Partagez cet article
À l’ère du numérique, la cybercriminalité est en pleine croissance, et le nombre de brèches affectant les entreprises et les particuliers ne fait qu’augmenter. En 2021, nous avons dépassé le nombre de brèches observées en 2020. Si nous n’avons toutefois pas atteint le record vertigineux de 2017 avec ses 1 529 violations de données, nous n’avons pas non plus de quoi nous réjouir.
Plus les entreprises et les organisations dépendent de la technologie, plus elles deviennent vulnérables aux cyberattaques. Les pirates informatiques trouvent des moyens nouveaux et innovants d’accéder aux données, et il est plus important que jamais pour les entreprises de mettre en place de solides mesures de cybersécurité.
Facteurs de risque pour la sécurité en 2021
Les facteurs de risque semblent avoir changé cette année, les rançongiciels, les failles de tiers, les attaques par hameçonnage et les failles de sécurité non détectées ayant supplanté l’erreur humaine comme principale cause des violations de données ; toutefois, les utilisateurs finaux involontaires jouent un rôle énorme dans ce type d’attaques, même si le vecteur d’attaque lui-même ne relève pas explicitement de l’« erreur humaine ».
Rançongiciel
Les rançongiciels sont des logiciels malveillants qui bloquent l’accès aux appareils ou aux données jusqu’à ce qu’une demande spécifique (souvent une rançon financière) soit payée. Ce type d’attaque implique que des pirates chiffrent ou verrouillent des fichiers sur le système d’une victime jusqu’à ce que les pirates obtiennent ce qu’ils veulent. Ces types d’attaques ont augmenté au cours des dernières années, et l’année 2021 n’a pas fait exception. Les rançongiciels furent d’ailleurs responsables de la plupart des violations de données en 2021.
Vulnérabilités des tierces parties
Les fournisseurs tiers constituent souvent un maillon faible en ce qui concerne les défenses de cybersécurité d’une organisation. Ils n’ont peut-être pas mis en place des mesures et des pratiques de sécurité adéquates et, par conséquent, exposent les données critiques d’une organisation.
Les failles de sécurité non détectées
Sans mesures de sécurité adéquates sur les terminaux – tels que les ordinateurs portables, les appareils mobiles, etc. – une cyberattaque importante peut être inévitable. Des points de terminaison non-sécurisés pourraient laisser le champ libre aux pirates et leur permettre de lancer des campagnes impliquant des rançongiciels ou le vol d’informations sur les clients.
Dans cet article, nous examinerons les 5 principales brèches de sécurité de 2021 et détaillerons les principaux points à retenir pour les professionnels de l’informatique.
1. Mars – Le logiciel Microsoft est à l’origine d’une violation de données
Le groupe de pirates chinois connu sous le nom d’Hafnium a attaqué Microsoft en mars 2021. L’attaque a touché plus de 30 000 organisations à travers les États-Unis, y compris des gouvernements locaux, des agences gouvernementales et des entreprises.
Bien que l’attaque n’ait pas été dirigée spécifiquement contre Microsoft, le groupe « cible principalement des entités aux États-Unis dans le but d’exfiltrer des informations provenant d’un certain nombre de secteurs industriels », selon la notification que Microsoft a fait pervenir à ses clients.
Que s’est-il passé ?
L’attaque a commencé lorsque les pirates ont utilisé des mots de passe volés combinés à des vulnérabilités n’ayant jamais été détectées sur des serveurs exécutant le logiciel Microsoft Exchange. Cette vulnérabilité permettait à tout utilisateur disposant d’un accès physique ou virtuel au moment de la connexion d’obtenir des droits d’administration complets. Une fois que cela s’est produit, les attaquants se sont connectés et ont installé des logiciels malveillants qui ont créé des proxys de commande et de contrôle pour leur compte.
Résolution du problème
Pour se protéger contre ce type d’attaque, Microsoft a expliqué à ses clients qu’ils devaient installer sur le champ tous les correctifs logiciels sur leurs systèmes. Dans ce cas-ci, les vulnérabilités ont été découvertes et des correctifs ont été publiés par Microsoft en 2020, mais de nombreux clients n’avaient pas mis à jour leurs systèmes.
