Des entreprises comme Avecto affirment que 92% des vulnérabilités de Microsoft peuvent être mitigées en enlevant leurs droits d'administration à vos usagers. Certes, ces chiffres sont justes, mais quels impacts ont-ils dans votre programme de Cyber Sécurité? Les hackers ont-ils besoin d’exploiter des vulnérabilités Microsoft ou d’obtenir des droits d’administration pour commettre leurs larcins?
Cet article a pour but de vous démontrer qu’il ne suffit pas d’appliquer des patchs, d’installer des antivirus et de restreindre la liste des usagers qui sont administrateurs de leurs ordinateurs pour faire face à la menace que représente les hackers. Une approche multidisciplinaire de la sécurité faisant collaborer informaticiens et gestionnaires est nécessaire pour combattre efficacement les hackers.
Pour illustrer cette affirmation, nous allons vous expliquer comment un hacker (Jack) peut aisément prendre le contrôle de l'ordinateur de l'un de vos usagers (Julia) et profiter de ses accès pour voler des millions à votre entreprise. Cette attaque se réalise sans qu’aucune vulnérabilité Microsoft ne soit exploitée. Nous vous expliquerons ensuite comment une analyse des risques faisant intervenir un groupe composé d’informaticiens, de contrôleurs internes et de spécialistes en sécurité informatique aurait pu éviter ce triste incident.
Round 1 : Prise de contrôle par Jack de l'ordinateur de Julia
Jack le hacker, prétendant être un membre de l'équipe RH de votre entreprise, envoi par "erreur" un fichier Excel piégé à Julia de l'équipe des comptes payables et recevables.
Ce fichier Excel est censé contenir le salaire de tous les employés de votre entreprise. Curieuse de connaitre le salaire de ses collègues, Julia, accepte d'activer les "macros" de ce mystérieux classeur Excel.
Julia ne le sait pas, mais en activant les macros, elle vient de donner le contrôle de son ordinateur à Jack. L'anti-virus installé sur l’ordinateur de Julia ne lance aucune alerte. En effet, la plupart des anti-virus et anti-spam ne sont pas configurés pour détecter les fichiers Excel piégés.
Jack contrôle maintenant l'ordinateur de Julia ainsi que son compte Windows. Jack peut maintenant utiliser ses nouveaux droits pour en connaitre plus sur les activités de Julia et tenter de se payer pour ses efforts.
Round 2 : Jack veut en savoir plus sur les activités de Julia
Jack vérifie si Julia a mémorisé des identifiants et mots de passe sur son ordinateur. Jack découvre un identifiant et un mot de passe dans le fichier de configuration du client FTP utilisé par Julia. Julia n’aurait pas dû mémoriser ses informations de connexion lorsque son client FTP lui a proposé.
Jack regarde ensuite l'historique de navigation de Julia: Julia se connecte régulièrement à SAP via son navigateur web. Jack, curieux de connaitre le mot de passe du compte SAP de Julia, lui affiche une fenêtre Windows nommée "SAP Secure Connection" et lui demande de saisir ses identifiant et mot de passe sous peine de déconnexion immédiate. Cette fenêtre étonne Julia, mais ne voulant pas perdre son travail, elle décide de saisir ses informations de connexion dans la fenêtre. Jack peut maintenant se faire passer pour Julia dans SAP. L’entreprise de Julia aurait dû mettre en place une authentification forte à double facteur pour ses employés critiques (identifiant, mot de passe, mot de passe temporaire)
Jack décide ensuite de consulter les fichiers sauvegardés dans le répertoire partagé entre les membres de l’équipe des comptes payables et recevables. Il y découvre un fichier contenant les numéros de cartes de crédit des clients de l'entreprise de Julia. L’entreprise de Julia aurait dû interdire cette pratique et se conformer à la norme PCI DSS pour protéger les informations de cartes de crédit de ses clients.
Round 3 : Jack veut son cash
Jack dispose désormais de plusieurs choses : un compte lui permettant d’accéder en lecture et en écriture sur un serveur FTP, le compte SAP de Julia ainsi qu'un fichier contenant des informations de cartes de crédit.
Jack sait que ses efforts vont être triplement payants :
1. Jack se connecte sur le serveur FTP. Ce serveur FTP contient des fichiers textes contenant des informations bancaires ainsi que des montants. Jack comprend très vite que ces fichiers servent à passer des ordres de remboursement. Jack modifie une ligne et indique les coordonnées bancaires de son compte situé à Macao. Dans 24h, il recevra un remboursement de 50 000 euros. L’utilisation de références clients/fournisseurs à la place des informations bancaires aurait pu rendre ce transfert impossible. En effet, Jack n’ayant pas ses propres références clients/fournisseurs sur le site de la banque, ce dernier n’aurait pas pu se verser de l’argent.
2. Jack se connecte ensuite à SAP avec le compte de Julia. Jack modifie les informations bancaires de plusieurs gros fournisseurs et les remplace par les siennes. Dans les mois à venir, Jack recevra plusieurs virements. La mise en place d’une authentification à double facteur pour se connecter à SAP aurait empêché Jack de se connecter en premier lieu. La mise en place d’une double approbation des changements des informations bancaires aurait pu aussi éviter cette attaque.
3. Finalement, Jack utilise les numéros de cartes de crédit découverts sur le répertoire partagé pour passer des commandes en lignes. Il finit par mettre en vente l'intégralité du fichier sur un forum privé fréquenté par les hackers. La mise en place de PCI DSS, norme spécialisée dans la protection des informations de cartes de crédit, aurait pu éviter ce vol.
En une après-midi, Jack a volé plusieurs millions à l'entreprise de Julia.
Comment aurait-on pu éviter ce drame?
Cette attaque fictive qui a coûté des millions à l'entreprise de Julia aurait pu être évitée si ces intervenants s’étaient réunis pour analyser les risques relatifs aux activités des comptes payables et recevables :
· Équipe de contrôle interne
· Équipe informatique & spécialiste en Cyber sécurité
· L'équipe des comptes payables et recevables
Ensemble ils se seraient mis d’accord afin d’implémenter plusieurs de ces contrôles :
- Mise en place de la norme PCI DSS afin de protéger les informations de cartes de crédit
- Mise en place d’un processus d’approbation des modifications critiques dans SAP (données bancaires, etc.)
- Mise en place d’une authentification à double facteur pour se connecter à SAP
- Révision de la configuration des clients FTP afin de rendre impossible la mémorisation des mots de passe
- N’indiquer que des références clients bancaires dans les fichiers servant à générer les remboursements
- Mise en place d’une sandbox permettant d’analyser le comportement des pièces jointes aux emails
- Mise en place d’un antivirus dit de « nouvelle génération » permettant d’analyser le comportement des fichiers ouverts sur un ordinateur
- Sensibilisation des employés aux risques liés à leur fonction
Si votre stratégie de sécurité consiste simplement à enlever leurs droits d'administration à vos usagers, installer des patchs et des antivirus, nous espérons que cet article vous a fait réfléchir sur votre posture réelle de sécurité.
Vous savez maintenant que la sécurité informatique ne peut être une discipline séparée du monde des affaires. La mise en communs des savoirs techniques et d’affaires est nécessaire pour mettre en place une stratégie de sécurité optimale.
Des questions concernant cet article?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com