Depuis janvier 2021 un groupe de pirates étatiques chinois dénommé Hafnium a compromis la sécurité du système de messagerie. La faille de sécurité appelée zero-day (ou 0 day) a permis de prendre le contrôle des infrastructures informatiques de plus de 30.000 entreprises. Et pourtant, comme souvent, ce drame numérique aurait pu être au moins limité simplement en adoptant des politiques de sécurité réactives.
Le scénario d’une attaque désormais généralisée
Si Microsoft a publié un patch de sécurité le 2 mars dernier, la société de Redmond était avertie de l’existence de la faille de sécurité depuis le 6 janvier 2021. Or, pour les failles de type zero-day plus la publication d’une contre-mesure est rapide, plus les dégâts peuvent limités. En fait ce ne sont pas une faille mais quatre qui ont été mises en évidence. Elles sont désormais exploitées par d’autres groupes que celui qui les a utilisées en premier.
Une réponse tardive du à la sophistication des attaquants
Deux d’entre elles ont été détectée par Devcore le 5 janvier, puis les deux suivantes le jour d’après. Elles permettent de donner l’accès à un serveur Exchange sans être authentifié, de déployer du code malin au niveau du système de messagerie unifié et d’enregistrer des fichiers de façon arbitraire. Vu la complexité et la sophistication des attaques, Microsoft n’a pu produire un correctif qu’à partir du 2 mars 2021. Les failles zero-day sont souvent découvertes par des tiers qui publient leur existence sur des forums spécialisés, notamment ceux des éditeurs d’antivirus. Les hackers en sont des lecteurs assidus.
Qu’est-ce qu’une faille zero-day ?
Une faille de sécurité de type zero-day est celle qui, son nom anglais l’indique, n’est pas découverte lors de la publication d’un logiciel. Sa particularité est d’être transitoire, elle est dangereuse jusqu’à ce que les experts en sécurité la découvrent. Son niveau de dangerosité est très variable, de bénin à très virulent. Les éditeurs de logiciels, dès qu’ils la découvrent, ou qu’elle leur est signalée, publient des correctifs qui réparent le bogue à l’origine de la faille zero-day.
Désormais une affaire d’états
Malheureusement les attaques de grande envergure sont désormais lancées ou financées par des états. Ils ont les moyens techniques et les équipes qualifiées pour exploiter des failles très difficiles à mettre en évidence. Ils les exploitent dès qu’ils les recensent, surtout afin de déployer des réseaux d’attaques robotisés (botnets) et aussi pour voler des données ou rançonner les entreprises (rançongiciels).
Les bonnes pratiques pour éviter le pire
ÉComme toujours la meilleure défense contre les attaques informatiques est l’adoption d’une politique de sécurité à la fois active et proactive. Si les systèmes de sécurisation (VPN, antivirus, mises à jour, etc.) sont de plus performants, les attaquant sont de plus en plus chevronnés. Une bonne politique de sécurité repose sur le sérieux avec lequel l’utilisateur considère la vulnérabilité de son poste de travail informatique. C’est encore plus essentiel pour les télétravailleurs dont les équipements sont devenus la porte d’entrée favorite des hackers sur le réseau de leur entreprise.
Une réaction rapide est primordiale
Dans le cas d’une attaque zero-day la meilleure défense consiste à télécharger et à installer le patch dès qu’il est fourni par l’éditeur. Microsoft, dans le cas du hack zero-day d’Exchange a publié un script pour vérifier si vous n’êtes pas infecté. Il faut veiller à ce que tous les systèmes de l’entreprise en bénéficient et que son installation soit attestée. Au niveau de la proactivité, on ne saurait que conseiller un changement fréquent des mots de passe utilisateurs. En règle générale le Service Informatique (SI) et les utilisateurs doivent se conformer à une politique de sécurité rigoureuse.
Une sécurisation d’intérêt général respectée par tous
Les systèmes d’exploitation, les logiciels, les définitions antivirus, les pilotes de périphériques et les firmwares doivent être à jour. Le montage automatique des périphériques USB doit être désactivé. Un pare-feu individuel ou d’entreprise doit filtrer les accès au moyen de règles strictes. Les utilisateurs ne doivent pas ouvrir les pièces jointes qui n’ont pas été scannées ou qui proviennent de sites douteux. Ces derniers ne doivent pas être consultés sur le lieu de travail. La sécurité informatique est une affaire bien trop sérieuse pour ne la confier qu’au seul SI.