/fdata%2F4266034%2Favatar-blog-1212474526-tmpphpFMIwYn.jpeg){kind=avatar}
A l'aune de toutes ces cyber-attaques, vous vous posez une série de questions légitimes: "Quel est le degré d'exposition de mon informatique à ce type d'attaque ? Suis-je bien protégé ? Quels sont les points faibles que nous devons traiter en premier et en urgence ?". Au lieu d'aborder le sujet comme dans mes articles précédents, c'est à dire en analysant le type d'attaque par ransomware ou par skimming et de dégager les éléments défensifs et de remédiation appropriés, je vais analyser cette fois de vraies attaques en prenant des exemples parmi l'actualité.
Nota bene: Il ne s'agit pas d'un e-forensic (autopsie digitale) de l'attaque, mais de l'analyse de ce que voient les pirates des actifs informationnels exposés sur Internet pour ce site.
Cette semaine nous allons regarder le cas de la CCI de Bordeaux:
https://www.francebleu.fr/infos/societe/victime-d-une-cyberattaque-la-cci-bordeaux-gironde-porte-plainte-1624962307#xtor=RSS-122
/image%2F0658536%2F20210630%2Fob_671d0c_surface1.PNG)
La Chambre de commerce et d'Industrie de Bordeaux a annoncé être victime d'une cyber attaque le vendredi 25 Juin 2021. Elle indique qu'il n'y a pas eu de pertes de données, a déposé plainte et annonce renforcer son système de sécurité:
"Standard bloqué, accès aux dossiers impossible, la Chambre de Commerce et d'Industrie Bordeaux Gironde a été victime d'une cyberattaque type "rançongiciel", vendredi 25 juin. Ce mardi encore, tout n'est pas résolu et les 110 salariés travaillent "en mode dégradé" explique la CCI qui a refusé de céder au chantage et de payer. "Il n'y a pas eu de pertes de données. Les pare-feu ont fonctionné. Ce qui est un moindre mal". La sécurité informatique avait déjà été renforcée suite aux cyberattaques dans plusieurs hôpitaux dont celui de Dax. Elle va encore l'être, notamment sur les mots de passe utilisés par les salariés." (source France Bleu).
Les questions que l'on se pose alors sont: Comment les hackers ont pu pénétrer et installer un ransomware (comme à chaque fois) ? Que voient les hackers de ce site ? Qu'est ce qui est exposé à Internet ?
Nous allons utiliser SecurityScorecard, un outil non intrusif qui est capable d'évaluer la surface d'attaque exposée à Internet exactement comme le ferait une équipe de hackers, mais sans aucune action sur le système analysé.
Le site "CCI Bordeaux Gironde" fonctionne parfaitement, mais avec un message prévenant de la non disponibilité temporaire de la messagerie"
/image%2F0658536%2F20210630%2Fob_165c96_cci-bdx1.PNG)
Le site est référencé dans SecurityScorecard et avec un score de "B 85", ce qui est plutôt bon. On peut se demander quelle vulnérabilité a permis la réussite de l'attaque.
/image%2F0658536%2F20210630%2Fob_3d50c3_cci-bdx2.PNG)
Regardons le détail:
/image%2F0658536%2F20210630%2Fob_81f049_cci-bdx3.PNG)
Alors que les correctifs de sécurité sont tous bien passés (pour les machines visibles depuis Internet), qu'aucun système obsolète n'est visible (Endpoint security) et qu'aucun malware ou spam n'utilise ce domaine (IP reputation), on voit (comme peuvent le voir les pirates), que 2 Certificats sont échus, que 3 services TLS ont un chiffrement faible et qu'un serveur FTP (transfert de fichiers) est en "clair" (non chiffré).
/image%2F0658536%2F20210630%2Fob_28e088_cci-bdx4.PNG)
Les deux machines (exposées à Internet) avec un certificat obsolète sont:
/image%2F0658536%2F20210630%2Fob_de44b5_cci-bdx5.PNG)
Ce constat a été fait pour la première fois le 23 Février 2021 et à été confirmé le 11 Juin.
"C'est grave docteur ?"
