Discussion :

[Nancy Rey]

Les hackers n'ont besoin que de 30 minutes pour pénétrer dans le réseau local d'une organisation,
d’après une étude de Positive Technologies

Les experts de Positive Technologies ont analysé la sécurité des systèmes d'information des entreprises et ont préparé un aperçu des failles de sécurité et des méthodes d'attaque les plus courantes. Ils ont formulé des recommandations pour améliorer la sécurité dans le rapport intitulé « Penetration Testing of Corporate Information Systems ». L'analyse a montré que pour 93 % des entreprises, les tests d'intrusion ont réussi à pénétrer le périmètre du réseau et à accéder au réseau local. 77 % des vecteurs d'attaque étaient liés à une protection insuffisante des applications web.

Les entreprises testées en 2019 comprenaient les secteurs de la finance (32 %), de l'informatique (21 %), des carburants et de l'énergie (21 %), des agences gouvernementales (11 %), de l'hôtellerie et des divertissements (7 %), de l'industrie (4 %) et des télécommunications (4 %). Dans les tests d'intrusion externes de Positive Technologies, les experts ont pu accéder au réseau local dans 93 % des organisations testées. Le nombre maximum de vecteurs de pénétration détectés dans une seule entreprise était de 13. Pour une entreprise testée sur six, Positive Technologies a trouvé des traces d'attaques précédentes, telles que des web shells sur le périmètre du réseau, des liens malveillants sur des sites officiels ou des références valides dans des décharges de données publiques. Cela indique que l'infrastructure pourrait avoir déjà été infiltrée par des pirates informatiques.

Les experts ont également constaté que la pénétration d'un réseau local prend entre 30 minutes et 10 jours. Dans la plupart des cas, la complexité de l'attaque était faible, ce qui signifie que l'attaque était à la portée d'un hacker ayant des compétences de base. Dans 71 % des entreprises, il y avait au moins un vecteur de pénétration facile.

Dans 68 % des entreprises, les attaques réussies sur les applications web impliquaient de forcer brutalement les attaques à craquer les données d'identification. Si les pirates forcent le mot de passe d'au moins un compte de domaine, ils peuvent découvrir les identifiants des autres utilisateurs en téléchargeant le carnet d'adresses hors ligne, qui répertorie toutes les adresses électroniques des employés de l'entreprise. Dans l'une des organisations testées, les tests d'intrusion de Positive Technologies ont obtenu plus de 9 000 adresses électroniques en utilisant cette méthode.

« Les applications web sont le composant le plus vulnérable du périmètre du réseau », déclare Ekaterina Kilyusheva, responsable de la recherche et de l'analyse chez Positive Technologies. « Dans 77 % des cas, les vecteurs de pénétration impliquent une protection insuffisante des applications web. Pour assurer cette protection, les entreprises doivent procéder régulièrement à des évaluations de la sécurité des applications web. Les tests de pénétration sont effectués comme une analyse de "boîte noire" sans accès au code source, ce qui signifie que les entreprises peuvent laisser des points aveugles sur certains problèmes qui pourraient ne pas être détectés en utilisant cette méthode. C'est pourquoi les entreprises doivent utiliser une méthode de test plus approfondie comme analyse du code source (boîte blanche). Pour une sécurité proactive, nous recommandons l'utilisation d'un pare-feu d'application web pour empêcher l'exploitation de vulnérabilités, même celles qui n'ont pas encore été détectées », ajoute-t-elle.

Les tests reposaient largement sur l'exploitation de vulnérabilités logicielles connues, par exemple dans les anciennes versions de Laravel et de Oracle WebLogic Server, qui permettaient à 39 % des entreprises d'accéder au réseau local. En outre, les tests d'intrusion ont découvert six vulnérabilités de type "zero-day Remote Code Execution", dont CVE-2019-19781 dans Citrix Application Delivery Controller et Citrix Gateway.

Positive Technologies recommande d'installer les mises à jour de sécurité du système d'exploitation et les dernières versions des logiciels en temps utile et de s'assurer que les logiciels contenant des vulnérabilités connues n'apparaissent pas sur le périmètre du réseau.

Source : Positive Technologies

Et vous ?

Quel est votre opinion sur le sujet ?

Voir aussi :

97 % des réseaux d'entreprises présentent des signes d'activités suspectes et 81 % exhibent des traces d'activités malveillantes, selon une enquête

Tous les CPU commercialisés par Intel ces 5 dernières années sont exposés à une faille critique irrémédiable, permettant à un attaquant de déjouer tous les dispositifs de sécurité intégrés à la puce

Des failles du protocole GTP (GPRS Tunneling Protocol) laissent la 5G et d'autres réseaux mobiles ouverts aux vulnérabilités, selon un rapport

Environ 13 % de tous les e-mails de phishing du premier trimestre 2020 étaient liés au covid-19, dont 44 % visaient des individus et 20 % des agences gouvernementales, selon un rapport

[marsupial]

Mon opinion sur le sujet tient dans un article de 01net sur les hackers étatiques de Russie, de Chine et de Corée du Nord où les russes mettaient moins de 20 minutes à pénétrer et prendre le contrôle total d'un SI. Cette étude ne tenait pas compte des britanniques et américains qui mettent sûrement moins de temps.

Du temps où je faisais de la sécurité avec Thales, le plus long à résister a été le Pentagone avec un quart d'heure. Sinon, dans l'ensemble, la prise de contrôle totale du SI allait de l'instantanéité à moins de 2 minutes exception faite du cloud d'Amazon qui nous a pris à peine 10 minutes.

NB : la NSA nous a détectés en train de hacker le Pentagone et nous a contrés, ce qui a retardé l'échéance de quelques minutes.

Aujourd'hui, 10 des géants du net, les membres de l'OTAN et d'autres ont adopté la solution de sécurité de Thales donc les informations que je communique sont obsolètes pour la plupart des audit menés.

[iR3SH]

[marsupial]

Qu'est-ce qui vous fait rire toi et ton +1 ? La vidéo n'existe plus sur le Pentagone, mais nous les avons filmés à genoux les mains sur la tête en signe de reddition. Le Drian, alors ministre de la Défense, a dit que cela valait toutes les peines. Cela vous paraît peut-être drôle, moi pas du tout une sécurité aussi faible quand on possède une dissuasion. Je vous rassure, l'Etat français est tombé instantanément. Le Pentagone avait la meilleure défense.

[Social_Sorix]

Bonjour Marsupial,
En plus des SI américains, avez vous fait les mêmes tentatives d'intrusion sur les SI russes ou chinois?
Cordialement

[marsupial]

Très bonne question. Non, nous n'avons pas fait de tests d'intrusion sur les SI chinois et russes car ils sont parmi les tous premiers clients de Thales. Le premier client est EDF.

Mais nous l'avons fait sur le cloud Google, Azure, chez les anglais, et tous ceux qui disposaient de la bombe atomique. Le résultat est sans appel : chute instantanée du SI à chaque fois sauf pour Azure qui nous a pris un peu moins de 2 minutes. Mais les seuls à nous avoir détectés sont les anglais qui ont pris la solution de sécurité dans la foulée.