Un système vulnérable, causes et conséquences pour votre activité

Le Common Vulnerabilities and Exposures est un dictionnaire public qui répertorie les vulnérabilités connues dans les équipements et les logiciels. Chaque vulnérabilité possède un identifiant « CVE-AAAA-NNNN » (AAAA représentant l’année de publication et NNNN son numéro). Prenons l’exemple d’un site hébergeant une application en mode SaaS, que nous appellerons Soft, édité par l’entreprise NotSecure, possédant une vulnérabilité.

Avant toutes choses, définissons quelques termes que nous utiliserons dans ce texte et qui peuvent paraître flous.

Une vulnérabilité (ou faille), au sens informatique du terme, est une faiblesse dans un système d’information qui permet à un tiers de porter atteinte à son intégrité. En terme simple, cette faiblesse permet à une personne malintentionnée d’endommager le système.

Il y a plusieurs niveaux de criticité pour une vulnérabilité, notés de 1 à 10 en fonction de différents critères, et plusieurs champs d’applications. Une vulnérabilité peut permettre de contourner une page de connexion, exécuter du code à distance ou encore saturer le système.

Ces vulnérabilités, il y en a beaucoup, un organisme, le MITRE a donc décidé de les réunir et d’en faire une base de données centralisée ayant la nomenclature CVE.

Le Common Vulnerabilities and Exposures est un dictionnaire public qui répertorie les vulnérabilités connues dans les équipements et les logiciels. Chaque vulnérabilité possède un identifiant « CVE-AAAA-NNNN » (AAAA représentant l’année de publication et NNNN son numéro).

Prenons l’exemple d’un site hébergeant une application en mode SaaS, que nous appellerons Soft, édité par l’entreprise NotSecure, possédant une vulnérabilité.

CYCLE DE VIE D’UNE VULNÉRABILITÉ

Rentrons maintenant dans le vif du sujet : une vulnérabilité possède un cycle de vie en 4 phases.

PHASE 1 

Nous appellerons la première « existence invisible ». Durant cette phase, la vulnérabilité est présente sur un système d’information, mais elle n’a pas encore été découverte, elle est donc inconnue.

Prenons notre exemple, la vulnérabilité présente dans Soft est dans le code du site, mais personne n’a encore étudié ce dernier en profondeur et donc personne ne connaît l’existence de cette faille. On peut donc considérer Soft comme « sécurisée ».

PHASE 2 

Passons maintenant à la seconde phase : la découverte. Pour notre exemple, la vulnérabilité, qui se trouve dans Soft, permettrait à un attaquant de se connecter sans avoir payé l’abonnement auquel il faut souscrire normalement, c’est donc critique pour NotSecure.

Un jour, un employé d’une entreprise de sécurité se penche sur le site de Soft et l’étudie en profondeur et, stupéfait, il remarque qu’avec un de ces outils, il peut contourner la connexion et utiliser le programme sans payer ! Faisant partie d’une entreprise spécialisée, et étant un hacker avec des intentions bienveillantes, il contacte NotSecure pour leur signaler la faille, en leur signifiant qu’il leur laisse 90 jours pour la corriger avant de publier la faille sur le CVE, pratique courante dans l’univers de la cyber sécurité.

Donc, au bout de 90 jours, la vulnérabilité est publiée sur le CVE avec son code : CVE-2020-0016. Malheureusement, NotSecure étant débordé, ils n’ont pas eu le temps de corriger la faille et il n’y a donc aucun correctif ! Seulement voilà, les hackers malintentionnés sont légion, et eux, ils ont le temps. Un groupe de ces hackers prend le temps d’étudier les nouvelles CVE de 2020 et tombe sur la fameuse CVE-2020-0016.

PHASE 3 

On rentre dans la phase 3 du cycle de vie de notre vulnérabilité, la phase d’exploitation, en lisant la CVE, les hackers se disent qu’il y a un coup à jouer pour eux : s’ils arrivent à automatiser l’exploitation de cette faille au travers d’un outil, ils pourront vendre leur outil moins cher que le tarif de NotSecure, afin d’en tirer un bénéfice.

PHASE 4 

Heureusement, pendant ce temps chez NotSecure on a réussi à trouver le temps de développer une solution pour colmater la brèche et l’entreprise lance le déploiement du correctif ! C’est la phase 4, la correction.

Dans notre exemple, heureusement pour NotSecure, l’entreprise a eu le temps, les moyens financiers et les ressources de déployer une mise à jour suffisamment tôt, aucune conséquence n’est à déplorer : économique ou marketing.

Malheureusement ce cas reste encore aujourd’hui trop rare, beaucoup d’organismes ont une politique de patch management (gestion des mises à jour) en retard, voire inexistante : faute de ressources, de moyens, de connaissances, de compétences, etc…

On peut citer en exemple l’ONU, qui, à l’été 2019, subit une attaque début juillet et ne l’a détecté que fin août, les attaquants se sont infiltrés dans plusieurs serveurs impactant les centres de Genève et Viennes. Cette attaque aurait pu être évitée simplement en réalisant une mise à jour d’un composant Windows.

QUELQUES EXEMPLES

Pour citer d’autres exemples marquants, on peut prendre le CHU de Rouen, qui a été paralysé en novembre dernier durant plusieurs jours suite à la prise en otage de ses serveurs par un groupe de hackers.

Plus récemment, le département de la Loire a subi une attaque groupée, de multiples organismes, publics et privés, ont subi une attaque au travers d’un logiciel de supervision, utilisé par un infogérant local. Les hackers, une fois dans les systèmes, ont chiffrés les disques durs et demandés une rançon pour les déchiffrer. Le total des rançons demandées s’élève à 700 000 €, un business facile et pour le moins rentable !

UN PROBLÈME, DES SOLUTIONS !

Avant même de parler de solution automatique, il existe un certain nombre de bonnes pratiques à mettre en œuvre pour limiter les risques ! Vérifier attentivement l’adresse de l’expéditeur d’un mail, ne pas ouvrir de pièces jointes provenant d’expéditeur non confirmé, porter une attention particulière à la sécurité des périphériques (clés USB, stockages externes) sont autant de bonnes pratiques qui, si elles étaient implémentées en entreprise, suffiraient à réduire grandement les attaques réussies sur nos infrastructures d’informations.

Il existe bien évidemment des solutions logicielles ou matérielles à additionner à ces bonnes pratiques afin de limiter toujours plus les risques. La plupart des gens pense en premier à un antivirus afin de se protéger, c’est en effet un bon début, mais cela ne suffit pas.

Aujourd’hui on ajoute aussi un firewall (pare-feu) applicatif ou matériel, en tête de réseaux afin de protéger au mieux les utilisateurs. Justement dans la famille des firewalls, on peut parler des WAF, (Web Application Firewall) qui sont eux employés pour protéger les sites web. C’est le champ d’application de la solution v6Protect.

Nous venons de voir comment être pro actif dans la gestion des vulnérabilités au sein d’une entrepris, au travers de différentes pratiques ou solutions adaptées.

Nous avons évoqué, bien que rapidement, le terme de patch management. Pour rappel, ce terme désigne l’ensemble du plan de gestion des mises à jour d’une entité, technique ou organisationnelle.

Comme nous l’avons vu au travers de l’exemple NotSecure, ce plan est un pilier de la gestion de la sécurité et il existe une multitude de solutions techniques sur le marché, avec leurs avantages et leurs inconvénients, c’est pour cela que nous proposerons prochainement un article sur ce sujet et vous aider à y voir plus clair !