Lorsqu'une autorité de certification (CA) émet un certificat, elle intègre deux dates : la date à laquelle le certificat commence à être valide et la date à laquelle le certificat cesse d'être valide. Si un client TLS (par exemple, un navigateur web) se connecte à un serveur TLS (par exemple, un site web) et reçoit un certificat qui est expiré, le client TLS refusera de se connecter ou émettra un message d'erreur. Les certificats sont des actifs numériques qui doivent être renouvelés ou déclassés selon un calendrier.
La plupart du temps les utilisateurs, quand ils sont confrontés à ce type de message considèrent qu'il s'agit d'une erreur informatique, passent outre et "bingo", l'attaquant a réalisé un "Man in the Middle" c'est à dire qu'il a usurpé le certificat du serveur en se faisant passer pour lui avec un faux certificat auto-généré. Il va donc intercepter tous les flux chiffrés (https) entre le navigateur de l'utilisateur et le serveur sans connaître la clef ! Si l'utilisateur entre des données personnelles ou un mot de passe, celui-ci sera alors intercepté par l'attaquant. Un certificat obsolète (ou auto-signé) doit être remplacé d'urgence par un certificat valide.
Voici donc une première priorité qui se dégage de l'analyse de ce site qui a été attaqué;
1- Les services présentant des certificats expirés peuvent provoquer des problèmes pouvant conduire au succès d'une cyber-attaque, donc confirmez que le service en question est toujours utilisé. Si le service n'est pas utilisé, mettez-le hors service. Sinon, contactez une autorité de certificat valide et organisez l'émission d'un nouveau certificat. Évaluez également la politique de gestion des certificats de votre organisation pour vous assurer que les certificats sont renouvelés ou mis hors service avant leur date d'expiration.
Evidemment, c'est encore plus facile pour l'attaquant lorsqu'il n'y a pas de chiffrement du tout: Nous avons deux exemples ici avec le site web des élus (Intranet élus) qui est en http (donc "en clair") et le transfert de fichiers FTP qui est un des plus anciens protocoles d'Internet est qui lui aussi est "en clair". Dans ces deux cas, toutes les données, y compris les actions de renseigner le login-mot de passe, transitent en clair sur le réseau et sont interceptables par les attaquants.
/image%2F0658536%2F20210630%2Fob_08d5d8_cci-bdx6.PNG)
Le site correspondant est : http://miamelus.fr/ Au moment où j'écris ces lignes, il est "down". Il y a peut-être une redirection https, mais le site mentionné dans le lien est bien en http, donc "en clair".
Pour le FTP (transfert de fichiers), le site est identifiable par les attaquants:
/image%2F0658536%2F20210630%2Fob_8691bd_cci-bdx7.PNG)
Le protocole FTP permet d'accéder à des fichiers stockés sur des serveurs, donnant aux utilisateurs la possibilité de télécharger, d'envoyer et de supprimer des fichiers. De nombreux serveurs FTP sont utilisés par des processus automatisés, et sont négligés ou mal configurés. Les protocoles modernes, comme le SFTP, offrent une meilleure sécurité que le FTP. Les services de partage de fichiers sont des cibles attrayantes pour les attaquants en raison des données qu'ils peuvent contenir. Un attaquant qui obtient l'accès aux fichiers d'un serveur FTP peut vendre les fichiers qu'il contient, les utiliser pour faire du chantage ou utiliser les informations pour lancer d'autres attaques. La violation d'un serveur FTP peut donner lieu à des poursuites judiciaires, à des obligations de notification publique, à un impact négatif sur l'image de marque et à des conséquences sur les assurances. Les attaquants peuvent cibler le service avec des attaques de contournement d'authentification (par exemple, force brute, débordements de mémoire tampon, mots de passe vides) dans le but de prendre le contrôle de l'hôte ou d'exfiltrer ses bases de données. Les attaquants peuvent lancer des attaques par déni de service (DoS) contre le service, le rendant inutilisable par les entités autorisées. Un hôte compromis peut permettre à un attaquant de pénétrer plus avant dans l'infrastructure associée de l'hôte. Notez que le type de serveur est mentionné (CrushFTP) et donc que les pirates vont essayer toutes les failles qui sont référencées sur ce type de serveur ainsi que les mots de passe d'administration par défaut.
