Les cyberattaquants sont ingénieux et opportunistes. Ils s’adapteront rapidement pour profiter d’une situation en particulier. Le COVID-19 leur offre malheureusement ce contexte idéal.
Il existe, à l’heure actuelle, une incertitude énorme et des changements au niveau mondial que les cybercriminels cherchent précisément à utiliser à leur profit. Les risques sont amplifiés par les défis informatiques immédiats et imprévus auxquels les entreprises doivent faire face pour que leurs employés puissent travailler à domicile.
Il existe deux domaines qui sont les plus susceptibles d’entraîner un incident de cybersécurité en raison de la crise actuelle liée au COVID-19 : l’accès à distance et le phishing. Nous allons couvrir ces deux sujets dans cet article et vous offrir toute une série de recommandations par ordre de priorité pour vous aider à prévenir rapidement, ou du moins à mitiger, ces problèmes critiques.
L’accès à distance
Par accès à distance, je fais référence aux innombrables façons utilisées par les entreprises pour permettre à leurs employés de travailler à domicile. Celles-ci vont des services d’accès à distance “traditionnels”, tels que les passerelles de services VPN et Terminal, aux conférences natives dans le Cloud et aux autres outils de collaboration que les entreprises adoptent, un peu partout, dans l’urgence.
Le principal risque est une authentification faible au niveau de vos services d’accès à distance.
Les entreprises se battent depuis des années pour faire en sorte que les services (en particulier lorsqu’ils sont accessibles depuis Internet) soient protégés par l’authentification multifacteur (MFA) et ne soient accessibles qu’avec des comptes professionnels gérés de manière centralisée (et généralement localisés dans Active Directory, Azure ou Okta).
Mener à bien cette tâche est un véritable défi en temps normal et implique que les équipes IT aient une connaissance complexe de SAML, d’OpenID et de diverses autres technologies et normes qui prennent en charge notre gestion moderne des identités.
Il s’agit là, bien sûr, d’une technologie s’ajoutant à toutes celles héritées (LDAP, RADIUS, Kerberos, etc…) qui sont toujours en place pour prendre en charge l’authentification au niveau des architectures traditionnelles.
Ainsi, en pleine crise mondiale due au COVID-19 avec des équipes IT présentes dans le monde entier qui se démènent pour garder les services accessibles, il est clair que la complexité de la fédération des identités et des requêtes MFA n’est plus vraiment une préoccupation majeure.
Un tel constat est parfaitement compréhensible et, dans la plupart des cas, prendre des risques pour maintenir les services en ligne est absolument la bonne décision. Alors que les entreprises se battent pour survivre, assurer la continuité et la disponibilité des activités doit rester la priorité.
Les problèmes de sécurité apparaissent pour deux raisons. Tout d’abord, les changements apportés rapidement au niveau de la ligne de front peuvent ne pas être vus ou compris par les dirigeants de l’entreprise, mieux placés peut être, pour évaluer les véritables risques qui pourraient en résulter.
Ensuite, même lorsqu’une évaluation des risques a été effectuée, les hypothèses de départ ne sont probablement plus correctes. En effet, quelques semaines en arrière, nous nous attendions à ce que la situation redevienne normale au bout d’un mois environ. Cependant, il devient maintenant très clair que cette nouvelle réalité va certainement durer et que par conséquent des services mal protégés pourraient être exposés et vulnérables pendant plusieurs mois, voire plusieurs années.
De plus, il sera très difficile pour les entreprises de revenir aux modèles de travail précédents une fois que les employés auront compris qu’ils peuvent travailler très efficacement depuis chez eux.
En bref, les entreprises ne doivent pas partir du principe qu’elles seront rapidement en mesure de supprimer tous ces services à risque accessibles depuis Internet. Elles doivent plutôt trouver un moyen de les sécuriser.
Que doivent faire les responsables IT et sécurité ?
Il existe des correctifs à long terme et d’autres à court terme. Les correctifs à long terme se résument à une approche de type confiance-zéro. Il ne fait aucun doute que cette crise accélérera le ciblage de ce type d’architecture.
