L'expert en sécurité iTrust a réalisé un classement du Top 10 des failles dans l'entreprise, auquel nous préférons l'extension à 13 failles qui selon ses experts couvrent de manière exhaustive l'ensemble des failles exploitées d'un SI.
10 failles de sécurité représenteraient, selon les experts d'iTrust, 99 % des failles et des problèmes de sécurité rencontrés lors des audits de sécurité des entreprises. Identifiées par eux, elles permettraient 9 fois sur 10 à ces mêmes experts de pénétrer le système d'information lors de l'audit de sécurité.
1 – Failles historiques
Ces vulnérabilités connues mais non corrigées, alors que les éditeurs ont fourni des correctifs pour la plupart dès qu'elles ont été connues, demeurent les plus grands vecteurs d'attaques. Il est pourtant simple de s'en protéger puisqu'il suffit de mettre les systèmes à jour !
2 – Mot de passe
Le mot de passe serait encore, chez 96 % des entreprises auditées par iTrust, trivial ou par défaut. C'est à dire qu'il serait celui fourni de base dans une solution, le même que le login, ou encore très simple à trouver (générique).
3 – Vulnérabilités web
Les sites web peuvent être exploités pour accéder à des vulnérabilités applicatives. Ils présentent ainsi des points d'entrées vulnérables par la faute de systèmes qui ne sont pas à jour, ou pouvant faire l'objet d'injections SQL, d'attaques XSS ou de gestion des sessions. L'exposition de données sensibles, l’absence de configuration sécurisée, et le manque de restriction de privilèges sont la seconde étape dans l'exploitation de ces vulnérabilités.
4 – Serveurs à l'abandon
Le système d'information est rarement l'objet d'un inventaire matériel et logiciel. C'est ainsi qu'il n'est pas rare de découvrir des serveurs de développement ou à l’abandon qui ne sont pas maintenus mais sont vulnérables et exploitatbles, sans que les administrateurs en aient connaissance !
5 – Partage de fichiers
Trop de systèmes permettent de partager des fichiers via des protocoles de type FTP, NFS, SMB, etc. Ils présentent des restrictions de partage trop faibles, voire inexistantes. Les fichiers peuvent être dérobés, ou alors supprimés par l'attaquant.
6 – Base de données
Les bases de données renferment beaucoup d'informations utilisables, et sont accessibles avec leur mot de passe par défaut ou souvent remplacé par un mot de passe faible (voir plus haut) ou fonction du nom du serveur.
7 – Protocoles d'administration
Certaines catégories de matériels, comme les switchs, les routeurs, ou les imprimantes, échappent souvent à la vigilance des administrateurs. Les protocoles d'administration, non chiffrés ou mal configurés et qui laissent passer les mots de passe en clair, restent activés par défaut, et les mots de passe par défaut ne sont pas changés.
8 – Gestion des droits
La gestion des droits, qui renvoie vers le partage des identifiants, droits et fichiers, et plus généralement la problématique de la confiance inter-domaine, vient âprement nous rappeller que l'humain demeure le maillon faible de la chaine de sécurité informatique, à l'origine de la moitié des menaces.
9 – Relation de confiance
La mise en place de relations de confiance entre machines, par exemple via des programmes de terminaux à distance, permet à une machine compromise de se connecter à toutes les machines de confiance. Si des outils sécurisés comme SSH permettent de remédier à ce risque, le manque de protection des clés privées est une faille sérieuse. Via par exemple une clé publique associée à des serveurs. Itrust cite l'exemple d'un annuaire d'utilisateurs sous Windows répliqué via la relation de confiance entre domaines Active Directory.
10 - Systèmes trop verbeux
Si elle en permet pas de compromettre directeur un SI, cette vaille permet en revanche de collecter des informations sur une cible. C'est ainsi que les portes des serveurs DNS restent souvent grandes ouvertes, permettant d'établir la liste des machines d'un domaine, tout en fournissant des informations cruciales pour organiser des attaques
11 – 12 – 13 - Trois failles pour être exhaustifs
iTrust a complété son classement Top 10 des failles de sécurité constatées lors de ses audits de SI par l'énoncée de trois autres failles plus génériques, qui permettent à ses experts de clore la liste des failles exploitées dans une entreprise :
- Failles humaines
- Failles applicatives
- Failles inconnues
Le raccourci est quelque peu exagéré, mais comme l'indique le document en faisant référence au Top 10 reconnu par de nombreux experts, « Corrigeons en priorité ces failles et le niveau de sécurité de l’entreprise augmente exponentiellement et bien mieux qu’avec n’importe quelle couteuse technologie. »