2. Avril – Violation de données sur Facebook
Une violation des données Facebook a exposé les informations personnelles de plus de 533 millions de personnes à des pirates informatiques. Il s’agissait notamment du nom de l’utilisateur, de sa date de naissance, de sa ville actuelle et des publications faites sur son mur. La vulnérabilité a été découverte en 2021 par un groupe de sécurité « chapeau blanc » et existe depuis 2019.
Que s’est-il passé ?
La violation des données Facebook en 2021 est encore fraîche dans de nombreuses mémoires. Elle a été mise en lumière par la société de cybersécurité Symantec. La base de données exposée contenait les informations personnelles de millions de personnes, notamment des numéros de téléphone, des identifiants Facebook, des noms, des anniversaires et même certaines adresses électroniques.
Cette violation particulière s’est produite lorsque des cybercriminels ont extrait des données des serveurs de Facebook en utilisant une mauvaise configuration de leur importateur de contacts. Ils ont ainsi pu accéder aux informations personnelles de millions de personnes.
Bien que l’on ne sache pas exactement ce que les criminels prévoient de faire de toutes ces informations, elles pourraient être utilisées dans l’avenir pour des attaques d’ingénierie sociale à grande échelle.
Résolution du problème
Facebook a identifié qu’il s’agissait d’une attaque externe, mais la cause profonde de cette violation ou d’autres semblables provient d’un scénario commun : des erreurs de configuration. Ce qui est dangereux dans ces brèches, c’est la rapidité avec laquelle elles peuvent s’intensifier.
Facebook n’est pas le seul à connaître des problèmes de sécurité dus à une mauvaise configuration. De nombreuses entreprises de sécurité signalent une augmentation inquiétante de ce type de vulnérabilité, en particulier avec la prédominance de l’informatique en cloud.
3. Mai – Colonial Pipeline
En mai, la société Colonial Pipeline, basée aux États-Unis, a été victime d’une attaque par rançongiciel. L’entreprise exploite un grand pipeline qui transporte de l’essence et d’autres produits pétroliers du Texas au New Jersey et dans tout le Midwest.
Que s’est-il passé ?
Des attaquants ont pénétré dans l’entreprise par le biais d’un compte VPN avec un seul mot de passe compromis et ont accédé à son réseau le 29 avril. Bien que les systèmes technologiques opérationnels n’aient pas été touchés, cet incident a amené l’entreprise à interrompre le débit de carburant dans sa conduite principale par mesure de précaution (et pour colmater les fuites).
Cela a entraîné des pénuries de carburant dans les régions du Sud-Est, du Midwest et du Nord-Est du pays et une hausse des prix du carburant, les conducteurs achetant en panique à la pompe.
Les attaquants ont également menacé de lancer d’autres cyberattaques si Colonial ne leur versait pas 5 millions de dollars en bitcoins, un montant équivalent à l’époque à plus de trois fois leurs bénéfices annuels.
Ce qui rend cette attaque si inquiétante, c’est la facilité avec laquelle les pirates ont pu accéder au système – il a été révélé depuis que l’entreprise n’utilisait pas l’authentification multifactorielle au moment de l’attaque.
Résolution du problème
Selon la société, le redémarrage des opérations du pipeline a repris le 12 mai après un arrêt de six jours, tous les systèmes et processus étant revenus à la normale le 15 mai.
Le FBI a commencé son enquête dans les trois jours suivant l’apparition des premiers rapports sur les médias sociaux. Il est possible qu’un interne ait été responsable de l’affaiblissement des contrôles de sécurité en partageant des identifiants VPN ; cependant, la manière exacte dont les attaquants ont eu accès à ces identifiants reste incertaine.
Cette attaque illustre parfaitement pourquoi il est si important pour les entreprises, en particulier celles qui traitent des données sensibles comme les pipelines, de mettre en place de solides mesures de cybersécurité. L’authentification multifactorielle (MFA) est l’une de ces mesures, et de plus en plus d’entreprises commencent à l’adopter.