Malheureusement, les entreprises ne peuvent pas et ne doivent pas s’engager dans cette voie, car cette dernière nécessite un investissement important dans l’infrastructure IT et des changements de mentalité organisationnelle pour être mise en œuvre avec succès.
Les entreprises devraient donc concentrer tactiquement leurs efforts sur la réduction des risques, et ce le plus rapidement possible. Cette approche implique principalement de proposer des services clés protégés par MFA par tous les moyens possibles.
Il est préférable de résoudre ces problèmes par service. Les entreprises doivent identifier les services les plus à risque et les plus susceptibles d’être pris pour cible par leurs adversaires. Pour les entreprises disposant d’une infrastructure sur site et d’une sécurité périmétrique traditionnelle, la solution sera probablement un VPN ainsi que d’autres passerelles d’accès à distance.
Pour les entreprises disposant d’une infrastructure Cloud, l’accent doit être mis sur le fournisseur d’identité (le plus souvent Azure ou Okta). En tant que point central de l’authentification, l’activation simple du MFA ici vous permettra de prendre rapidement une importante longueur d’avance an matière de sécurité, d’autant plus qu’Azure et Okta ont des capacités MFA intégrées ainsi que des options d’intégration avec des fournisseurs tiers populaires tels que Duo.
Les entreprises qui n’ont pas réussi à centraliser les identités Cloud devront examiner des applications spécifiques et voir si elles offrent leurs propres capacités MFA. Les systèmes de messagerie, de collaboration, CRM et ERP sont des points de départ évidents.
Tenez également compte des services hautement critiques mais moins accessibles tels que vos outils de gestion de la sécurité. Cet article issu de notre Base de Connaissances (Knowledge Base) vous guidera à travers la configuration du MFA au niveau de notre plateforme de sécurité Sophos Central.
Des compromis difficiles
Ces options tactiques ne sont pas faciles à mettre en œuvre et des compromis devront être faits. L’équilibre idéal en matière de compromis sera différent pour chaque entreprise, mais voici quelques pistes de réflexion :
La capacité VPN
Si vous effectuez un backhauling du trafic client pour le nettoyer, autoriser les “VPN fractionnés” (où les clients ont un accès direct à Internet) est le moyen le plus rapide de gagner en capacité et est probablement moins risqué que d’exposer directement en ligne des services internes poreux et non sécurisés.
Cependant, cette solution implique que vos clients disposent de navigateurs correctement corrigés et, idéalement, d’une protection Web basée sur les systèmes endpoint. Sachez également que si vous avez des services SaaS reposant sur des clients liés à des adresses IP d’entreprises connues, ne désactivez pas simplement ce contrôle, remplacez-le par le MFA !
MFA centralisé vs décentralisé
Connecter le MFA à votre fournisseur d’identité vous permet de bénéficier d’une expérience commune à toutes les applications. Il s’agit d’une stratégie sans doute moins déroutante pour le personnel et plus facile à déployer, mais aussi d’une route beaucoup plus longue si vous ne disposez pas d’un service d’identité centralisé.
La modification de l’identité fédérée dans une application de production existante peut être très difficile, donc tactiquement, il peut être plus facile d’activer les capacités MFA au niveau du fournisseur de services.
En fait, le personnel aura probablement plusieurs mécanismes d’authentification différents pour naviguer. Cette situation n’est pas idéale, mais n’oubliez pas qu’ils sont habitués à gérer ce type de contrainte lorsqu’ils se connectent à des applications non professionnelles (services de banque en ligne, email personnel, etc…).
Tout le monde doit gérer beaucoup de changements en ce moment, les utilisateurs risquent donc d’être plus conciliants et résilients que vous ne le pensez !
Le MFA basé sur les SMS
Il existe beaucoup de craintes, plutôt justifiées d’ailleurs, à propos du MFA basé sur les SMS. Il s’agit néanmoins du moyen le plus simple et le plus rapide d’activer l’authentification multifacteur, et les employés seront très certainement déjà familiers avec cette technique.
Le MFA basé sur les SMS est de toutes les façons bien mieux qu’aucun MFA du tout. S’il s’agit du moyen le plus rapide de protéger votre entreprise, c’est probablement la bonne méthode à utiliser pour commencer. Assurez-vous simplement d’avoir un plan de migration vers une technique plus sécurisée.
