En 2019, 30 % des cyberattaques ont eu lieu via des détournements d’outils légitimes, selon un nouveau rapport de Kaspersky

Kaspersky a publié les résultats de son rapport mondial Incident Response Analyst pour l’année 2019. Un rapport qui dévoile que l’année dernière, près d'un tiers (30%) des cyberattaques sur lesquelles a enquêté l'équipe Global Emergency Response de Kaspersky ont impliqué des logiciels administratifs et de gestion authentifiés. Ce chiffre est légèrement inférieur en Europe. Ce mode opératoire offre aux cyber attaquants l’avantage de pouvoir rester plus longtemps invisibles sur le réseau des entreprises touchées.

Les logiciels de monitoring et de gestion aident les administrateurs informatique et réseau à accomplir leurs tâches quotidiennes, telles que le dépannage et l'assistance technique aux employés. Des logiciels utilisés de façon légitime, mais qui peuvent voir leur utilisation détournée par des pirates informatiques lors d’attaques visant l'infrastructure d'une entreprise. Grâce à ces outils légitimes, les cyber attaquants peuvent contourner les contrôles de sécurité visant à détecter les logiciels malveillants, et ainsi lancer l’exécution de programmes sur les différents terminaux et accéder aux informations sensibles de l’entreprise.

L'analyse de Kaspersky des données issues des réponses aux incidents de sécurité a montré qu’au niveau mondial, 18 solutions authentifiées ont été utilisées en 2019 par des attaquants à des fins malveillantes.

En tête :

  • PowerShell, pour 25 % des attaques. Un puissant outil administratif qui peut être utilisé à de nombreuses fins (collecte d'informations, exécution de logiciels malveillants...).
  • PsExec, dans 22 % des cas. Cette application de console est destinée à lancer des processus sur des terminaux distants.
  • SoftPerfect Network Scanner, pour 14% des attaques. Un outil destiné à récupérer des informations sur les environnements réseau.


Nom : 2019-Kaspersky-new-logo-design.png Affichages : 3447 Taille : 6,8 Ko

Un classement qu’on retrouve pour l’Europe, mais avec des proportions différentes : PowerShell and PsExec sont les plus utilisés (dans 50 % des attaques), suivi de SoftPerfect Network Scanner (dans 37,5 % des attaques).

Détecter les attaques menées avec des outils légitimes est difficile pour les entreprises, car les actions effectuées peuvent faire partie de l’activité ordinaire de l'administrateur système. Une difficulté qui permet aux attaquants de rester en place plus longtemps, et donc de collecter plus longtemps les données des utilisateurs, ou d’espionner l’activité de l’entreprise. Parmi les attaques de longue durée, la durée médiane des attaques est ainsi de 122 jours.

Cependant, les experts de Kaspersky notent que, dans certaines situations, les actions malveillantes menées par le biais de logiciels légitimes sont rapidement découvertes. Ils sont en effet souvent utilisés dans les attaques par ransomwares, pour lesquelles les dommages sont clairement visibles. Ainsi, pour les attaques de courte durée, la durée médiane est d’un jour.

Enfin, on trouve un troisième type d’attaques, en termes de durée qui correspond à un entre-deux, avec une durée moyenne de 10 jours. La menace traditionnelle, derrière ces attaques de durée intermédiaire est les vols financiers.

« Pour éviter de se faire détecter et rester invisible le plus longtemps possible sur le réseau de l’entreprise ciblée, les attaquants utilisent fréquemment des logiciels qui sont normalement développés pour les activités quotidiennes, comme le traitement des tâches liées à l’administration réseau et les diagnostics système. En effet, grâce à ces outils, les attaquants peuvent recueillir des informations sur le réseau de l’entreprise et effectuer des actions parallèles à celles des administrateurs, comme modifier les paramètres des logiciels et ceux des appareils, ou mettre en place des actions malveillantes (crypter les données des clients par exemple). Utiliser des logiciels authentifiés et légitimes peut également aider les pirates à rester inconnus des analystes sécurité, car souvent l'attaque n’est détectée qu'une fois les dommages causés. S’il n'est pas possible pour l’entreprise d'exclure ces outils de monitoring et de gestion - car ils permettent son bon fonctionnement - la mise en place de systèmes d’authentification et de détection permet de repérer les activités suspectes sur le réseau et les attaques complexes à des stades plus précoces », commente Bertrand Trastour, Head of B2B, Kaspersky France.

Pour détecter et réagir rapidement à de telles attaques, les organisations doivent envisager l’adoption d’une solution EDR (Endpoint Detection and Response) accompagnée d’un service MDR (Management Detection and Response). Consulter les évaluations de l’organisation MITRE ATT&CK® - qui évalue différentes solutions, y compris Kaspersky EDR et le service Kaspersky Managed Protection - peut aider les organisations à choisir la solution EDR qui correspond le mieux à leurs besoins spécifiques. Les résultats de l'évaluation ATT&CK prouvent par ailleurs l'importance d'une solution complète qui combine un produit de sécurité multicouche entièrement automatisé et un service de chasse aux menaces manuel.

Afin de minimiser les risques que des logiciels de gestion soient utilisés pour pénétrer dans l’infrastructure de l’établissement, Kaspersky recommande les mesures suivantes :

  • Restreindre l'accès aux outils de gestion provenant d'adresses IP externes. Veiller à ce que les interfaces de contrôle à distance ne soient accessibles qu'à partir d'un nombre limité de terminaux endpoints,
  • Appliquer une politique stricte en matière de mots de passe pour tous les systèmes informatiques et mettre en place un système d’authentification multifacteurs
  • Ouvrir les droits administrateurs exclusivement aux collaborateurs qui en ont besoin pour exécuter leurs missions.


Tout savoir sur Kaspersky Enpoint Detection Response

Retrouvez l'intégralité des résultats de l'Incident Response Analyst Report

À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 250 000 entreprises à protéger ce qui compte le plus pour eux.

Source : Kaspersky

Et vous ?

Que pensez-vous de ce rapport de Kaspersky ?
Connaissez-vous d'autres applications de sécurité susceptibles d'être détournées par les pirates informatiques ?
Comment se protéger si les outils de sécurité constituent des portes ouvertes aux malveillances ?

Voir aussi

Mettre le numérique et la sécurité IT au cœur de la stratégie des entreprises, ar Tanguy de Coatpont, directeur Général Kaspersky France

Pour automatiser la classification et l'identification des logiciels malveillants les plus sophistiqués Kaspersky présente son nouveau moteur d'attribution des menaces, Threat Attribution Engine

Kaspersky annonce l'intégration de KasperskyOS automobile dans une unité de commande électronique (ECU) d'un système avancé d'aide à la conduite (ADAS), développé par AVL Software & Functions GmbH

Comprendre les attaques : les virus de types Trojan, Backdoor et Dropper sont les logiciels malveillants les plus recherchés par les analystes de cybersécurité, une recherche de Kaspersky

51 % des Français aimeraient mieux maitriser les technologies pour se sentir moins seuls, d'après une enquête commanditée par Kaspersky