Colonial Pipeline a choisi de payer la demande de rançon de 4,4 millions de dollars, mais près de 50 % des fonds avaient été récupérés en juin.
4. Mai – Attaque par rançongiciel de JBS
En mai, JBS, le troisième plus grand transformateur de viande au monde, a été frappé par une attaque de rançongiciel. L’un des principaux effets de l’attaque a été l’interruption des activités de centaines d’usines de transformation du bœuf et de la volaille sur quatre continents. Après avoir réalisé qu’elle risquait de perdre l’intégralité de sa base de données si elle ne payait pas la rançon de 11 millions de dollars, JBS a effectué un paiement en bitcoins aux cybercriminels.
JBS a découvert l’incursion lorsque l’équipe informatique a constaté des irrégularités dans certains de ses serveurs internes. Après avoir contacté le FBI et des experts en sécurité, ils ont commencé à fermer les systèmes pour ralentir l’impact de l’attaque. Cette tactique s’est avérée infructueuse puisqu’il a fallu deux semaines pour reprendre le contrôle complet de leurs systèmes à partir des sauvegardes.
Que s’est-il passé ?
Comment les attaquants ont-ils eu accès aux serveurs de JBS ? Selon une enquête interne, le logiciel malveillant a été injecté dans l’un des serveurs de JBS par le biais de courriels d’hameçonnage. Ces messages contenaient des virus de Troie pouvant exploiter les faiblesses du système informatique et obtenir un accès complet après avoir incité les employés de l’entreprise à les ouvrir.
Une fois que les attaquants avaient pris pied, ils pouvaient se déplacer latéralement et prendre le contrôle d’autres systèmes, y compris les serveurs de sauvegarde. Il était donc difficile pour JBS de reprendre le contrôle de ses réseaux, car les attaquants avaient un accès total à toutes les données et à tous les systèmes.
Résolution du problème
Contrairement à Colonial Pipeline, JBS a été franc à propos de l’attaque. Des communiqués de presse ont été diffusés régulièrement pour tenir les consommateurs et le public informés de l’évolution de l’incident. L’impact global a été limité en raison de la rapidité de la réaction et de l’absence de panique généralisée.
Le fait que l’USDA ait fait appel à d’autres producteurs de viande pour garantir la continuité de l’approvisionnement témoigne d’un bon jugement. Comme de plus en plus d’entreprises américaines sont touchées par des attaques cyberterroristes, le besoin d’assistance aux réseaux industriels va sans aucun doute augmenter.
5. Juillet – Attaque par rançongiciel de Kaseya
Au cours du week-end du 4 juillet, des assaillants inconnus ont infiltré le réseau de Kaseya et ont déployé un rançongiciel sur au moins trois fournisseurs de services gérés (MSP) – avec une possibilité que l’attaque en ait touché beaucoup d’autres. Le rançongiciel a chiffré les fichiers des systèmes touchés, empêchant les utilisateurs d’y accéder.
Que s’est-il passé ?
Le motif de l’attaque est encore inconnu, mais on suppose que les attaquants ont exploité une vulnérabilité dans le logiciel VSA de Kaseya pour accéder aux réseaux des MSP. Cela aurait pu permettre aux attaquants d’accéder à toutes les données et à tous les systèmes des clients des MSP.
En compromettant un MSP, les attaquants peuvent potentiellement avoir accès à tous les clients de cette organisation. Dans ce cas-ci, on pense que la violation de Kaseya a eu un impact sur les clients basés sur le cloud et sur site. Bien que Kaseya indique que moins de 0,1 % de ses clients aient été touchés, l’impact sur ces quelque 1 500 clients aurait pu être très grave.
Résolution du problème
Les VSA sont conçus pour être simples à utiliser pour les utilisateurs, mais cela peut avoir un coût en termes de sécurité. Un utilisateur peut ne pas comprendre comment sécuriser au mieux son VSA ou ignorer qu’il doit prendre des précautions particulières si son VSA est connecté directement à l’infrastructure réseau d’une organisation.
