avril 2020

COVID-19 – Les vulnérabilités liées au télétravail et à la connexion au bureau Windows à distance (RDP)

Comme je l’évoquais dans mon billet précédent, la gendarmerie nationale et son réseau CyberGend sont particulièrement mobilisés pour protéger les usagers (entreprises, collectivités, particuliers,…) contre les menaces cybercriminelles qui ne relâchent pas leur pression pendant cette crise épidémique.

L’un des points focaux de notre action est la question du télétravail qui a entraîné des aménagements, voire des changements importants dans les organisations et remet en cause aussi bien les process (comme la vérification des factures, des paiements), que les outils numériques (accès à la messagerie, aux documents partagés, etc.). Aussi, nous diffusons depuis quelques semaines un certain nombre de conseils pour sensibiliser aux risques nouveaux ou exacerbés pendant cette crise. Ils sont synthétisés ci-dessous dans l’infographie que vous pouvez télécharger au format PDF:

Exploitation des accès RDP faiblement protégés

Au cours de nos opérations de prévention, et des échanges avec les acteurs de la cybersécurité, nous avons identifié qu’un grand nombre d’organisations – y compris des professions médicales – avaient déployé des solutions de télétravail reposant sur le partage de l’accès au bureau Windows par le protocole RDP (pour “Remote desktop protocol“).

Dans beaucoup de cas que nous rencontrons, celui-ci n’est pas suffisamment protégé, soit parce que les contrôles d’accès ne sont pas suffisamment renforcés (en particulier nous relevons l’utilisation de mots de passe trop simples), et les vulnérabilités connues des services RDP ne sont pas corrigées par des mises à jour.

Un des modes de connexion d’accès à distance

Et l’utilisation par les cybercriminels de ces failles pendant la crise du Coronavirus est en pleine effervescence:

  • Connexion pour détourner des données personnelles ou confidentielles des serveurs ou des postes de travail
  • Installation de rançongiciels
  • Utilisation des machines attaquées pour réaliser d’autres attaques par rebond.
  • Revente de listes d’adresses de serveurs dont les protections sont trop faibles.

Si vous avez un tel service d’accès à distance configuré sur un serveur Windows ou même un simple poste de travail accessible depuis l’extérieur, d’abord assurez-vous qu’un tel partage est indispensable et ensuite nous vous recommandons les précautions suivantes (à mettre en oeuvre par votre responsable informatique ou votre prestataire):

  • Assurez vous de respecter les recommandations de l’ANSSI en matière de solidité et de renouvellement des mots de passe (beaucoup de mots de passe sont trop faibles) et celles touchant à la sécurité des services de bureau à distance – faites les mises à jour! (Bulletin d’alerte 2019-006)
  • Si vous n’utilisez pas votre serveur RDP, désactivez-le et vérifiez les règles de votre pare feu
  • Assurez-vous de n’autoriser des accès distants que pour des utilisateurs ne disposant pas de droits d’administration
  • Fermez les accès distants des utilisateurs qui n’ont pas ou plus besoin de l’utiliser (anciens employés, stagiaires)
  • Activez le protocole d’authentification Network Level Authentication (NLA) dans ce cas attention à ne pas activer la fonction qui force le renouvellement du mot de passe à la prochaine connexion
  • Mettez en place des règles de filtrage géographique ou par adresse IP
  • Mettez en place des règles permettant d’identifier une utilisation suspecte (essais répétés, adresse IP inhabituelle, etc)

N’hésitez pas à rediffuser ces conseils auprès de vos contacts professionnels. N’oubliez pas qu’en cas d’incident vous pouvez toujours obtenir de l’assistance et des conseils auprès de Cybermalveillance.gouv.fr, partenaire de la gendarmerie.

Crise du COVID-19 et cybermenaces #RépondrePrésent

Pour la gendarmerie nationale, la crise sanitaire du Coronavirus est un enjeu à trois égards: répondre aux nouvelles missions rendues nécessaires par l’accompagnement des mesures sanitaires et continuer à offrir un service de sécurité au public à la hauteur de ses attentes, tout en prenant en compte les contraintes pesant sur nos propres personnels évidemment.

Evidemment, il en est de même dans le champ des cybermenaces et le réseau CyberGend répond présent!

