Accueil » News » La surface d’attaque Internet des entreprises de plus en plus étroite

La surface d’attaque Internet des entreprises de plus en plus étroite

  • par

06/12/2020, par Lucian Constantin, CSO (adapté par Jean Elyan), Scurit, 1093 mots

Les pirates profitent de la crise de Covid-19 pour exploiter les vulnérabilités nouvelles et anciennes sur une grande variété d’actifs numériques, qui sont en constante augmentation.

La surface croissante des attaques Internet des entreprises

Les conditions de travail imposées par la pandémie de coronavirus ces derniers mois ont augmenté la surface d’attaque des grandes entreprises. Cette menace a augmenté dans de nombreux domaines. C’est particulièrement le cas pour les serveurs directement accessibles depuis Internet, les noms de domaine, les sites Web, les formulaires Web, les certificats, les applications et composants tiers et les applications mobiles. Si certaines de ces conditions ne persistent pas, de nombreux changements peuvent avoir lieu. Dans tous les cas, cette situation démontre fortement que les équipes informatiques et de sécurité existantes peuvent gérer et sécuriser les zones sensibles. La société de sécurité RiskIQ, spécialisée dans la découverte et la protection des actifs numériques, a récemment utilisé les données collectées via sa technologie de numérisation Internet pour évaluer sa surface d’attaque mondiale actuelle. En deux semaines, la société a annoncé l’ajout de 2 959 498 nouveaux noms de domaine et 772 786 941 nouveaux hôtes uniques sur le Web.

Près de la moitié des 10000 meilleurs sites Web d’Alexa fonctionnaient sur une plateforme de gestion de contenu bien connue. Cependant, ces plateformes sont souvent ciblées par les pirates, précisément en raison de leur popularité. La société de sécurité a également identifié 13222 plugins WordPress qui fonctionnent sur ces sites Web. Ces composants externes sont également une source courante de vulnérabilités et de violations. En enquêtant sur les vulnérabilités élevées et critiques connues, RiskIQ a constaté qu’au moins un composant potentiellement vulnérable s’exécutait sur 2480 des 10000 principaux domaines Alexa. Au total, la société a détecté 8 121 composants Web potentiellement vulnérables. Alors que certaines de ces agences recevront des correctifs et d’autres bénéficieront de contrôles d’atténuation pour empêcher l’exploitation des vulnérabilités et vulnérabilités connues, ce ne sera pas le cas pour toutes les agences, a averti RiskIQ dans son rapport.

La surface d’attaque Internet des grandes entreprises

Une enquête sur les actifs Internet des entreprises de l’indice boursier britannique FTSE 30 a permis à la société de sécurité d’identifier 1 967 noms de domaine, 5 422 sites Web en direct, 8 427 hôtes, 777 049 pages Web, 3 609 certificats, 76 324 formulaires, 2 841 sites WordPress et Drupal, 114 504 IP. adresses, 45 serveurs de messagerie, 7 790 applications hôtes dans le cloud d’Amazon et Azure, 26 instances Citrix Netscaler potentiellement vulnérables, 8 instances Palo Alto GlobalProtect potentiellement vulnérables, 9 instances Pulse Connect potentiellement vulnérables, 25 instances Fortinet potentiellement vulnérables et 1 464 RAS organisations.

En moyenne, chaque entreprise a utilisé 324 certificats expirés et 25 certificats utilisant le hachage SHA-1, tandis que obsolètes et bloqués, 743 sites de test potentiels exposés à Internet pourraient présenter un risque pour les données, 385 formulaires non sécurisés, dont 28 utilisés pour l’authentification, 46 frameworks web affectés par des vulnérabilités connues, 80 instances PHP 5.x ayant atteint leur durée de vie supérieure à un an, et 664 versions de serveurs web affectés par des vulnérabilités connues. Alors que la frontière entre ce qui se trouve à l’intérieur du pare-feu et au-delà est de moins en moins perceptible, nous devons aujourd’hui nous rappeler que la surface d’attaque d’une entreprise – tout ce dont elle a besoin est de se concentrer sur la défense – englobe désormais le réseau d’entreprise et s’étend jusqu’aux limites Internet, et même jusqu’au domicile des travailleurs, a déclaré RiskIQ dans son rapport. La profondeur et la taille de la zone défendue peuvent décourager les équipes de sécurité. Cependant, en regardant Internet du point de vue de l’attaquant – une gamme d’actifs numériques qui pourraient être utilisés dans de futures campagnes – on peut mettre la taille de la surface d’attaque de l’entreprise en perspective.

La surface d’attaque indirecte

Il existe plusieurs façons d’exploiter les vulnérabilités des ressources Web. Celles-ci vont du vol d’identifiants aux attaques de l’homme du milieu et au piratage des bases de données, leur donnant un contrôle total sur les serveurs et leur utilisation pour accéder à d’autres zones d’infrastructure non publiques. Ces dernières années, l’injection de code JavaScript malveillant dans des sites Web a souvent été utilisée par des pirates pour effectuer leur détournement de fonds. Ces attaques sont conçues pour exploiter les navigateurs des visiteurs du site pour extraire la crypto-monnaie et voler des informations de carte de paiement dans les formulaires de paiement – une pratique connue sous le nom de skimming Web ou Magecart, nommé l’un des groupes les plus prolifiques de cette activité. En mars, lorsque les achats en ligne ont augmenté de manière significative à la suite de la pandémie de Covid-19, RiskIQ a vu une augmentation de 30% des attaques par écrémage Web Magecart. Jusqu’à présent, la société de sécurité a détecté 2 552 attaques Magecart cette année, soit 425 par mois. Cette année également, RiskIQ a trouvé du code JavaScript de minage cryptographique sur 963 sites Web.

En plus de protéger leurs actifs numériques sur Internet, les entreprises doivent également gérer les menaces pesant sur leurs clients et leurs employés, d’autant plus que nombre de leurs employés travaillent désormais à distance, souvent depuis leur PC, sur des réseaux domestiques non sécurisés. Cela les rend plus vulnérables aux campagnes de phishing et aux autres menaces en ligne, car ces machines se trouvent en dehors des pare-feu d’entreprise et des passerelles de sécurité Web. Au premier trimestre 2020, RiskIQ a identifié 21 496 domaines d’hameçonnage se présentant comme 478 marques uniques, dont un tiers dans les services financiers. En outre, la société de sécurité a identifié 720 188 cas d’infraction de domaine impliquant 170 marques uniques.

Attention aux applications

Les applications mobiles malveillantes qui volent des données présentent également un risque pour les employés, qui y sont souvent conduits via des messages de phishing provenant de plates-formes de médias sociaux ou d’annonces malveillantes souvent affichées par d’autres applications mobiles. Selon RiskIQ, environ 170 796 applications mobiles ont été trouvées au cours de l’année écoulée, malgré leur inscription sur liste noire, dans 120 magasins d’applications mobiles et sur Internet. Plus de 25 000 d’entre eux étaient disponibles sur le Google Play Store. Dans un monde d’engagement numérique, les utilisateurs sont en dehors du périmètre de sécurité classique et de plus en plus d’actifs numériques sont exposés à des acteurs malveillants, a déclaré RiskIQ dans son rapport. Aujourd’hui, les entreprises doivent mettre en œuvre des stratégies de sécurité qui prennent en compte ce changement. Les attaquants ont maintenant beaucoup plus de points d’accès à explorer ou à exploiter, et ces points d’accès sont à peine surveillés du tout.

(Crédit photo Gerd Altmann / Pixabay)