2- Nous avons donc une deuxième urgence: Repérer tous nos sites "en clair", qu'ils soient http ou ftp et utiliser le service chiffré à la place, https ou sftp. Si vous n'arrivez pas à remplacer ces services par leur version chiffrée, faites une "whitelist" des adresses IP autorisées à utiliser ces serveurs et maintenez-la à jour tant que vous ne pouvez pas faire mieux. Surveillez attentivement les machines que vous autorisez dans cette "whitelist" de manière à ne pas permettre à l'attaquant de les pirater et de les utiliser pour avoir accès au système. N'autorisez pas des machines dont le système est obsolète ou dont les correctifs de sécurité n'ont pas été passés intégralement.
Cependant, même lorsqu'un flux est chiffré, ce chiffrement peut-être faible et alors décrypté par les attaquants. C'est le cas pour trois services ici:
/image%2F0658536%2F20210630%2Fob_4fef15_cci-bdx8.PNG)
Deux sur le serveur principal (port 443 et 8443) et un sur une machine autre exposée à Internet.
Le chiffrement est faible car il utilise un protocole qui a déjà été piraté:
/image%2F0658536%2F20210630%2Fob_bf93ad_cci-bdx9.PNG)
En l'occurrence il s'agit d'un triple DES-CBC. Si vous examinez le tableau des chiffrements (source Wikipedia), vous pouvez clairement voir qu'il ne vous protège pas correctement:
/image%2F0658536%2F20210630%2Fob_4641fe_cci-bdx10.PNG)
Le 3DES EDE CBC en question n'est pas considéré comme sécurisé pour SSL ou TLS quelle que soit la version, sauf pour TLS 1.3 pour lequel il n'existe pas...
/image%2F0658536%2F20210630%2Fob_bf3264_cci-bdx11.PNG)
Le Transport Layer Security (TLS), le successeur de Secure Socket Layer (SSL), est un protocole réseau qui chiffre les communications entre les serveurs TLS (les sites web) et les clients TLS (les navigateurs web). Chaque communication est sécurisée par une suite de chiffrement : une combinaison de plusieurs algorithmes fonctionnant de concert. Les algorithmes cryptographiques n'ont pas de durée de vie définie, mais les universitaires, les chercheurs les évaluent en permanence pour détecter leurs faiblesses. Le consensus sur les algorithmes qui ne sont pas fiables évolue au fil du temps. Si une communication est protégée par une suite de chiffrement faible, elle peut être décryptée, interceptée, voire modifiée.
3- Action numéro 3: Repérer tous les chiffrements faibles et les remplacer dès que possible par un algorithme mieux sécurisé. Faire une veille sur le niveau d'algorithme considéré comme sécurisé. par exemple, en WIFI, jusque récemment, on considérait WPA2-PSK comme suffisant, maintenant c'est WPA3.
Examinons maintenant le service DNS (noms de domaine). C'est un service crucial pour les cyber-attaques par la fait qu'il permet notamment le phishing (un e-mail de soi-disant un collègue, mais qui en fait provient du pirate). Il est fondamental d'être au point sur les trois "Charlie's Angels", comme vous avez pu lire dans un de mes articles précédents: "DMARC, SPF, DKIM":
/image%2F0658536%2F20210630%2Fob_c14556_cci-bdx12.PNG)
Le Sender Policy Framework (SPF) est une technique de validation des e-mails, conçue pour détecter la falsification des e-mails (également appelée spoofing). Un enregistrement SPF est un mécanisme qui permet à un serveur de courrier électronique récepteur de valider que le courrier électronique entrant d'un domaine particulier provient d'un serveur qui est autorisé à envoyer du courrier électronique au nom de ce domaine particulier. La liste des hôtes d'envoi autorisés pour un domaine est publiée dans un enregistrement du système de nom de domaine (DNS) pour ce domaine sous la forme d'un enregistrement TXT spécialement formaté. Un enregistrement SPF est nécessaire pour la prévention de l'usurpation d'adresse et le contrôle anti-spam.
Que voit-on dans ce cas ? La syntaxe de l'enregistrement SPF (c'est déjà bien, qu'il y en ait un). est erronée:
/image%2F0658536%2F20210630%2Fob_8a31af_cci-bdx13.PNG)
Il y a trop de "include" (DNS lookup) et cela peut conduire à des dysfonctionnements.
