Quelles sont les vulnérabilités les plus exploitées par les cybercriminels pour accéder aux réseaux internes ?
Cette année, les attaques par rançonlogiciels ont pris une ampleur dramatique. Pour rappel, il s’agit de programmes malveillants dont le but est d’obtenir de la victime le paiement d’une rançon, payable typiquement en cryptomonnaie (et donc impossible à annuler une fois payée). La menace est si répandue que des entreprises stockent même de la cryptomonnaie en prévision d’une attaque. 
 
Entre janvier et août 2020, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a recensé plus de 104 attaques informatiques de ce type contre des entreprises en France. Les petites entreprises (PMEs/ETIs) ne sont malheureusement pas en reste. Le coût additionné des attaques par cryptovirus touchant les PME françaises s’élève à plus de 700 millions d’euros par an selon l’étude réalisée par l’institut de recherche technologique IRT-Systemx.
Une grande majorité des attaques sont opportunistes et profitent du faible niveau de maturité de sécurité des entreprises. L’objectif des attaquants est toujours le même : s’introduire dans le réseau interne puis compromettre une ou plusieurs machines du réseau ciblé. 
 
Voyons quels sont les vecteurs d’attaque les plus utilisés par les cybercriminels pour obtenir un accès au réseau interne.
Les accès RDP
C’est la porte d’entrée numéro un des attaquants afin de s’introduire dans les petites et moyennes entreprises. Scannant Internet ou utilisant des moteurs de recherche spécialisés, une fois un accès RDP détecté, celui-ci sera exploité soit par l’exploitation d’une vulnérabilité (par exemple BlueKeep), soit par la recherche d’un identifiant valide. 
Pour obtenir un identifiant valide, les attaquants testent de multiples combinaisons. Il existe malheureusement de nombreux comptes par défaut ou avec un mot de passe faible et sinon ils peuvent également les acheter !  
 
Il existe aussi des listes complètes d’identifiants valides (trouvées par des attaques automatisées réalisées par des robots) qui sont aussi échangées sur les forums du darkweb. 
 
Ces listes sont utilisées par les groupes de cybercriminels pour obtenir un accès aux réseaux internes des organisations.
un autre axe d’attaque a été beaucoup exploité depuis le début de l’année 2020 : les accès VPN. Avec la crise sanitaire, de nombreuses entreprises ont dû déployer en urgence des accès à distance et malheureusement plusieurs vulnérabilités critiques ont été découvertes auprès des éditeurs de solutions VPN (dont Citrix, F5, Pulse Secure, Palo Alto Networks, Fortinet, Secureworks). 
 
Au mois de juillet, un pirate a d’ailleurs diffusé les identifiants VPN (avec le login et mot de passe en clair) de centaines entreprises. 

Les cybercriminels sont à l’affût de n’importe quelle vulnérabilité affectant les VPNs afin d’exploiter celles-ci rapidement.
Les courriels malveillants
Concernant les vulnérabilités liées aux courriels malveillants, nous vous invitons à lire notre article spécialement dédié sur ce thème : Comment éviter les cyber attaques qui utilisent la messagerie ?
Quelques astuces utiles pour vous protéger !
Règles générales à appliquer pour sécuriser les accès RDP :
Les supprimer (si ceux-ci ne sont pas utilisés), 

Les filtrer (liste blanche d’adresses IP autorisées à s’y connecter), 

Renforcer l’authentification (mise en place d’une second facteur d’authentification et d’un mot de passe fort), 

Toujours garder à jour la machine hébergeant le service RDP, 

Modifier le port par défaut pour accéder au service RDP (par défaut, il s’agit du port 3389). 

Attention car des vulnérabilités sur ce type de composant sont régulièrement découvertes (ex : vulnérabilité BlueKeep). 
Comment faire les premiers contrôles par vous-même ?
Nous vous invitons à consulter notre page Utiles pour entreprendre les premières démarches de sécurité.