher les vulnérabilités des composants du SI ouverts sur l’extérieur. Le pentest de réseau interne quant à lui consiste à cartographier le réseau avant de réaliser des tests de sécurité sur les éléments identifiés : serveurs, Wi-Fi, équipements réseau, postes de travail, etc. Le rapport délivré suite aux tests permet comprendre les mécanismes des vulnérabilités découvertes afin de les reproduire et les corriger.
- Puis, réaliser des tests d’ingénierie sociale, en interne ou via un tiers spécialisé. Cela permet d’évaluer les comportements de vos collaborateurs face à des emails, des appels ou des intrusions physiques dans vos locaux (pour dépôt de clés USB piégés par exemple) en apparence inoffensifs mais à l’impact dramatique s’ils sont le fruit de méchants hackers, en opposition aux gentils hackers que nous sommes. Les résultats de ces tests pourront servir de support pour optimiser la sensibilisation de vos équipes.
- Enfin, sensibiliser et former en continu tous vos collaborateurs car la cybersécurité doit être l’affaire de tous. Vous pouvez organiser des réunions d’équipe de sensibilisation ou réaliser des formations, dispensées par vos équipes spécialisées sur le sujet cybersécurité. Il existe également des formations proposées par des tiers, permettant de sensibiliser vos équipes sur les attaques d’ingénierie sociale. Ces formations non-techniques facilitent la compréhension des mécanismes des cyberattaques via phishing, vishing, clones d’interfaces, ransomwares, etc. et des bonnes pratiques et postures à adopter pour ne pas mordre à l’hameçon.
Contactez-nous pour toute question relative à un projet de formation ou de tests d’intrusion sur votre infrastructure externe, votre réseau interne ou des tests d’ingénierie sociale. Nous échangerons sur vos besoins et vous proposerons une intervention adaptée à vos enjeux sécurité et vos contraintes, qu’elles soient budgétaires ou organisationnelles.