Magazine Information Sécurité 30 : Là où commencent les cyberattaques

L’adage est bien connu : le danger se situe entre la chaise et le clavier. Une façon de faire porter le chapeau des cyberattaques à l’utilisateur final, celui de la comptabilité ou des achats, qui aura eu le malheur de cliquer sur cette maudite pièce jointe, ou suffisamment idiot pour se laisser berner par un phishing même pas si soigné.

Non seulement cette logique est bien commode pour se dédouaner, en tant que DSI, RSSI ou juste administrateur systèmes, mais elle est étriquée et, du coup, erronée et même dangereuse.

Certes, une pièce jointe malveillante peut constituer le point d’entrée de cybercriminels dans le système d’information. Certes, un phishing peut conduire à la compromission d’identifiants qui seront utilisés pour s’inviter dans le SI via un VPN, une ferme RDWeb, une Gateway Citrix, ou tout autre système d’accès à distance à des actifs du SI. Mais trop souvent, les acteurs malveillants n’ont pas même besoin de cela ni ne laissent de traces finalement aussi visibles.

L’un des principaux vecteurs d’attaque reste l’exploitation de vulnérabilités affectant des systèmes directement exposés sur Internet, qu’elles soient inédites ou non patchées. Ainsi, durant l’été, l’alerte a été sonnée pour l’exploitation d’une vulnérabilité critique affectant Jenkins, la CVE-2024-23897.

Il ne s’agit là que de prendre un exemple parmi une multitude d’autres et, surtout, souligner l’importance de la surveillance de sa surface d’attaque exposée. Ça tombe bien, parmi les outils et services spécialisés, on compte un Français, Onyphe, qui vient concurrencer les habituels Shodan ou encore BinaryEdge, notamment.

Mais ce n’est pas tout. Si des identifiants valides peuvent être obtenus par phishing, ils le sont très très fréquemment obtenus par le biais de logiciels spécialisés : les infostealers.

Ceux-ci s’attaquent aux identifiants sauvegardés dans les navigateurs Web. Les ordinateurs personnels, partagés en famille, dans un contexte de BYOD à domicile, constituent là des proies de choix…

Et si l’authentification à facteurs multiples peut aider à réduire le risque, encore faut-elle qu’elle soit bien déployée… et que les utilisateurs aient l’habitude de fermer leurs sessions – et pas seulement leurs onglets ou fenêtre de navigateurs – pour en éviter le contournement avec la collecte de jetons de session valides.

Mais aider ses utilisateurs à ne pas stocker leurs mots de passe dans leur navigateur est peut-être aussi une bonne idée…

Dans ce numéro d’Information sécurité vous trouverez les témoignages et conseils d’acteurs du secteur de la cybersécurité pour mieux prévenir les attaques informatiques.

Téléchargez gratuitement
Information Sécurité 30