L’infrastructure réseau est au cœur des opérations commerciales dans la plupart des industries. Il peut être considéré comme le centre névralgique de toute l’organisation informatique car il centralise les données, simplifie l’échange de données et facilite la communication entre les employés.
C’est donc un outil essentiel au bon fonctionnement des organisations, qui nécessite une attention constante en termes de sécurité afin de se protéger contre des attaques externes et internes de plus en plus nombreuses et sophistiquées.
Infrastructure réseau : la cible ultime des cyberattaques
Le seul problème est que les cyberattaques sur l’infrastructure réseau continuent d’augmenter en fréquence, en ampleur et en impact. Les serveurs externes et internes, les périphériques et équipements réseau, les postes de travail, sont la cible d’attaquants novices et expérimentés car toutes ces entités présentent encore trop de vulnérabilités: surface d’attaque importante, manque de sensibilisation des employés, failles de sécurité, conception, configuration et mise en œuvre médiocres, mesures de sécurité faibles, etc.
Aucune industrie n’est épargnée par les incidents de sécurité, même si les attaquants ont leurs propres cibles préférées. C’est particulièrement le cas dans les secteurs de la santé, de la finance et du commerce de détail, quelle que soit la taille des organisations opérant dans ces domaines.
Pour assurer la sécurité de l’infrastructure réseau contre ces attaques, des mesures de sécurité spécifiques sont nécessaires : réduction de la surface d’attaque, segmentation du réseau, cryptage des communications, sensibilisation des utilisateurs aux attaques d’ingénierie sociale, principe du moindre privilège (PoLP), surveillance des logs, etc. Les audits de sécurité ou les tests de pénétration sont également un bon moyen de détecter les failles existantes dans votre réseau informatique afin de les corriger.
Dans cet article, nous nous concentrerons sur les vulnérabilités communes (techniques et organisationnelles) les plus souvent exploitées lors d’attaques internes et externes sur l’infrastructure réseau en les illustrant de cas concrets rencontrés lors de nos tests de pénétration. Nous détaillerons également les meilleures pratiques et mesures à mettre en œuvre pour réduire le risque ou contrer ces attaques.
Quelles sont les Vulnérabilités courantes dans l’Infrastructure réseau et Comment Vous protéger ?
Gestion de la surface d’attaque et exposition aux risques
Toutes les attaques informatiques commencent généralement par une phase de reconnaissance pour identifier la surface d’attaque d’une entreprise cible. En d’autres termes, les attaquants recueillent autant d’informations que possible sur le système d’information avant de lancer des attaques contre des entités potentiellement vulnérables. La surface d’attaque est donc la somme des éléments exposés à l’intérieur ou à l’extérieur de votre réseau qui peuvent être attaqués pour provoquer un incident de sécurité: serveurs (internes et externes), applications, API, technologies, versions, composants, données techniques ou personnelles, etc.
Tous ces éléments présentent des vulnérabilités potentielles qu’une personne non autorisée pourrait exploiter, à la suite d’une analyse de port ou d’une recherche minutieuse sur Google ou le Dark Web, pour pénétrer dans votre système d’information.
Réduire sa surface d’attaque est un principe clé de la cybersécurité pour se protéger contre les attaques internes et externes. Pour ce faire, deux actions sont nécessaires: d’une part, il est essentiel de connaître sa surface d’attaque et donc d’en dresser une carte complète, qui doit également être continuellement mise à jour car une architecture système est en constante évolution. D’autre part, il est nécessaire de mettre en place des mesures pour durcir vos systèmes et réseaux afin de réduire votre surface d’attaque.
Cartographier votre surface d’attaque signifie maintenir une liste à jour de tous vos actifs, de leurs versions, implémentations et emboîtements dans l’ensemble de votre système d’information. Cette action n’est pas très complexe à réaliser. Des outils tels que shodan ou censys facilitent ce processus. Uniquement pour des éléments non répertoriés ou inconnus, tels que des outils utilisés par vos collaborateurs, d’éventuelles fuites de documents sensibles ou de mots de passe, il peut être utile de faire appel à un tiers spécialisé pour effectuer un audit de reconnaissance afin de dresser une carte exhaustive de votre surface d’attaque dans le but de la réduire.
