De nouvelles recherches de l’entreprise de cybersécurité Positive Technologies ont mis en lumière la facilité avec laquelle les pirates informatiques peuvent pénétrer dans les réseaux locaux des sociétés en exploitant certaines vulnérabilités connues des logiciels.
Pour rédiger leur nouveau rapport "Penetration Testing of Corporate Information Systems", les experts de la société ont réalisé des tests d’intrusion externe sur des organisations dans les secteurs de la finance, de l'informatique, de l'énergie, du gouvernement, de l'hôtellerie, du divertissement et des télécommunications.
Durant ses tests, Positive Technologies a pu accéder au réseau local de 93 % des organisations testées, le nombre maximal de voies de pénétration détectées dans une seule et même entreprise étant de 13. En outre, dans une entreprise testée sur six, elle a également trouvé des traces d'attaques précédentes telles que des web shells sur le périmètre réseau, des liens malveillants sur les sites officiels ou encore des identifiants valides dans des bases de données publiques, ce qui indiquerait que l'infrastructure a même déjà été infiltrée par des pirates.
- Comment sécuriser votre imprimante et éviter les failles de sécurité ?
- De nouvelles failles de sécurité ont été repérées sur certains routeurs Wi-Fi
- Vos ports USB peuvent présenter de sérieuses failles de sécurité - en particulier sous Linux
Les experts ont également constaté que la pénétration d'un réseau local prenait généralement entre 30 minutes et 10 jours. Cependant, dans la plupart des cas, la complexité de l'attaque était faible, ce qui signifie que l'attaque était tout à fait à la portée d'un pirate informatique ne possédant que des compétences de base.
Test d’intrusion
Les recherches de Positive Technologies ont également révélé que les attaques par force brute étaient un moyen efficace d’obtenir des identifiants lors du lancement d'attaques sur des applications web. Ce fut le cas pour 68 % des entreprises testées.
Si un pirate parvient à forcer le mot de passe d'au moins un compte du domaine, il peut découvrir les identifiants des autres utilisateurs en téléchargeant le carnet d'adresses hors ligne qui contient toutes les adresses électroniques des employés d'une entreprise. En fait, dans l'une des organisations testées, les experts de l'entreprise ont pu obtenir plus de 9 000 adresses électroniques en utilisant cette méthode.
Ekaterina Kilyusheva, responsable de la recherche et de l'analyse chez Positive Technologies, a fourni des informations complémentaires sur la manière dont les entreprises pouvaient elles aussi effectuer leurs propres tests d’intrusion dans un communiqué de presse :
"Les applications web sont l'élément le plus vulnérable du périmètre réseau. Dans 77 % des cas, les voies de pénétration impliquent une protection insuffisante des applications web. Pour assurer leur protection, les entreprises doivent procéder régulièrement à des évaluations de sécurité de leurs applications web. Les tests d’intrusion sont effectués comme une analyse de type "boîte noire" sans accès au code source, ce qui signifie que les entreprises peuvent laisser des angles morts sur certains problèmes qui pourraient ne pas être détectés via cette méthode. C'est pourquoi les entreprises doivent utiliser une méthode de test plus approfondie comme l’analyse du code source (boîte blanche). Pour une sécurité optimale, nous recommandons l'utilisation d'un pare-feu pour les applications web afin d’empêcher l'exploitation des vulnérabilités, même celles qui n'ont pas encore été détectées".
