pinkeyes - stock.adobe.com

Covid-19 : attention à bien protéger les accès distants

La cyber Threat Coalition vient de livrer son troisième bulletin hebdomadaire de l’exploitation de la pandémie par les cyberdélinquants. Entre phishing et nouveaux modes de travail, les accès distants doivent être bien contrôlés.

La Cyber Threat Coalition, qui rassemble aujourd’hui près de 3 600 spécialistes du renseignement sur les menaces du monde entier, publie chaque semaine un point de situation. Le troisième dresse un état des lieux qui souligne l’importance de la protection des comptes des utilisateurs du système d’information et notamment de ses services d’accès à distance.

Chez DomainTools, John Conwell (data scientist) observe une stabilisation des enregistrements de nouveaux noms de domaine exploitant la pandémie, parlant d’un « plateau » autour de 1800 par jour. Enfin, pour Emily Austin (data scientist chez MailChimp), cette évolution pourrait indiquer que « les attaquants ont établi infrastructures et techniques ». Dès lors, ils pourraient prochainement de tourner vers « une exploitation plus intensive des positions établies via hameçonnage et autres arnaques ».

Le phishing visant à dérober des identifiants de comptes apparaît de fait en bonne position parmi les menaces observées. Martjin Grooten (chercheur et consultant cybersécurité) souligne le risque lié à une surface d’attaque étendue à l’occasion de la crise sanitaire et de la mise en place de mesures de confinement : « déjà avant la pandémie, les outils d’accès distant, tels que les solutions de VPN ou le protocole RDP de Microsoft, étaient un vecteur d’attaque populaire. De telles méthodes ont été souvent utilisées pour des attaques dévastatrices ».

Mais aujourd’hui, ces services sont bien plus utilisés qu’ils ne l’étaient précédemment. Dès lors, « les outils d’accès distant doivent être configurés et entretenus pour contrer les vulnérabilités critiques ». Et Martjin Grooten de recommander ainsi de déployer les correctifs disponibles pour ces services dès qu’ils sont disponibles et d’utiliser l’authentification à double facteur pour les ouvertures de session.

Et l’actualité ne manque pas de donner régulièrement raison à ceux qui formulent ces conseils. Bad Packets faisait ainsi état, ce jeudi 23 avril, d’une activité importante de recherche de serveurs VPN SSL Palo Alto Networks pour lesquels le correctif de la vulnérabilité CVE-2019-1579 n’a pas encore été appliqué. La veille, c’étaient les serveurs Pulse Secure VPN vulnérables qui étaient visés de la même manière. Mais les serveurs VPN Fortinet affectés par la vulnérabilité CVE-2018-13379 ne sont pas oubliés…

Pour approfondir sur Menaces, Ransomwares, DDoS