Pour réduire votre surface d’attaque suite à son identification, les actions de durcissement de vos systèmes et réseaux peuvent être les suivantes (liste non exhaustive):
- Modification des mots de passe par défaut de tous vos services et appareils connectés au réseau
- Désinstallation ou suppression des applications, services et environnements inutilisés
- Suivi technique et technologique des nouvelles versions et vulnérabilités découvertes dans les composants ou services tiers utilisés
- Mise en œuvre du principe du moindre privilège dans la gestion des droits d’accès aux serveurs, applications, bases de données, etc.
- Segmentation du réseau par partitionnement des systèmes et applications critiques
- Mise en œuvre d’un système d’authentification multifacteur sur vos applications et systèmes critiques
Absence de segmentation interne du réseau et d’attaques pivotantes
La plupart des réseaux sont configurés comme des réseaux plats, chaque serveur et poste de travail fonctionnant sur le même réseau local (LAN), de sorte que chaque application et système du réseau peut communiquer et se connecter à tout le reste.
D’un point de vue de la sécurité, ce type de pratique doit être évité car la plupart de ces systèmes n’ont pas besoin d’interagir les uns avec les autres. De plus, si un réseau plat est attaqué (par un attaquant ou un logiciel malveillant) et qu’une machine est compromise, l’ensemble du système d’information est également en danger. En effet, ces attaques utilisent une méthode dite de » pivotement « , qui consiste à utiliser une entité compromise pour accéder à d’autres éléments et se déplacer librement dans le réseau.
Ainsi, la segmentation du réseau est une mesure de sécurité essentielle, car, même si elle ne permet pas d’éviter les attaques, elle reste l’un des principaux moyens de réduire l’impact d’une attaque réussie. Le principe est simple. Comme son nom l’indique, il s’agit de diviser un réseau informatique en segments de réseau plus petits qui sont isolés les uns des autres au sein de réseaux locaux virtuels (VLAN). Cela permet de regrouper les applications, serveurs, postes de travail, en sous-partitions réseau en fonction de vos enjeux et priorités de sécurité, et notamment en fonction de la criticité de ces systèmes. Le filtrage IP et les pare-feu facilitent le cloisonnement des zones.
L’utilisation du Wi-Fi peut également fournir un point d’entrée pour une attaque informatique. Tout d’abord, il est essentiel de distinguer les connexions Wi-Fi des terminaux personnels ou visiteurs de celles des terminaux de l’organisation (généralement avec un Wi-Fi invité), puis de filtrer et de restreindre les flux des stations se connectant au réseau Wi-Fi. Pour ce faire, plusieurs réseaux Wi-Fi peuvent être mis en place (chacun évidemment partitionné) au sein de votre organisation afin de restreindre l’accès à certaines ressources critiques tout en veillant à ce que seuls les éléments nécessaires soient accessibles par les différents groupes d’utilisateurs au sein de votre entreprise.
Un exemple concret de tests de segmentation effectués lors d’un test de pénétration de boîte grise sur un réseau interne. Les tests ayant été effectués en boîte grise, le pentester en charge de l’audit a eu accès au Wi-Fi invité afin de tester la segmentation du réseau:
- Lors des tests, le réseau était bien partitionné à l’exception d’une imprimante disponible à l’intérieur du réseau: le pentester, comme tous les visiteurs des locaux de l’entreprise cliente, a ainsi pu imprimer des documents
- Cependant, l’interface d’administration de l’imprimante était également accessible via les identifiants par défaut
- Si cette vulnérabilité avait été exploitée par un attaquant malveillant, il aurait pu utiliser l’imprimante comme vecteur d’attaque pour compromettre le réseau interne.
