Non classé

COVID-19 – Les vulnérabilités liées au télétravail et à la connexion au bureau Windows à distance (RDP)

Comme je l’évoquais dans mon billet précédent, la gendarmerie nationale et son réseau CyberGend sont particulièrement mobilisés pour protéger les usagers (entreprises, collectivités, particuliers,…) contre les menaces cybercriminelles qui ne relâchent pas leur pression pendant cette crise épidémique.

L’un des points focaux de notre action est la question du télétravail qui a entraîné des aménagements, voire des changements importants dans les organisations et remet en cause aussi bien les process (comme la vérification des factures, des paiements), que les outils numériques (accès à la messagerie, aux documents partagés, etc.). Aussi, nous diffusons depuis quelques semaines un certain nombre de conseils pour sensibiliser aux risques nouveaux ou exacerbés pendant cette crise. Ils sont synthétisés ci-dessous dans l’infographie que vous pouvez télécharger au format PDF:

Exploitation des accès RDP faiblement protégés

Au cours de nos opérations de prévention, et des échanges avec les acteurs de la cybersécurité, nous avons identifié qu’un grand nombre d’organisations – y compris des professions médicales – avaient déployé des solutions de télétravail reposant sur le partage de l’accès au bureau Windows par le protocole RDP (pour « Remote desktop protocol« ).

Dans beaucoup de cas que nous rencontrons, celui-ci n’est pas suffisamment protégé, soit parce que les contrôles d’accès ne sont pas suffisamment renforcés (en particulier nous relevons l’utilisation de mots de passe trop simples), et les vulnérabilités connues des services RDP ne sont pas corrigées par des mises à jour.

Un des modes de connexion d’accès à distance

Et l’utilisation par les cybercriminels de ces failles pendant la crise du Coronavirus est en pleine effervescence:

  • Connexion pour détourner des données personnelles ou confidentielles des serveurs ou des postes de travail
  • Installation de rançongiciels
  • Utilisation des machines attaquées pour réaliser d’autres attaques par rebond.
  • Revente de listes d’adresses de serveurs dont les protections sont trop faibles.

Si vous avez un tel service d’accès à distance configuré sur un serveur Windows ou même un simple poste de travail accessible depuis l’extérieur, d’abord assurez-vous qu’un tel partage est indispensable et ensuite nous vous recommandons les précautions suivantes (à mettre en oeuvre par votre responsable informatique ou votre prestataire):

  • Assurez vous de respecter les recommandations de l’ANSSI en matière de solidité et de renouvellement des mots de passe (beaucoup de mots de passe sont trop faibles) et celles touchant à la sécurité des services de bureau à distance – faites les mises à jour! (Bulletin d’alerte 2019-006)
  • Si vous n’utilisez pas votre serveur RDP, désactivez-le et vérifiez les règles de votre pare feu
  • Assurez-vous de n’autoriser des accès distants que pour des utilisateurs ne disposant pas de droits d’administration
  • Fermez les accès distants des utilisateurs qui n’ont pas ou plus besoin de l’utiliser (anciens employés, stagiaires)
  • Activez le protocole d’authentification Network Level Authentication (NLA) dans ce cas attention à ne pas activer la fonction qui force le renouvellement du mot de passe à la prochaine connexion
  • Mettez en place des règles de filtrage géographique ou par adresse IP
  • Mettez en place des règles permettant d’identifier une utilisation suspecte (essais répétés, adresse IP inhabituelle, etc)

N’hésitez pas à rediffuser ces conseils auprès de vos contacts professionnels. N’oubliez pas qu’en cas d’incident vous pouvez toujours obtenir de l’assistance et des conseils auprès de Cybermalveillance.gouv.fr, partenaire de la gendarmerie.

Botconf 2019 – Merci à tous !

Et voilà, une nouvelle édition de Botconf – la conférence internationale sur la lutte contre les botnets – s’est achevée vendredi à Bordeaux. L’occasion pour moi de faire le bilan de ces 7 éditions passées et d’expliquer pourquoi ce type de conférence est nécessaire.

Ceux qui me lisent ou échangent souvent avec moi savent combien la lutte contre les botnets – et plus largement les logiciels malveillants mais j’y reviendrai – est importante. D’abord parce que c’est la forme de délinquance numérique qui se développe le plus, en témoigne l’explosion des cas d’infection par rançongiciels chiffrants ou cryptlockers au cours de la dernière année.

Observer les botnets, plutôt que les logiciels malveillants simplement, c’est se donner les moyens d’observer un système, une infrastructure. Non seulement une infrastructure de pilotage (les systèmes de commande et de contrôle ou C&C) mais aussi les systèmes de distribution des logiciels malveillants, et les différentes étapes de leur installation. Enfin, on peut aussi s’intéresser aux acteurs (threat actors en anglais) qui contribuent aux différentes étapes de la vie des botnets.

Pour aller plus loin, vous pouvez consulter l’article où je détaillais les travaux conduits dans le cadre d’une thèse entre 2011 et 2015.

Très rapidement d’ailleurs en 2011, il m’était apparu essentiel, en discutant avec la communauté française traitant de cette menace, qu’on puisse avoir une occasion d’échanger de façon ouverte avec les acteurs du monde entier. En effet, à l’époque, il y avait assez peu de conférences traitant des logiciels malveillants, souvent confidentielles, sur invitation, ouvertes à un public donné, associant peu et valorisant peu les acteurs du monde académique. A côté de cela, beaucoup de conférences de sécurité traitent parfois des botnets, mais jamais de façon spécifique. On peut saluer les conférences de Virus Bulletin, beaucoup plus ancienne et volontairement plus tournées vers l’industrie de la sécurité, mais de très bonne qualité.

Avec quelques amis et nouveaux amis, nous nous sommes lancés dans l’aventure et avons organisé la première conférence à Nantes au mois de décembre 2013. Un peu plus de 150 participants dès la première édition et un format qui s’est vite rodé (une session – track – unique où tout le monde participe à l’ensemble des présentations). Depuis nous avons rajouté des ateliers, en fait des formations à l’utilisation d’outils et de méthodes d’analyse de logiciels malveillants, de traces réseaux ou de gestion de l’information sur la menace (threat intelligence).

Le bilan de cette année est exceptionnel: plus de 400 participants de 31 pays, 50 conférenciers pour 29 présentations et 3 ateliers – 1730 minutes d’échanges en 4 jours. Un contenu très dense comme en témoigne le programme.

Chaque année, une tendance se dessine dans les sujets abordés. Cette année fut très variée et on a beaucoup parlé de collecte d’information sur la menace (threat intelligence), de botnets sur mobiles Android, et de sécurité des infrastructures (la sécurité du point de vue des hébergeurs de serveurs Internet).

Cette année enfin, deux participants réguliers de Botconf – la Gendarmerie et un éditeur antivirus Avast – ont témoigné de leur coopération réussie contre le botnet Retadup, qui n’aurait pas été possible ou plus difficilement, si la rencontre ne s’était pas faite les années précédentes pendant cette conférence.

L’année prochaine, l’équipe a choisi de donner à nouveau rendez-vous à Nantes, et donc de toujours bouger en France pour se rapprocher des différents acteurs locaux, avoir le plaisir de faire découvrir notre pays à ces centaines de visiteurs. Au-delà de la richesse des échanges techniques, je retire avant tout une formidable expérience humaine, une communauté avide d’échanges et une équipe d’organisation exceptionnelle dont la motivation et la rigueur me font grandir d’année en année. Merci à tous !