kwanchaift - stock.adobe.com
Systèmes exposés sur Internet : un état des des lieux très préoccupant
Trend Micro vient d’essayer de dresser un état des lieux de l’exposition, sur Internet, de pays et de grandes villes d’Europe. Le tableau n’est pas flatteur, mais ce n’est que la partie visible de l’iceberg.
L’exercice aura peut-être au moins le mérite d’éveiller les consciences aux risques qu’il peut y avoir à exposer directement sur Internet, sans filtre ou presque, des services IT qui s’adressent d’abord à l’interne, entre imprimantes, webcam, systèmes de stockage, ou encore enregistreurs vidéo et serveurs de bases de données. Trend Micro s’est en effet penché sur les données brutes indexées par Shodan en février dernier.
De quoi permettre de lancer des recherches avec plus de 550 filtres, contre une quarantaine accessible via l’interface Web du moteur de recherche spécialisé, sur plus de 7 millions d’enregistrements concernant près de 2,2 millions d’adresses IP en France. Et cela après exclusion de données liées à des adresses IP liées aux infrastructures d’hébergeurs – Amazon, Akamai, Cloudflare, Linode, Microsoft, et bien sûr OVH, notamment.
Sans surprise, la photographie est assurément incomplète, et encore plus parce que l’étude ne porte que sur les dix plus grandes villes de France. Mais elle est déjà très révélatrice.
Des systèmes multiples et variés
La première surprise tient à la répartition des systèmes exposés. A Paris (intra-muros), avec plus de 416 000 hôtes accessibles par Internet, il faut compter 18,8 systèmes exposés en ligne pour 100 habitants. Ce ratio est considérablement plus élevé que pour les autres villes étudiées – signe de dynamisme économique ou de la densité de geeks dans la capitale ? – : il n’est que de 3,8 pour Marseille, 5,3 pour Lyon, 3,9 pour Toulouse, 2,9 pour Nice, ou encore 5,5 pour Nantes.
La grande majorité des systèmes accessibles en France par Internet fonctionne sous Linux, ce qui « peut être attribué aux serveurs [Web] Apache, Nginx, et aux objets connectés ». En fait, plus de 30 % des systèmes Linux exposés se sont avérés être des… webcams, et un autre tiers, des systèmes de stockage. Mais sans surprise, Trend Micro recense aussi des PC sous Windows XP/7/8. Et cela ne s’arrête pas là.
Surtout, nombre de systèmes exposés présentent des vulnérabilités, dont certaines critiques. Il faut compter là plus de 33 000 services http, mais aussi près de 500 systèmes de bases de données PostgreSQL, et quelques milliers de services de messagerie smtp.
La majorité des systèmes (in)volontairement partagés en ligne en France sont des webcams, avec près de 4300 d’entre elles. Viennent ensuite pare-feu, points d’accès Wifi, équipements de stockage, routeurs, enregistreurs vidéo, imprimantes, téléphones IP et systèmes PBX. Beaucoup de ces systèmes ne constituent pas une surprise en soi, mais pour d’autres, leur exposition en ligne est plus difficilement justifiable. Surtout que Trend Micro a recensé dans le lot près de 1600 pare-feu présentant des vulnérabilités, et 841 webcam.
Au-delà des vulnérabilités, les défauts de configuration
Mais il n’y a pas que les vulnérabilités qui comptent ; il y a aussi les défauts de configuration et de sécurisation. Et là, Trend Micro relève notamment des services Telnet de routeurs Cisco exposés sur Internet, des interfaces Web de configuration – de routeurs, encore une fois, mais aussi de téléphones IP, ou encore les services ftp et http d’une petite centaine d’imprimantes, des services SNMP, ou encore RDP. Tout autant de choses qui gagneraient clairement à être réservées à un réseau interne et accessibles uniquement après s’y être connecté via VPN.
Les services RDP sont par exemple un vecteur de choix de distribution de ransomwares. Des systèmes de gestion de files d’attente d’imprimantes réseau ouverts à tous les vents peuvent constituer un risque de compromission de données sensibles, notamment… Et c’est là que l’on s’aperçoit que Trend Micro n’a montré, dans son étude, que la partie émergée de l’iceberg.
En lançant une recherche sur Shodan en France, sans viser de ville et sans exclure la moindre plage d’adresses IP, on trouve en fait plus de 580 adresse dans l’Hexagone qui exposent une interface JPL, et plus de 2000 qui présentent une interface LPD, ou encore plus de 3200 ouvrant leur interface IPP. Et c’est sans compter avec plus de 1200 services SMB configurés spécifiquement pour permettre la collecte automatique des pilotes d’impression…
Et les négligences
Et puis il y a un domaine que n’a tout simplement pas exploré Trend Micro, malgré son importance : celui des systèmes de contrôle industriel (ICS/Scada). En se penchant sur plusieurs protocoles utilisés dans ces environnements parfois sensibles, on trouve rapidement, sur Shodan, plus de 2200 adresses IP françaises exposant, sur Internet, ce type de systèmes.
Comme ces systèmes sont souvent cachés derrière des modems routeurs, leurs adresses IP publiques donnent souvent également accès à une foule d’autres services, pas toujours exempts de vulnérabilités. Et c’est sans compter avec certains protocoles dont le service répond à certaines requêtes en indiquant l’adresse IP interne de l’hôte l’hébergeant. De quoi simplifier la tâche d’un éventuel attaquant…
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
L’opération de police Synergia II touche aux infrastructures cybercriminelles
-
Trend Micro lève le voile sur Void Balaur, un groupe de cybermercenaires
-
Exposition en ligne : Shodan joue un peu plus la carte de la prévention
-
Trend Micro accélère son développement sur le marché des systèmes industriels