- La recommandation du pentester était donc de restreindre l’accès à l’imprimante au seul personnel de l’entreprise et de modifier les identifiants de connexion de l’interface d’administration
Ainsi, la segmentation de l’architecture réseau limite les conséquences d’une intrusion à un périmètre délimité du système d’information. En cas de cyberattaque, le mouvement latéral de l’attaquant ou du logiciel malveillant serait impossible, empêchant ainsi la propagation. De plus, avec plusieurs sous-réseaux agissant comme de petits réseaux à part entière, il permet aux administrateurs de mieux contrôler le flux de trafic entre chacun d’eux, et donc de repérer plus facilement les événements inhabituels.
Néanmoins, il est important d’effectuer des tests pour vérifier que la segmentation mise en place pour isoler vos systèmes et applications critiques les uns des autres est robuste. Un pentest de réseau interne est le moyen le plus efficace de le faire. Lors des tests de pénétration, les pentesters se concentrent sur les contrôles de segmentation, à la fois de l’extérieur du réseau et de l’intérieur du réseau, pour identifier les vulnérabilités potentielles (failles techniques, défauts de configuration ou de mise en œuvre) qui pourraient permettre l’accès aux systèmes, applications et données critiques.
Un test de pénétration interne garantit que les systèmes et applications critiques ne communiquent pas avec des réseaux moins sécurisés. L’objectif de ces tests est de confirmer que la segmentation fonctionne comme prévu et qu’il n’y a pas de failles qui pourraient être exploitées par un attaquant ou un logiciel malveillant.
Manque de cryptage des communications, de reniflement et d’attaques Man In The Middle
Certains réseaux internes sont configurés de manière à ce que les informations soient transmises en texte clair, c’est-à-dire non cryptées. Ces informations peuvent être des identifiants de compte et des mots de passe associés, des données sensibles (personnelles, bancaires, etc.), documents architecturaux et autres informations critiques, etc. Une telle pratique augmente considérablement le risque que votre système d’information soit compromis par des attaquants externes (ayant obtenu l’accès à votre réseau) et des employés malveillants. Le risque est encore plus grand pour les réseaux Wi-Fi, car les communications peuvent être interceptées dans tout le périmètre couvert par le point d’accès.
Si une machine sur le réseau est compromise, un attaquant peut récupérer toutes les informations de diffusion en utilisant un logiciel qui écoute le trafic réseau, tel que wireshark. Ce processus est connu sous le nom de « reniflement ».
Pour augmenter l’impact du reniflement, l’attaquant se place dans un « Homme au milieu » (MitM). Les attaques de l’Homme du milieu, également appelées attaques d’espionnage, consistent en un attaquant pénétrant dans une transaction d’informations entre deux machines ou serveurs, à l’aide d’outils tels que Ettercap. Une fois dans l’Homme en position médiane, l’attaquant lance Wireshark afin d’écouter le trafic pour exfiltrer des informations et des données sensibles.
Un cas concret rencontré lors d’un test de pénétration de boîte grise sur un réseau interne:
- Cartographie du réseau avec Nmap
- Découverte d’un serveur de fichiers communiquant avec smbv2
- L’homme au milieu entre ce serveur et toutes les machines du réseau utilise alors wireshark pour intercepter et analyser les communications smb entrantes
- Accès non chiffré aux fichiers échangés entre les machines utilisateurs et le serveur (factures, contrats, bulletins de paie, documents stratégiques, etc.)
Compte tenu de l’ampleur des risques de reniflement et d’attaques Man In the Middle, le cryptage des informations circulant sur le réseau est nécessaire. Chiffrer des données signifie les rendre inintelligibles sans clé de déchiffrement. La mesure de sécurité la plus courante consiste à ajouter une couche de chiffrement aux protocoles existants (http, rtp, ftp, etc.) utilisant le protocole SSL (https, sftp, srtp, etc.). Dans le cas spécifique décrit ci-dessus, la recommandation de correction faite à la suite des tests était l’utilisation de smbv3, c’est-à-dire smbv2 couplé au protocole SSL, qui permet le cryptage et garantit donc la confidentialité des communications.