Suite à cet incident, Kaseya a informé tous ses clients du problème découvert par le biais de plusieurs canaux différents. En outre, la société a mis ses centres de données hors ligne pendant qu’elle poursuivait son enquête. Au cours des jours suivants, ils ont pu déterminer l’étendue de l’attaque et proposer un correctif pour assurer une meilleure sécurité de leurs environnements SaaS.
Il s’agit d’une attaque très grave de la chaîne d’approvisionnement qui a provoqué une onde de choc dans la communauté MSP et informatique, d’autant plus que les modèles SaaS et basés sur le cloud sont devenus des normes commerciales.
En prime – Activité d’exploitation de Log4Shell dans le monde entier
Fin novembre, une vulnérabilité critique affectant la populaire bibliothèque de journalisation Java Log4j a été divulguée. Cette vulnérabilité, documentée ici, est une vulnérabilité d’exécution de code à distance qui peut donner à un attaquant le contrôle total d’un système. Peu de temps après la divulgation de la vulnérabilité, un flot massif de tentatives d’analyse et d’exploitation a été effectué sur Internet par des acteurs malveillants du monde entier.
Que s’est-il passé ?
Souvent, lorsque les pirates en chapeau blanc découvrent des vulnérabilités dans la nature, ils travaillent avec le fabricant de l’application ou du service en question afin de développer un correctif pour le problème avant qu’il ne soit divulgué publiquement. Dans ce cas, Log4j étant un projet open source, le processus d’identification du CVE et de développement du correctif a reçu une couverture publique plus grande qu’à l’habitude. Bien que des tentatives d’exploitation aient été enregistrées dès le 1er décembre, l’activité s’est accélérée lorsqu’une analyse plus approfondie du problème a été publiée.
En résumé, la vulnérabilité Log4Shell affecte la fonctionnalité qui analyse et enregistre les données contrôlées par l’utilisateur. Les attaquants peuvent soumettre une chaîne spécialement formatée qui, lorsqu’elle est consommée par une instance vulnérable de Log4j, la force à se connecter à un serveur LDAP malveillant qui enverra ensuite une charge utile malveillante au serveur de la victime.
Contrairement à bon nombre des principales brèches mentionnées ci-dessus, qui ne visaient qu’une seule entité, cette vulnérabilité fait partie d’une bibliothèque extrêmement populaire et largement utilisée, ce qui rend sa présence (et son potentiel de destruction) omniprésente. D’une part, cela signifie que toutes les organisations qui l’utilisent pour surveiller leur infrastructure à distance sont exposées à un risque, ce qui rend les pertes liées à cet exploit inestimables.
D’un autre côté, la grande visibilité de cet exploit, et les dommages qu’il peut causer, ont incité les organisations du monde entier à agir rapidement pour résoudre cette vulnérabilité. Comme il s’agit d’une affaire en cours, l’impact réel ne sera pas connu avant un certain temps.
Résolution du problème
Une ressource pratique pour comprendre vos options de remédiation a été publiée par LunaSec, qui identifie plusieurs voies pour aider à résoudre ce problème. La mesure la plus simple et la plus efficace consiste à mettre à niveau votre Log4j vers la version 2.16+. Cependant, cela n’est pas toujours possible pour les organisations (que ce soit pour une mise à niveau rapide ou pas du tout), donc d’autres mesures peuvent être prises pour atténuer le potentiel de violation.
Meilleures pratiques pour lutter contre les failles de sécurité
Malheureusement, il n’existe pas d’approche universelle pour empêcher les failles de sécurité ou même pour les gérer lorsqu’elles se produisent. Cependant, il existe quelques bonnes pratiques à prendre en compte pour minimiser l’exposition aux pirates informatiques.
Chiffrez et sauvegardez régulièrement les données
La première ligne de défense est le chiffrement, qui permet de brouiller les informations sensibles et de les rendre inutilisables en cas de vol. Évitez d’envoyer des mots de passe par courrier électronique ou par SMS. Si le pirate ne peut pas déchiffrer les données, elles sont inutiles. Cela permet de s’assurer que les accès non autorisés sont déjoués.
