Les évolutions des conditions de travail imposées ces derniers mois par la pandémie de coronavirus a augmenté la surface d'attaque des grandes entreprises. Dans de nombreux domaines, cette menace s'est accrue. C’est le cas notamment des serveurs accessibles directement depuis Internet, des noms de domaine, des sites web, des formulaires web, des certificats, des applications et composants tiers, et des applications mobiles. Si certaines de ces conditions ne perdureront pas, nombre de changements pourraient bien s’installer dans la durée. Quoi qu’il en soit, cette situation met à rude épreuve la capacité des équipes IT et de sécurité existantes à gérer et à sécuriser les points sensibles.
La société de sécurité RiskIQ, spécialisée dans la découverte et la protection des assets numériques, a utilisé les données collectées récemment par sa technologie de scanner de l’Internet pour évaluer la surface d'attaque mondiale actuelle. Sur une période de deux semaines, l’entreprise a constaté l'ajout de 2 959 498 nouveaux noms de domaine et de 772 786 941 nouveaux hôtes uniques sur le web.
Près de la moitié des sites web figurant dans le top 10 000 d'Alexa fonctionnaient sur une plateforme de gestion de contenu connue. Or, ces plateformes sont fréquemment ciblées par les pirates informatiques en raison, justement, de leur popularité. L’entreprise de sécurité a également identifié 13 222 plugins WordPress fonctionnant sur ces sites web. Or ces composants tiers sont aussi une source courante de vulnérabilités et de brèches. Lors de la recherche de vulnérabilités élevées et critiques connues, RiskIQ a identifié qu’au moins un composant potentiellement vulnérable était exécuté sur 2 480 des 10 000 principaux domaines d'Alexa. Au total, l’entreprise a détecté 8 121 composants web potentiellement vulnérables. « Si certaines de ces instances recevront des correctifs et d’autres bénéficieront de contrôles d'atténuation pour empêcher l'exploitation des vulnérabilités et des failles connues, ce ne sera pas le cas de toutes les instances », a mis en garde RiskIQ dans son rapport.
La surface d'attaque Internet des grandes entreprises
L’examen des assets Internet d’entreprises de l’indice boursier britannique FTSE 30, a permis à l’entreprise de sécurité d’identifier 1 967 noms de domaine, 5 422 sites web en direct, 8 427 hôtes, 777 049 pages web, 3 609 certificats, 76 324 formulaires, 2 841 sites WordPress et Drupal, 114 504 adresses IP, 45 serveurs de messagerie, 7, 790 applications hébergées dans le cloud d’Amazon et Azure, 26 instances Citrix Netscaler potentiellement vulnérables, 8 instances Palo Alto GlobalProtect potentiellement vulnérables, 9 instances Pulse Connect potentiellement vulnérables, 25 instances Fortinet potentiellement vulnérables et 1 464 instances de services d'accès à distance.
En moyenne, chaque entreprise utilisait 324 certificats expirés et 25 certificats utilisant le hachage SHA-1, pourtant obsolète et bloqué, 743 sites de tests potentiels exposés à Internet pouvant présenter un risque pour les données, 385 formulaires non sécurisés, dont 28 utilisés pour l'authentification, 46 frameworks web affectés par des vulnérabilités connues, 80 instances PHP 5.x ayant atteint leur fin de vie depuis plus d'un an, et 664 versions de serveurs web affectées par des vulnérabilités connues. « Alors que la frontière entre ce qui se trouve à l'intérieur du pare-feu et à l'extérieur est de moins en moins perceptible, il faut considérer aujourd’hui que la surface d'attaque d'une entreprise - tout ce qu'elle doit se préoccuper de défendre - comprend désormais l'intérieur du réseau de l'entreprise et s'étend jusqu'aux limites extérieures de l'Internet, et même jusqu’au domicile des employés », a déclaré RiskIQ dans son rapport. « La profondeur et l'étendue de la surface à défendre pourraient décourager les équipes de sécurité. Cependant, en considérant l'Internet du point de vue de l’attaquant - une série d’assets numériques à exploiter lors de futures campagnes - on peut relativiser l'ampleur de la surface d'attaque de l’entreprise ».
Il y a plusieurs manières d’exploiter les vulnérabilités des actifs web. Cela va du vol d'identifiants en menant des attaques de type « man-in-the-middle » et de l'intrusion dans des bases de données, à la prise de contrôle totale des serveurs et leur utilisation pour accéder à d'autres parties non publiques de l'infrastructure. Ces dernières années, l'injection de code JavaScript malveillant dans les sites web a été souvent utilisée par les pirates pour réaliser leurs malversations. Ces attaques visent à exploiter les navigateurs des visiteurs de site pour faire du minage de cryptomonnaie et voler les données des cartes de paiement dans les formulaires de paiement - une pratique connue sous le nom de « web skimming » ou « Magecart », d'après le nom de l’un des groupes les plus prolifiques dans cette activité. En mars, quand les achats en ligne ont augmenté de manière significative en raison de la pandémie de Covid-19, RiskIQ a remarqué une croissance de 30 % des attaques de web skimming Magecart. Jusqu'à présent, cette année, l’entreprise de sécurité a détecté 2 552 attaques Magecart, soit 425 par mois. Cette année aussi, RiskIQ a trouvé du code JavaScript de cryptomining sur 963 sites web.
La surface d'attaque indirecte
En plus de devoir protéger leurs assets numériques sur Internet, les entreprises doivent également gérer les menaces qui pèsent sur leurs clients et leurs employés, d'autant plus qu’un grand nombre de leurs salariés travaillent désormais à distance, souvent avec leurs ordinateurs personnels, en passant par des réseaux domestiques non sécurisés. Cette situation les rend plus vulnérables aux campagnes de phishing et à d'autres menaces en ligne, car ces machines se trouvent en dehors des pare-feu et des passerelles de sécurité web de l'entreprise. Au cours du premier trimestre 2020, RiskIQ a identifié 21 496 domaines de phishing se faisant passer pour 478 marques uniques, dont un tiers dans le secteur des services financiers. En outre, l’entreprise de sécurité a identifié 720 188 cas de violation de domaine en rapport avec 170 marques uniques.
Les applications mobiles malveillantes qui volent des données présentent également un risque pour les employés qui sont souvent dirigés vers elles via des messages de phishing à partir des plateformes de médias sociaux ou à partir de publicités malveillantes souvent affichées par d'autres applications mobiles. Selon RiskIQ, au cours de l'année dernière, environ 170 796 applications mobiles, pourtant inscrites sur liste noire, ont été retrouvées dans 120 magasins d'applications mobiles et sur Internet. Plus de 25 000 d'entre elles étaient disponibles dans le Google Play Store. « Dans un monde d'engagement numérique, les utilisateurs se retrouvent hors du périmètre de sécurité classique, et un nombre croissant d’assets numériques d'entreprise sont exposés à des acteurs malveillants », a indiqué RiskIQ dans son rapport. « Aujourd’hui, les entreprises doivent adopter des stratégies de sécurité qui prennent en compte ce changement. Les attaquants ont maintenant beaucoup plus de points d'accès à explorer ou à exploiter, et ces points d’accès sont peu ou pas surveillés ».