Gestion des accès et des identités
En ce qui concerne les attaques sur la fonction d’authentification, y compris les attaques par force brute ou la pulvérisation de mots de passe, et l’escalade des privilèges, nous avons déjà détaillé les mécanismes dans notre précédent article sur les vulnérabilités courantes des applications Web. Vous pouvez donc vous y référer car il s’applique à toutes les entités de votre infrastructure réseau accessibles via un système d’authentification. De plus, nous reviendrons sur les attaques Active Directory dans un article dédié.
Manque de journalisation et de surveillance
Le manque de journalisation et de surveillance est à la fois une faille technique et organisationnelle qui permet aux attaquants de maintenir leur position dans un réseau le plus longtemps possible.
Comme pour la segmentation des réseaux, il est important de préciser que les bonnes pratiques de journalisation et de surveillance n’assurent pas une protection maximale contre les attaques, mais elles restent un bon moyen de détecter les événements et intrusions inhabituels et donc de réduire leur impact. Quels sont les grands principes et mécanismes ?
La plupart des éléments impliqués dans la communication au sein d’un réseau (échange d’informations, échange de données, etc.) conservez des informations à ce sujet. En effet, tous les systèmes et applications en cours d’exécution » consignent » tous les événements qui se produisent. De même, les routeurs, les proxys et les pare-feu ainsi que les points d’accès gardent une trace de chaque paquet. Ces informations sont ensuite gérées par le système des machines auxquelles chacune de ces entités appartient. Il est stocké, pendant un certain temps, dans des fichiers dédiés, communément appelés « logs ».
Un attaquant efficace efface toujours ses traces après avoir compromis une ou plusieurs machines dans un réseau. Il s’agit de cacher sa présence aux yeux de l’administrateur du réseau compromis et de maintenir sa position le plus longtemps possible sur les machines compromises. Une bonne gestion des logs est donc très utile pour détecter rapidement les intrusions et réagir efficacement.
Pour faciliter la gestion et l’exploitation des journaux, ils doivent être centralisés dans la zone interne du serveur afin de faciliter l’administration. Ensuite, il est nécessaire d’implémenter des programmes (agents) pour surveiller et synchroniser tous les événements répertoriés dans vos fichiers journaux sur d’autres machines.
Ceci est important car, en cas de compromission d’une machine, il est probable que les journaux seront détruits par l’attaquant. La centralisation, la synchronisation et la duplication des journaux garantissent que vous en avez toujours une copie.
Failles humaines et attaques d’Ingénierie sociale
Au-delà des failles techniques, des problèmes de configuration ou d’implémentation, la vulnérabilité la plus souvent exploitée par les attaquants pour compromettre un système d’information reste humaine. Les employés de votre entreprise sont toujours le maillon faible de votre cybersécurité, les attaquants le savent et l’actualité des cyberattaques réussies le prouve !
Un rapport IBM sur les statistiques des attaques de phishing montre que le coût moyen d’une violation de données en 2018 était de 3,9 millions de dollars. Et dans son Rapport sur la criminalité sur Internet 2019, le FBI a estimé que les attaques BEC (Compromission des courriels professionnels – attaques dans lesquelles les fraudeurs se font passer pour des dirigeants d’entreprise ou des fournisseurs pour inciter les employés à transférer des paiements sur des comptes bancaires contrôlés par les attaquants) auraient coûté aux entreprises du monde entier environ 1,6 milliard d’euros.
Le principe des attaques d’ingénierie sociale est simple et leur mise en œuvre ne nécessite pas beaucoup de connaissances techniques dans la plupart des cas. Il s’agit d’un attaquant s’appuyant sur des ressources psychologiques humaines puis utilisant des compétences sociales pour obtenir ou compromettre des informations sur une entreprise ou ses systèmes informatiques (applications, infrastructure externe, réseau interne, tout ou partie du système d’information à reprendre).
