L’informatique est aujourd’hui devenue tellement abordable que, pour 10 dollars seulement, un cyberassaillant en herbe peut louer de la puissance de calcul dans le cloud pour balayer Internet dans son intégralité et repérer les systèmes vulnérables. Au vu de l’envolée des attaques qui font mouche, il se trouve que ces adversaires remportent régulièrement les courses contre la montre engagées pour corriger les nouvelles failles. Il est difficile d’ignorer ces menaces qui perturbent notre vie numérique dont nous sommes toujours plus nombreux à faire les frais, de même que le flux continu de reportages consacrés à la flambée de cyber-extorsions.

Pour aider les entreprises à gagner du terrain dans cette bataille, l’équipe de recherche Palo Alto Networks Cortex® Xpanse™ a étudié la surface d’exposition à l’Internet public des premières entreprises au monde. De janvier à mars, les équipes Palo Alto Networks ont suivi les scans de 50 millions d’adresses IP associées à 50 multinationales afin de mesurer la rapidité avec laquelle ces adversaires sont capables de repérer les systèmes vulnérables pour en tirer aussitôt parti.

Il s’avère que près d’une vulnérabilité sur trois résulte de problèmes liés au protocole RDP (Remote Desktop Protocol),dont l’usage s’est intensifié depuis le début 2020, les entreprises accélérant leur migration vers le cloud pour faciliter le télétravail de leurs collaborateurs pendant la pandémie de COVID-19. Voilà qui est inquiétant car le protocole RDP, qui autorise un accès administrateur aux serveurs directement, fait ainsi office de porte d’entrée aux attaques par rançongiciels. Du pain bénit en quelque sorte pour les cybercriminels. Néanmoins, il y a lieu d’être optimiste : la plupart des vulnérabilités que nous avons mises au jour peuvent être corrigées facilement.

« Le rapport Cortex Xpanse fournit de nouvelles informations sur la manière dont les pirates informatiques tirent parti de la transformation numérique et de l’automatisation pour garder une longueur d’avance sur leurs cibles. Une constatation qui ressort est qu’il ne leur a fallu que 5 minutes pour découvrir les vulnérabilités Exchange. Cela prend en revanche des jours et parfois des semaines aux défenseurs pour lancer des analyses similaires de leurs propres actifs. Cette disparité souligne la nécessité pour les équipes de sécurité d’automatiser au maximum leurs opérations, en exploitant des outils d’analyse comparables à ceux de leurs adversaires afin qu’ils soient sur un pied d’égalité » commente Jon Oltsik, analyste principal ESG.

Voici les principales conclusions du rapport

L’ennemi est à l’œuvre 24 h/24, 7 j/7

Les adversaires sont à pied d’œuvre jour et nuit, en quête de systèmes vulnérables sur les réseaux d’entreprise exposés à l’Internet public. L’exposition des systèmes d’entreprise s’est considérablement accrue depuis un an du fait du télétravail. En temps normal, les cybercriminels réalisent un nouveau scan toutes les heures, alors que cette opération peut prendre plusieurs semaines à des multinationales.

L’ennemi se rue sur les nouvelles failles à exploiter

Aussitôt que de nouvelles vulnérabilités sont annoncées, les adversaires se précipitent pour en tirer profit. Entre janvier et mars, les premiers scans se sont opérés dans les 15 minutes qui ont suivi leur publication dans le référentiel CVE (Common Vulnerabilities and Exposures). Les assaillants ont été encore plus diligents sur les vulnérabilités Zéro Day visant Microsoft Exchange Server, en lançant des scans dans les cinq minutes qui ont suivi la communication de Microsoft, le 2 mars.

Les systèmes vulnérables sont largement répandus

• Cortex Xpanse établit que les entreprises mondiales détectent de nouvelles vulnérabilités graves toutes les 12 heures, soit deux fois par jour.
• Le protocole RDP à l’origine du tiers de tous les problèmes de sécurité
• Le protocole RDP représente environ un tiers de l’ensemble des problèmes de sécurité (32 %).

Parmi les autres vulnérabilités auxquelles les entreprises sont couramment exposées figurent les erreurs de configuration sur les serveurs de bases de données, les failles de type zero-day très médiatisées repérées chez des éditeurs tels que Microsoft et F5, ainsi que l’insécurité de l’accès distant via les protocoles Telnet, SNMP (Simple Network Management Protocol), VNC (Virtual Network Computing) et autres. Nombre de ces expositions à haut risque peuvent, si elles sont détournées, ménager directement un accès administrateur. Dans la plupart des cas, ces failles peuvent être corrigées aisément, mais elles représentent néanmoins du pain bénit pour les cybercriminels.

Le cloud fédère les problématiques de sécurité les plus délicates

Les infrastructures cloud concentrent 79 % des problématiques de sécurité les plus délicates rencontrées par les multinationales. Voilà qui souligne à quel point la vitesse et la nature du cloud sont sources de risques pour l’infrastructure moderne, en particulier au vu de la rapidité de développement des environnements cloud depuis un an, les entreprises ayant migré leurs capacités de traitement hors site pour soutenir l’essor du télétravail durant la pandémie de COVID-19.