Les mots de passe
Si vous prévoyez d’utiliser de nouveaux services (par exemple, la vidéoconférence) et que vous ne parvenez pas à configurer une identité fédérée, les employés devront mémoriser encore plus de mots de passe. Le plus grand risque avec cette approche est la réutilisation de ces derniers.
Vous ne pouvez pas raisonnablement vous attendre à ce que les employés se souviennent de dizaines de mots de passe uniques. Un gestionnaire de mots de passe est le meilleur outil pour contourner ce problème. Malheureusement, les gestionnaires de mots de passe requièrent une certaine pratique avant de s’y habituer et l’Expérience Utilisateur (EU) peut être très déroutante pour le personnel non technique.
Si vous êtes dans l’impasse, écrire vos mots de passe physiquement sur un support papier n’est pas la pire des choses à faire en ce moment. Cette méthode peut aller à l’encontre des bonnes pratiques conventionnelles, mais à l’heure actuelle, avec tous les employés en télétravail, les chances que vos mots de passe écrits sur ce support papier ne tombent entre de mauvaises mains sont plutôt faibles.
Essayez simplement de trouver une meilleure solution, et changez les mots de passe, avant que le personnel ne recommence à voyager !
D’autres pistes de réflexion
Au-delà du MFA, il est intéressant de prendre en compte d’autres risques liés à l’accès à distance :
Vulnérabilités des VPN et des passerelles d’accès distant
Corriger une infrastructure critique semble probablement risqué en ce moment. Malheureusement, au cours des derniers mois, de très sérieuses vulnérabilités dans les équipements courants d’accès à distance ont été découvertes.
Ces vulnérabilités sont actuellement activement exploitées par plusieurs groupes cybercriminels. Si vous possédez et utilisez un service vulnérable, vous devez le corriger immédiatement. Ayez simplement une sauvegarde exploitable au cas où l’appareil ne parviendrait pas à installer les correctifs (surtout si vous ne parvenez pas à obtenir un accès physique).
Mises à jour de sécurité des systèmes endpoint
Vérifiez votre infrastructure pour vous assurer que vous recevez toujours des mises à jour de la part de votre fournisseur de sécurité endpoint. Si vous avez une gestion basée dans le Cloud (telle que Sophos Central), vous êtes probablement sécurisé mais si ce n’est pas le cas, il est essentiel que vos clients puissent accéder aux services de mise à jour.
Il vous faut donc vérifier que votre VPN autorise l’accès à vos serveurs de mise à jour (et que vous en avez la capacité). N’oubliez pas de prendre en compte les clients qui ne se connectent pas régulièrement au VPN.
Les attaques de phishing
Les attaques de phishing utilisant le COVID-19 comme appât représentent le risque de cybersécurité le plus visible et immédiat durant la crise actuelle.
Cette tendance n’est pas surprenante car nous avons déjà vu des attaquants utiliser les événements qui font la Une de l’actualité comme appât depuis de nombreuses années. Malheureusement, les risques sont cette fois plus élevés.
Tout d’abord, tout le monde est inquiet et doit gérer un changement sans précédent dans sa vie quotidienne. Les situations de stress élevé font que les gens sont avides d’informations et sont moins susceptibles d’évaluer objectivement les messages qu’ils reçoivent. Deuxièmement, les services IT et les fournisseurs de services nous bombardent tous de messages officiels sur les modifications apportées à leurs services.
En combinant tous ces paramètres, il est irréaliste de s’attendre à ce que les employés identifient et signalent avec précision toutes les attaques. Vous devez partir du principe que certains resteront vigilants tandis que d’autres se feront avoir.
Le simple fait d’accepter cette éventualité vous permet de vous concentrer sur votre propre résistance aux attaques plutôt que d’espérer les éviter. Il existe déjà beaucoup de conseils à ce sujet, je vais donc aborder brièvement les fondamentaux :
Le MFA
La bonne nouvelle est que nous avons déjà couvert la protection la plus importante ! Le vol d’identifiants par phishing, durant lequel les attaquants mettent en place une fausse page de connexion pour inciter les employés à saisir leurs identifiants, est la technique de phishing la plus courante. Le MFA est un excellent moyen de protection (bien que pas toujours parfait) contre ce type de cybertattaque*.
