Les options de configuration sont la boîte de Pandore des hackers ! Tim Bandos, Vice-President, Digital Guardian, décrit les 5 erreurs majeures à éviter...

Le diable est dans les détails. Et donc dans les options de configuration. Pour les hackers, l’environnement idéal pour une attaque est celui qui demande aussi peu d’effort que possible à infiltrer. Ces opportunités s’expliquent par des systèmes peu ou mal configurés. Ils entraînent une vulnérabilité totale de l’environnement et de ses données.

Voici les 5 principales erreurs de configuration qui peuvent entraîner des failles de sécurité, selon Tim Bandos, Vice-President de la cybersécurité chez Digital Guardian.

Tellement basique…

1- Ne pas reconfigurer les identifiants par défaut – L’une des erreurs les plus courantes, et pourtant les plus évidentes, consiste à ne pas reconfigurer les noms d’utilisateur et les mots de passe par défaut des bases de données, des installations et des équipements. C’est un problème tellement basique qu’il est comparable à des clés laissées sur une porte verrouillée. Et quand cela arrive, les informations d’identification sont les plus faciles à exploiter.

Les scanners de vérification des mots de passe peuvent en effet permettre aux hackers d’accéder aux équipements clés du réseau, comme les pare-feu et les routeurs. Même les systèmes d’exploitation peuvent se trouver exposés à cause d’informations d’identification par défaut. Les attaques de force brute scriptées peuvent également fournir accès aux divers équipements en ciblant des noms d’utilisateur et des mots de passe par défaut, ou des options basiques comme «12345», «azerty» ou «password».

Le processus est également automatisé jusqu’à un certain point. Les chercheurs ont récemment découvert un scanner web en Python appelé Xwo, en mesure de balayer facilement le web à la recherche de services web exposés et de mots de passe par défaut. Après avoir collecté les informations d’identification par défaut pour MySQL, MongoDB, Postgre SAL et Tomcat, le scanner transfère les résultats à un serveur de commande et contrôle pour poursuivre son action.

Attendre l’accident… inévitable 

2- Retarder la mise à jour des logiciels – Les prestataires technologiques et les spécialistes de la sécurité répètent ce message essentiel à la sécurité depuis des années. Pourquoi? Parce que c’est efficace. Des systèmes d’exploitation mis à jour à l’aide des derniers correctifs peuvent avoir un impact crucial sur la prévention des failles.
Certes, il peut être difficile de suivre le rythme des correctifs. Ces éléments peuvent changer tous les jours, et le défi s’étoffe à mesure que les environnements se complexifient. Mais si les administrateurs n’assurent pas une maintenance correcte sur le plan des correctifs, ils ne font qu’attendre un accident inévitable.

Et les attaquants continueront à exploiter les vieux bugs tant qu’ils seront efficaces. Bien que la détection et la prévention des vulnérabilités de type «Zéro Day» suscitent une attention justifiée, les vulnérabilités les plus couramment exploitées remontent, par comparaison, à l’âge de pierre du numérique.

Eviter la réutilisation des mots de passe

3- Appliquer les mêmes mots de passe sur différents périphériques – Bien que des mots de passe forts et complexes constituent l’un des piliers de toute stratégie de sécurité basique, même lorsqu’ils sont mis en place, leur utilisation est discutable. Les environnements utilisent souvent le même compte utilisateur et le même mot de passe sur tous les périphériques d’un parc de terminaux.

Certes, cela facilite la gestion. En revanche, c’est un inconvénient majeur… bien pratique pour les hackers. Ils peuvent  compromettre toutes les machines à partir au départ d’une seule faille. Et, à partir de là, utiliser des programmes d’extraction des informations d’identification pour révéler les mots de passe, voire leurs hachages. C’est alors que les vrais problèmes commencent. La réutilisation des mots de passe doit être évitée à tout prix. De même, le comptes non indispensables doivent être désactivés avant de pouvoir fournir un accès.

Une combinaison de mots de passe forts et complexes

4- La mauvaise configuration des interfaces à distance  – Tout appareil en contact avec l’extérieur et connecté à Internet doit faire l’objet d’une protection particulièrement soignée. Des services tels que le protocole propriétaire RDP (Remote Desktop Protocol) de Microsoft peuvent fournir aux administrateurs une interface permettant de contrôler les ordinateurs à distance. Mais leur mauvaise configuration offre aux cybercriminels une possibilité d’accéder aux systèmes.

Par exemple, des ransomwares tels que CrySiS et SamSam ont déjà ciblé les entreprises via des ports RDP ouverts. Ils utilisent des attaques par force brute et par dictionnaire. Aussi, les administrateurs doivent utiliser une combinaison de mots de passe forts et complexes, de pare-feu et de listes de contrôle d’acc.

Le travail du criminel facilité

5- Désactiver la journalisation ou la cape d’invisibilité des hackers – Bien que la désactivation de la journalisation ne permet pas nécessairement à un attaquant d’accéder à un système, cela lui permet d’agir en restant inaperçu sur la machine. Lorsque la journalisation est désactivée, les hackers peuvent se déplacer latéralement sur un réseau à la recherche de données ou d’actifs à exploiter… sans laisser de trace.

Cela complique énormément le travail des analystes judiciaires et des intervenants en cas d’incident lorsqu’ils doivent reconstituer ce qui s’est produit lors d’un incident ou d’une intrusion. En revanche, il peut être très bénéfique d’activer la journalisation et d’en envoyer les données vers un emplacement centralisé, par exemple une plateforme de gestion des informations et des événements de sécurité (SIEM). Ces données fourniront les indices nécessaires aux analystes judiciaires lors d’une enquête pour reproduire l’attaque et comprendre l’ampleur de l’intrusion.

Tout périphérique et toute plateforme laissés dans un état par défaut ou mal configuré facilite le travail du hacker. Bien que ces vulnérabilités n’entraînent pas nécessairement de problèmes tout de suite, il les découvrira probablement à un moment donné; il les exploitera pour obtenir un accès non autorisé. La mise en place de configurations de sécurité appropriées pour protéger les applications, les serveurs et les bases de données peut aider les entreprises à préserver leurs données et leur éviter de devenir une cible facile.