Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Palo Alto Networks : Utilisateurs attention, les cybercriminels savent que vous utilisez des outils d’accès à distance

février 2013 par Palo Alto Networks

Les parents, grands-parents et autres utilisateurs techniquement novices demandent souvent de l’aide à leurs proches déjà utilisateurs du Web. Comme le souligne Sam Grobart du NY Times, les outils permettant d’accéder à un PC à distance sont utilisés car ils permettent d’éliminer des heures de conversations fastidieuses et potentiellement très frustrantes.

Comme nous avons pu le constater dans les précédentes éditions du Rapport AUR (Application Usage and Risk Reports), ces applications d’accès à distance sont des outils efficaces qui permettent aux équipes en charge de l’informatique et du support de remédier aux problèmes sans avoir à se déplacer. Pour souligner à quel point ces outils sont répandus, l’accès à distance fait désormais partie des fonctionnalités du navigateur Chrome de Google. La facilité d’accès à ces outils ont rendu leur utilisation courante auprès des employés avertis qui s’en servent pour aider les amis et la famille lorsque ces derniers ont des problèmes informatiques. L’inconvénient de ces efforts altruistes est que les cybercriminels savent que ces outils, qui sont couramment utilisés par toutes sortes d’utilisateurs, sont souvent mal configurés et que les ports utilisés par ces applications sont généralement laissés ouverts sur les pare-feu. Et comme ces outils sont fréquemment utilisés par le personnel informatique, ils restent souvent « autorisés » lorsqu’ils sont présents sur le réseau, et cela sans prêter attention aux employés qui pourraient les utiliser. Cette connaissance permet aux cybercriminels de rechercher et d’utiliser ces outils d’accès à distance comme vecteurs d’attaques.

Le rapport Verizon Databreach 2011 a analysé 900 incidents dans le monde entier et a conclu que 320 de ces intrusions pourraient être liées à des erreurs d’outils d’accès à distance. Le rapport implique que l’utilisation courante de ces derniers est telle que les cybercriminels ont intégré ceux-ci dans leurs efforts de développement. Selon le rapport :

« Dès qu’un pirate découvre la méthode d’authentification et le schéma (que ce soit pour le port TCP 3389 pour RDP ou le port TCP 5631 et le port UDP 5632 de pcAnywhere) d’un fournisseur [d’accès à distance], il sera capable de d’exploiter ces informations auprès d’une multitude de partenaires et de clients de ce dernier. Souvent, au lieu d’effectuer un scan de port complet pour ces applications de services à distance, les attaquants personnaliseront leurs scripts pour rechercher exclusivement ces ports et trouver un chemin d’accès via Internet. »

Exemple concret, $3 millions de dollars US ont été dérobés dans le métro à des clients sans méfiance par des cybercriminels qui ont eu l’accès à des données de carte de crédit en effectuant un scan de port pour identifier des outils d’accès à distance et craquer les mots de passe associés.

Les statistiques du rapport AUR de Palo Alto Networks montrent que l’on trouve une moyenne de huit applications d’accès à distance différentes au sein de 96% des entreprises. Lorsque l’on analyse les données recueillies et analysées au cours des deux dernières années dans les rapports AUR la fréquence d’utilisation des cinq principaux outils d’accès distant est demeurée stable. La tendance intéressante observée est la popularité croissante de TeamViewer, un outil open source qui prend en charge presque tous les clients connus existants. Donc, grâce à TeamViewer, un membre de l’équipe « support » pourrait éventuellement utiliser son téléphone basé sur Android pour aider un client. Une opportunité professionnelle très intéressante. Et c’est là que réside le point noir, du moins du point de vue de la sécurité.

L’utilisateur technophile qui va vouloir faire la même chose depuis son bureau, va ainsi laisser son PC allumé et l’application en fonctionnement, et ce faisant, laisser une faille inutile (sur un port non standard) dans le pare-feu, exposant son entreprise à des risques de sécurité et de productivité.

Pour répondre à ces risques de sécurité, les utilisateurs de Palo Alto Networks peuvent permettre une utilisation sécurisée de ces outils pratiques en créant une liste des outils d’accès à distance couramment utilisés (à l’aide de groupes d’applications) et n’autoriser que les équipes informatiques et de support à les utiliser (via l’intégration de la technologie User-ID) et forcer leur utilisation sur le port standard. Une politique semblable peut être définie pour bloquer l’utilisation de tous les outils d’accès à distance (à l’aide de filtres d’application) pour tous les autres utilisateurs, sur tous les ports.




Voir les articles précédents

    

Voir les articles suivants