En février dernier, l’opérateur télécoms Singtel avait révélé avoir subi une importante fuite de données parce qu'il s'appuyait sur un logiciel d’entreprise non patché pour partager des fichiers volumineux. Cette fuite a compromis non seulement les informations de clients, mais aussi celles de fournisseurs et partenaires de Singtel.
Malheureusement, les exemples d’attaques sur la supply chain semblent s’enchaîner depuis la célèbre affaire Solar Winds, qui n’a d’ailleurs pas encore livré tous ses secrets tant son ampleur est grande. Pourtant, de telles attaques pourraient sans doute être évitées si de simples vulnérabilités liées à des mauvaises configurations étaient identifiées à temps...
Bien qu’ils ne figurent pas dans le Top 10 des signalements de vulnérabilité, les rapports d’erreurs de configuration ont explosé en 2020 avec une croissance annuelle de 310%, qui peut notamment s’expliquer par des migrations un peu trop accélérées vers le cloud sous l’effet de la pandémie.
Considérant une chaîne d’approvisionnement dans son ensemble, une organisation est finalement aussi sécurisée que son fournisseur le moins bien protégé. Les cybercriminels se moquent que vous soyez en train de mettre hors service vos anciens systèmes. Si vos systèmes sont disponibles 24 heures sur 24 et 7 jours sur 7, vous avez besoin d'une sécurité continue.
Principaux témoins de cette tendance, les hackers chasseurs de failles multiplient ces derniers mois les primes pour avoir découvert des failles liées à de mauvaises configuration ou des vulnérabilités chez des fournisseurs. C’est justement avec cette approche de “test en continu” que ces hackers éthiques aident les entreprises à déjouer ces attaques potentielles.
Le partage de fichiers à distance représente actuellement un enjeu capital pour les équipes en télétravail, et le fait de s'appuyer sur des systèmes anciens et obsolètes ne peut qu'accroître les risques de violation, surtout si le fabricant cesse d'émettre des mises à jour correctives, une porte d’entrée idéale dans les réseaux d’entreprise pour les cybercriminels.
Et ces portes d’entrées sont bien plus nombreuses qu’on peut le penser, les services cloud n'étant finalement pas plus sûrs que les autres. Généralement, les systèmes legacy sont affaiblis par des logiciels non corrigés, des identifiants insuffisants ou des configurations inadaptées qui exposent les fichiers à des acteurs non autorisés.
Selon Gartner, 95 % des mauvaises configurations sont causées par l'organisation elle-même, le plus souvent déployées lors de grands projets de migration vers des plateformes cloud, notamment Amazon AWS, Microsoft Azure et Google Cloud Platform. Ces projets Lift 'n' Shift peuvent malencontreusement exposer des données, en raison de contrôles d'authentification ou d'autorisation insuffisants. Ces vulnérabilités représentent un véritable danger pour les entreprises dans la mesure où elles peuvent ensuite être exploitées par des acteurs malveillants, qui scrutent en permanence les services mal configurés et les potentiels signaux de faiblesses des organisations. Le moindre signal indiquant une vulnérabilité potentielle représente une opportunité en or pour les cyberattaquants de dérober leurs données sensibles exposées.
Le problème est que de nombreux administrateurs système ne savent pas à quoi ressemble leur surface d'attaque, passant à côté des faiblesses : on ne peut pas réparer ce que l’on ne peut pas voir. Afin d’y remédier, il est recommandé d’utiliser des outils de gestion de la surface d'attaque qui donnent des pistes pour comprendre où chercher les changements et les correctifs en premier lieu. Une autre solution pourrait être de faire appel à des équipes de hackers éthiques afin d’obtenir des informations inédites sur les vulnérabilités et garder une maîtrise de sa surface d'attaque en perpétuelle expansion.
Aucune organisation n'est à l'abri des vulnérabilités, mais lorsque l’on est à même de faire l’effort de se pencher sur ses propres faiblesses, on sait à quel problème on s’attaque. Cette approche introspective permettra aux entreprises d’éviter une fuite de données embarrassante ou une cyberattaque inattendue. Prendre connaissance des dernières tendances en matière de vulnérabilités peut être un bon point de départ pour comprendre les vulnérabilités les plus susceptibles d’être exploitées.
Par Laurie Mercer, Ingénieur Sécurité chez HackerOne