Le courrier électronique reste le principal vecteur d’attaque. En utilisant le phishing, le spear phishing (hameçonnage sur un groupe restreint de personnes), couplé au vishing (attaques téléphoniques), les attaquants savent exploiter notre curiosité naturelle, notre sens du devoir, notre conscience professionnelle, notre affection pour les bonnes affaires, pour nous persuader de cliquer sur un lien ou de télécharger une pièce jointe. Avec des clones d’interface ou des logiciels malveillants, ils parviennent toujours à:
- Détourner d’énormes sommes d’argent
- Obtenir des identifiants d’utilisateur et des mots de passe
- Voler, détruire ou modifier des données critiques
- Paralyser l’ensemble de votre système d’information
Au cours des dernières années, de nombreux exemples d’attaques d’ingénierie sociale réussies contre les petites, moyennes et grandes entreprises. Et les conséquences sont souvent dévastatrices et irréversibles. Cependant, il existe des moyens simples de limiter l’impact des attaques d’ingénierie sociale.
- Tout d’abord, réfléchissez et mettez en œuvre une stratégie de sécurité adaptée à vos défis et menaces. Cryptage de tous vos systèmes, segmentation de votre réseau, gestion rigoureuse des accès et des identités, réduction de la surface d’attaque, sont autant de moyens de contrer les attaques ou de réduire leur impact.
- Et surtout, testez la robustesse de vos systèmes avec des tests de pénétration sur votre infrastructure externe ou votre réseau interne. Les tests de pénétration restent le meilleur moyen de tester la sécurité de vos systèmes contre les attaquants externes et internes. Le principe est simple : identifier les vulnérabilités potentielles et les corriger rapidement avant qu’elles ne soient exploitées par des attaquants. Les tests de pénétration de l’infrastructure externe permettent de rechercher des vulnérabilités dans des composants SI ouverts vers l’extérieur. Le pentesting réseau interne consiste à cartographier le réseau avant de réaliser des tests de sécurité sur les éléments identifiés : serveurs, Wi-Fi, équipements réseau, postes de travail, etc. Le rapport publié à la suite des tests permet de comprendre les mécanismes des vulnérabilités découvertes afin de les reproduire et de les corriger.
- Réalisez ensuite des tests d’ingénierie sociale, soit en interne, soit par l’intermédiaire d’un tiers spécialisé. Cela vous permet d’évaluer le comportement de vos employés face à des e-mails, des appels ou des intrusions physiques apparemment inoffensifs dans vos locaux (par exemple pour le dépôt de clés USB piégées), mais avec un impact dramatique s’ils sont le résultat de hackers maléfiques, par opposition aux bons hackers que nous sommes. Les résultats de ces tests peuvent être utilisés pour optimiser la sensibilisation de vos équipes.
- Enfin, vous devez continuellement sensibiliser et former tous vos employés, car la cybersécurité doit être l’affaire de tous. Vous pouvez organiser des réunions d’équipe de sensibilisation ou réaliser des formations, assurées par vos équipes spécialisées sur le thème de la cybersécurité. Il existe également des cours de formation par des tiers pour sensibiliser aux attaques d’ingénierie sociale. Ces formations non techniques permettent de mieux comprendre les mécanismes des cyberattaques à travers le phishing, le vishing, les clones d’interface, les ransomwares, et les bonnes pratiques et postures à adopter pour éviter de passer à l’appât.
Contactez-nous pour toute question relative à un projet de formation ou des tests de pénétration sur votre infrastructure externe, votre réseau interne ou des tests d’ingénierie sociale. Nous discuterons de vos besoins et vous proposerons une intervention adaptée à vos enjeux de sécurité et à vos contraintes, qu’elles soient budgétaires ou organisationnelles.