La ligne de défense suivante consiste à mettre en place de bonnes sauvegardes. Idéalement, vous devriez avoir des sauvegardes régulières stockées hors ligne pour les protéger davantage des pirates. Ayez également plus d’une copie de sauvegarde. Si quelque chose arrive au fichier original sur votre ordinateur ou votre serveur, vous aurez toujours une autre copie qui pourra être restaurée rapidement.
Appliquez l’authentification multifactorielle
L’authentification multifactorielle (MFA, ou multi-factor authentication) devrait être exigée dans la mesure du possible. La MFA fonctionne en exigeant de l’utilisateur qu’il fournisse au moins deux méthodes d’identification, comme quelque chose qu’il connait (généralement un mot de passe ou un code NIP) et quelque chose qu’il a (un autre facteur de vérification), offrant ainsi une sécurité nettement supérieure à celle des mots de passe uniques.
Maintenez les logiciels et les systèmes à jour
L’application de correctifs et la mise à jour des logiciels permettent de fermer les portes d’entrée aux pirates les empêchant d’entrer dans votre système ce qui réduit les risques d’attaque de type « jour zéro ». Pendant que vous y êtes, automatisez et planifiez l’application des correctifs et des mises à jour afin que les pirates n’aient pas l’occasion d’exploiter votre système lorsque des vulnérabilités sont identifiées.
Favorisez la sensibilisation des utilisateurs finaux
Votre équipe doit être consciente des risques et de l’importance de la cybersécurité pour assurer la sécurité de votre entreprise. Elle doit également être consciente des différentes façons dont les pirates peuvent tenter d’accéder à vos systèmes, afin d’être à l’affût de toute activité suspecte, notamment l’hameçonnage. Vous pouvez organiser des séances de formation ou envoyer des courriels périodiques pour faire le point sur les dernières menaces.
Mettez en œuvre une architecture de Zero Trust
Dans l’avenir vers lequel nous nous dirigeons rapidement, le concept « ne faites confiance à rien, vérifier tout » sera vital pour empêcher les cyberattaques de se propager rapidement dans une organisation. Une stratégie de sécurité de type « Zero Trust» part du principe que tout est une menace potentielle et que, par conséquent, tout doit être vérifié de manière exhaustive. Les réseaux informatiques décentralisés d’aujourd’hui, la généralisation du travail à distance et l’adoption de la politique BYOD (bring your own device) sont autant d’éléments qui montrent que l’architecture de Zero Trust est la voie à suivre pour sécuriser efficacement les ressources de l’entreprise.
Comment la plateforme d’annuaire JumpCloud peut nous aider à nous protéger contre les violations de données
Les entreprises de toutes tailles doivent rester vigilantes afin de se protéger contre les violations de données. La mise en œuvre de mesures de sécurité appropriées, telles que la formation des employés, des configurations et des politiques de sécurité actualisées, ainsi que des solutions technologiques efficaces, peut contribuer à réduire le risque de compromission.
La plateforme d’annuaire JumpCloud est l’une de ces solutions qui permettent aux administrateurs informatiques de renforcer simplement et efficacement leur dispositif de sécurité. Grâce à notre plateforme d’annuaire cloud, les administrateurs informatiques peuvent :
- Appliquer une couche MFA partout, y compris dans les applications, les réseaux, les appareils, etc.
- Surveiller, déployer et automatiser les correctifs sur des environnements multi-OS.
- Appliquer des politiques de sécurité telles que le chiffrement des disques sur les appareils Windows, Mac et Linux.
- Mettre en œuvre un modèle de sécurité « Zero Trust » pour sécuriser l’accès des utilisateurs à pratiquement toutes les ressources informatiques.
La sécurisation des ressources de l’entreprise ne doit pas être compliquée. Inscrivez-vous gratuitement à JumpCloud dès aujourd’hui pour voir comment vous pouvez renforcer votre cybersécurité pour 2022 et réduire le risque de violation des données.