Sensibilisation du personnel
C’est toujours important. En encourageant les rapports de phishing en provenance des employés, vous pourrez avertir les autres et, si vous disposez d’une équipe (ou d’un service) de sécurité, analyser même l’attaque pour identifier des indicateurs ou des compromissions éventuelles à intégrer dans les processus de traque de menaces.
Défense des systèmes endpoint et des emails
Votre logiciel de sécurité peut repérer une attaque de phishing de plusieurs manières. Plus vous lui donnerez de moyens pour le faire, meilleure sera la protection globale :
- Il peut tout bonnement refuser de recevoir l’email car il sait qu’il provient d’un spammeur.
- Il peut analyser l’email et toutes les pièces jointes ainsi que l’URL afin de le bloquer.
- Le filtrage Web peut bloquer les connexions à des sites Web malveillants ou repérer une charge virale malveillante sur le site.
- Le logiciel Endpoint peut détecter les fichiers et les comportements malveillants si toutes les protections précédentes ont échoué et que l’employé a fini par exécuter un élément malveillant sur son système.
Plus ces défenses seront correctement configurées et efficaces, moins il sera possible pour un attaquant de passer au travers de ces différentes couches de sécurité.
Installation des correctifs
Les téléchargements furtifs (drive-by-download) sont moins courants de nos jours, mais représentent toujours un risque réel. L’installation de correctifs au niveau des navigateurs, des clients de messagerie et des applications (comme Microsoft Office par exemple) qui sont régulièrement utilisés pour ouvrir les pièces jointes limitera les attaques vraiment handicapantes qui reposent sur une interaction utilisateur minimale.
Enfin, il existe peu de raisons d’exécuter des plugins de navigateur tels que Flash, Java, etc. de nos jours : désactivez-les si vous le pouvez, cela vous simplifiera la vie plus et sera beaucoup plus sûr que d’essayer de les maintenir à jour.
Conclusion
Les cybercriminels profitent déjà du COVID-19 dans leurs cyberattaques, et l’accès à distance et le phishing sont les deux domaines les plus susceptibles de causer un incident de cybersécurité.
Nous avons couvert un certain nombre de précautions que vous pouvez prendre pour mitiger ce risque. Nous réalisons également que le temps est compté, nous avons donc compilé une liste des sept principales mesures que nous recommandons à toutes les entreprises de prendre.
Elles sont classées par ordre de priorité, commencez donc par la première et ensuite descendez :
- Assurez-vous que tous les services Internet soient protégés avec le MFA (MFA basé sur les SMS est toujours mieux qu’aucun MFA du tout).
- Installez les correctifs au niveau des services d’accès à distance, en particulier les passerelles de services VPN et Terminal.
- Surveillez les rapports de phishing et demandez à votre équipe opérationnelle ou à votre service MTR de traquer les IOC associés.
- Vérifiez que les clients distants reçoivent toujours leurs mises à jour de sécurité de leurs systèmes endpoint.
- Assurez-vous que votre système d’exploitation, navigateur, client de messagerie et logiciel couramment utilisé pour ouvrir les pièces jointes soient configurés pour se mettre à jour automatiquement.
- Désactivez les plugins de navigateur tels que Java, Flash et Acrobat.
- Utilisez la fédération d’identité pour vous assurer que tous les services Cloud soient accessibles avec les identifiants de l’entreprise.
Restez vigilant. Les attaques liées au COVID-19 vont probablement s’intensifier au cours des semaines et des mois à venir.
Les SophosLabs suivent activement les menaces liées au COVID-19 et vous pouvez obtenir les dernières mises à jour sur le blog des SophosLabs Uncut.
* Le MFA peut en réalité offrir une défense de quasi 100% contre le phishing, mais vous devrez déployer et autoriser uniquement des jetons matériels tels que Yubikeys comme deuxième facteur.
Billet inspiré de Protecting your company during COVID-19: guidance for CIOs and CISOs, sur le Blog Sophos.