La première étape pour nous fut d’analyser rapidement l’évolution de la menace, en observant les premières remontées du terrain et ce qui se passait dans les autres pays. D’emblée, les escroqueries liées à la thématique du Coronavirus (commercialisation de produits de santé) et les hameçonnages sur le même thème (notamment sur les dispositifs d’accompagnement ou les appels aux dons), puis les changements liés au télétravail (organisation dégradée des entreprises, collectivités et administrations, perte des réflexes, risques supplémentaires sur des réseaux plus ouverts, etc.) ont été identifiés comme premières tendances. En outre, les publics à prioritairement protéger étaient selon notre analyse: les professions médicales, la logistique et l’alimentation.

Immédiatement, la seconde étape a consisté à mettre en oeuvre une stratégie de veille ciblée sur Internet à la recherche des infractions, d’ouvrir des enquêtes et de prendre des mesures préventives (saisie de noms de domaine). Le réseau CyberGend, plus spécifiquement le C3N et sous sa coordination les antennes du C3N dans les 9 principales régions qui ont été ainsi mobilisés. L’un des enjeux est aussi de pouvoir toujours prendre en compte les victimes de cybercriminalité et de recevoir les plaintes, partout sur le territoire, y compris dans une situation sanitaire complexe. C’est en particulier le cas pour les attaques par rançongiciel qui ont touché plusieurs entreprises et associations depuis le début de la crise et sur lequel les enquêteurs NTECH et les C3N se mobilisent.

En outre, nous avons observé le développement de nombreux phénomènes de diffusion de fausses informations ou de théories complotistes. Ils sont souvent repris et corrigés par les grands médias, mais il ne faut pas s’interdire de douter face à une information surprenante et réfléchir avant de la rediffuser.

Quasiment dans le même temps, les actions de prévention ont été multipliées, au contact des secteurs les plus directement concernés. Par exemple, dès le début de la crise, les pharmacies ont été sensibilisées à des tentatives d’escroqueries les ciblant pour la fourniture en gros de produits sanitaires. Depuis, les actions de sensibilisation se multiplient sur le terrain, les gendarmes des sections opérationnelles de lutte contre les cybermenaces, les référents sûreté dans les départements, contactant progressivement l’ensemble des secteurs économiques clé et les collectivités locales, avec des messages de sensibilisation et proposant un diagnostic de la situation de sécurité numérique dans le contexte de la crise.

Cet article de Nice Matin montre l’action des enquêteurs NTECH au contact des victimes, pour prévenir, détecter et enquêter.

 

Prévention: La gendarmerie relaie aussi les messages de ces partenaires, ici le centre Européen de lutte contre la cybercriminalité d’Europol EC3, ou encore www.cybermalveillance.gouv.fr

Enfin, c’est évidemment la sécurité de nos propres systèmes d’information à laquelle nous veillons tout particulièrement.

Une coopération exceptionnelle

Beaucoup d’entre nous vivent très certainement cette période comme une occasion formidable d’échanger énormément avec ses différents contacts par des moyens électroniques. Force est de constater que dans le secteur de la sécurité numérique, les échanges sont nombreux. Je vais en citer quelques-uns.

En France, les différentes associations sont mobilisées et Signal Spam ou le CESIN dont je vous ai parlé plusieurs fois sont actifs pour échanger et réagir aux incidents qui ont pu émailler les dernières semaines et surtout s’entraider. Le groupement d’intérêt public ACYMA, gestionnaire du portail www.cybermalveillance.gouv.fr est particulièrement à l’oeuvre pour prodiguer des conseils et continuer à assister les victimes d’actes de Cybermalveillance.

Deux collectifs internationaux de la cybersécurité ont vu le jour et sont particulièrement actifs, échangeant des indicateurs de compromission (ces détails qui permettent à d’autres de détecter des attaques ou des comportements illégaux que les partenaires ont déjà documenté) et se coordonnant pour mener les actions permettant de faire cesser les activités cybercriminelles: la Cyber Threat Coalition, et la COVID CTI League. Bien entendu, comme d’autres services d’enquête spécialisés dans le monde, nous y sommes présents.

Pour en apprendre un peu plus sur les coulisses de l’action de la gendarmerie dans la dimension cyber de cette crise sanitaire, vous pouvez écouter le podcast que Nolimitsecu y a consacré cette semaine.

… #RépondrePrésent

Plus que jamais, pendant cette crise sanitaire du Coronavirus, la gendarmerie se devait de #RépondrePrésent, et je puis témoigner que tous les jours, l’ensemble des personnels du réseau CyberGend sont mobilisés pour anticiper, détecter, investiguer et accompagner nos concitoyens plus que jamais concernés par les menaces dans l’espace numérique qu’ils utilisent quotidiennement.