Les hackers dégainent vraiment plus vite que leur ombre. A partir du moment où une faille est officialisée, il faut en généralement pas plus d’un quart d’heure pour relever les premiers scans, qui permettront ensuite d’éventuellement monter une attaque.
Pas une heure, pas 30 minutes, non, 15 minutes. C’est le temps qu’auraient les administrateurs système, en règle générale, pour réagir à la publication d’une faille de sécurité, et donc pour appliquer un patch de sécurité éventuel.
15 minutes pour agir…
Passé ce délai, leur infrastructure pourrait déjà devenir la cible d’attaquants mal intentionnés. A en croire, le dernier rapport en date de l’Unit 42, l’équipe d’experts de la société spécialisée en cybersécurité Palo Alto Networks, les hackers sont aux aguets et surveillent constamment les publications de bulletins de sécurité. Leur objectif est évidemment d’obtenir ainsi un moyen simple et rapide d’accéder à des réseaux d’entreprise et de tenter des exécutions de code à distance.
On pouvait espérer toutefois que les chargés de sécurité avaient au moins quelques heures après la publication et l’officialisation d’une faille. Mais dans son 2022 Unit 42 Incident Response Report, l’équipe explique que « les attaquants commencent en général à scanner pour des vulnérabilités dans les 15 minutes qui suivent l’annonce d’une CVE ».
Un écosystème de hackers aux aguets
Scanner ne demande pas vraiment un grand savoir-faire, et est donc ouvert à tous les types de hackers, même les plus débutants et les moins formés. Cependant, cette activité peut être très rémunératrice si un accès est trouvé. Soit que l’attaquant l’utilise à ses fins directes, soit qu’il décide de la vendre sur le Dark Web à d’autres hackers qui sauront s’en servir.
Si les scans agressifs ont lieu dès les 15 premières minutes, les premières attaques interviennent très peu de temps plus tard. En quelques heures, les assauts commencent à être enregistrés, en ciblant évidemment les systèmes qui n’ont pas eu le temps d’être patchés.
L’Unit 42 prend l’exemple d’une faille critique qui permettait l’exécution de commande à distance sans authentification. Dévoilée le 4 mai 2022, cette faille avait été scannée et exploitée (pas forcément avec succès) pas moins de 2 552 fois en l’espace de dix heures.
Les experts de Palo Alto Networks soulignent que le temps imparti à la correction des failles annoncées réduit d’année en année.
Néanmoins, être réactif ne fait pas tout. Les systèmes les plus attirants et les mieux protégés seront simplement attaqués en utilisant des failles zero day, donc non répertoriées. Cela réduit évidemment beaucoup la surface d’attaque et le type de hackers capables de s’en prendre au système.
Le logiciel et l’humain au cœur des attaques
Une chose semble certaine, les failles logicielles représentent une part très importante des attaques. Plus de 31% d’entre elles. Les systèmes obsolètes sont aussi une porte d’entrée très appréciée. Certaines versions des serveurs Apache, qui ne sont plus patchées, sous-tendent encore de nombreux serveurs Web, et sont autant de failles dans des systèmes informatiques. Il est donc essentiel de toujours s’assurer que toutes les plates-formes logicielles sont à jour. Une charge qui peut peser très lourd sur les administrateurs système dont les infrastructures sont complexes et composées de strates plus ou moins anciennes et surajoutées.
Il est intéressant de noter que le facteur humain reste toutefois la meilleure porte d’entrée pour un attaquant. Le phishing représentait, pour le premier semestre 2022, 37% des attaques. On pourrait y ajouter les 5% de social engineering pour former une catégorie PEBKAC (Problem exists between keyboard and chair)
Si les nouveautés aiguisent les appétits, l’Unité 42 précise toutefois que, de manière somme toute logique, les failles qui représentent le plus gros du volume d’attaques sont assez vieilles. Au-delà de la question du temps d’exposition, cela s’explique par d’autres critères indépendants de la fraîcheur d’une faille, comme la surface d’attaque qu’elles représentent, la difficulté de l’attaque à mener et aussi son impact concret.
Quelques recommandations…
Le groupe de cyberexperts de Palo Alto Network recommande aux administrateurs système de maintenir les appareils hors connexion à Internet autant que possible et de ne les connecter aux réseaux de l’entreprise que via des VPN ou des accès sécurisés. De même, les accès aux serveurs doivent être le plus restreints et contrôlés possibles. Cela permet en effet de non seulement réduire les risques d’attaques, mais aussi d’avoir plus de temps pour appliquer des mises à jour de sécurité urgentes.
En définitive, entre maintenir un service accessible en permanence, quoi qu’il en coûte, et appliquer rapidement un correctif, quitte à l’interrompre, mieux vaut choisir la seconde option. Ses conséquences seront a priori bien moins rudes à gérer, conseille l’Unit 42.
Source :
Bleeping Computer