Action numéro 4: Pour contrer les attaques de phishing (qui est l'un des principaux vecteurs de contamination par ransomware) Mettons au point une trilogie SPF, DMARC et DKIM avec, à minima, un enregistrement SPF valide.
Enfin, intéressons nous à l'application web elle-même:
/image%2F0658536%2F20210630%2Fob_10596c_cci-bdx15.PNG)
Confirmation de ce que nous avions vu précédemment. Le transfert de fichiers s'effectue "en clair" y compris avec un navigateur web:
/image%2F0658536%2F20210630%2Fob_093dbe_cci-bdx16.PNG)
Pour terminer cette analyse, regardons où se trouvent les serveurs de notre victime:
/image%2F0658536%2F20210630%2Fob_3d5216_cci-bdx17.PNG)
Il en existe aux USA et en Hollande, en plus de ceux localisés en France.
/image%2F0658536%2F20210630%2Fob_1938d1_cci-bdx18.PNG)
/image%2F0658536%2F20210630%2Fob_062eec_cci-bdx19.PNG)
Action numéro 5: Cartographions tous les sites web (vérifions le RGPD pour les USA) et éliminons tous les sites web "en clair" ou avec une redirection https faible.
Qu'avons nous appris de cette attaque ? Que devrions-nous faire pour éviter qu'elle se produise chez nous ?
A ce point de l'article, vous pouvez vous dire intérieurement: "Mais si toutes ces failles sont connues pour le site de la CCI Bordeaux", pourquoi personne n'a agi avant et ainsi probablement évité l'attaque par ransomware ?"
Le constat est simple: Tous les services informatiques sont noyés sous des milliers d'informations et de problèmes à régler chaque jour, chaque mois, et ils ne peuvent pas savoir quels évènements sont pertinents et lesquels sont du "bruit blanc" ou des "bugs". De plus, on ne distingue pas forcément ce qui est exposé à Internet de ce qui est protégé à l'intérieur du périmètre. Par ailleurs, les RSSI et les Directions Informatiques ne sont pas en mesure de prioriser les actions de renforcement de la cyber-sécurité car elles ne disposent pas d'informations pertinentes sur le niveau d'urgence. Enfin, les Directions générales (dans ce cas, les élus eux-mêmes) ne disposent pas des compétences techniques pour comprendre tout ce que nous venons d'exposer. Ils ont juste besoin de savoir si on est en risque ou pas, et quel plan d'action est pertinent avec le budget associé.
La réponse est tout aussi simple: Si les pirates sont capables de voir certaines de nos failles, commençons par un diagnostic lisible (Rouge-Jaune-Vert) et par corriger d'abord et d'urgence ce que les attaquants sont capables d'exploiter:
/image%2F0658536%2F20210630%2Fob_9f236e_cci-bdx22.PNG)
/image%2F0658536%2F20210630%2Fob_4ce414_cci-bdx21.PNG)
Ensuite nous suivrons de manière régulière notre domaine et celui de nos fournisseurs ou parties prenantes de notre informatique:
/image%2F0658536%2F20210630%2Fob_9c78b8_cci-bdx20.PNG)
Tous les écrans mentionnés sont (c) SecurityScorecard
Enfin, vous pourriez vous dire: "Mais de quel droit analysez-vous la cybersécurité d'un site qui ne vous a rien demandé ?". C'est une question pertinente, mais qui ne résiste pas à la réalité cruelle: "Ce que vous voyez là, les pirates le voient aussi". Contrairement à un test d'intrusion qui nécessite, nécessairement, une autorisation préalable, le diagnostic cybersécurité, lui, ne fait que vérifier que les fenêtres (Windows ;) et les portes (Gates) sont bien fermées, comme une patrouille de gardiennage le fait pour une zone pavillonnaire...
Alors voici ma proposition: Je vous propose d'effectuer un diagnostic SecurityScorecard et de vous fournir le plan d'action associé. En contrepartie, vous vous engagez à une réunion de présentation Zoom (ou autre) d'une heure, de restitution avec votre équipe. Vous pouvez me contacter sur Linkedin. On va y arriver !