Réflexions d'un pentester : cinq conseils à appliquer pour éviter les attaques

Votre stratégie de cybersécurité survivrait-elle à l'épreuve d'un test d'intrusion ? Découvrez les vulnérabilités les plus souvent exploitées par les pentesters.

Dans un paysage en constante évolution, les experts de la cybersécurité doivent choisir entre deux raisonnements : apprendre de leurs erreurs passées ou prévenir les attaques futures.

Les pentesters (responsables des tests d’intrusion), également appelés white hats ou hackers éthiques, jouent un rôle stratégique dans cette dernière approche.

Qui de mieux placé pour fournir des conseils de prévention que les personnes qui traquent les vulnérabilités au quotidien dans le monde réel ? Ce constat m’a amené à contacter William Wright, fondateur de Closed Door Security et pentester aguerri.

Voici cinq réflexions issues de notre conversation : des concepts faciles à traduire en actions, destinés aux dirigeants IT qui cherchent à protéger leur infrastructure contre les menaces de demain.

Leçon n° 1 : ne négligez pas les fondamentaux

Face au degré de sophistication des cyberattaques actuelles, on pourrait penser qu’il est indispensable d’investir dans une toute nouvelle technologie de sécurité rutilante. En vérité, ce n’est pas le cas.

Lors des tests qu’il réalise sur le terrain, M. Wright observe souvent les mêmes vulnérabilités :

  1. Des systèmes obsolètes,
  2. Des politiques de mot de passe permissives,
  3. Des services Remote Desktop Protocol (RDP) anciens utilisant des identifiants faibles.

Pour lui, ces vulnérabilités courantes font des entreprises des cibles de choix pour les attaques par ransomware.

"Ce sont souvent les vieux systèmes qui sont le plus en cause", explique-t-il. "Par exemple, il peut s’agir d’une version obsolète d’Exchange Server comportant une vulnérabilité RCE. Dans les entreprises mieux équipées, les problèmes sont souvent dus à des techniques de type ingénierie sociale."

Premier conseil, donc : avant de faire quoi que ce soit, assurez-vous que vous déployez des mesures de prévention de base qui formeront un socle de sécurité solide.

Leçon n° 2 : n’oubliez pas la sécurité Active Directory

Dans le monde entier, des dizaines de milliers d’entreprises utilisent Microsoft Active Directory (AD) pour la gestion de leurs identités. M. Wright constate cependant que la sécurité d’AD est souvent délaissée.

Prenant appui sur un exemple courant, il explique : "Sur la plupart des déploiements Azure, n’importe quel utilisateur peut enregistrer une application d’entreprise sans avoir besoin d’aucune permission des administrateurs."

Cette situation peut entraîner une multitude de problèmes allant de l’usurpation de jeton au phishing, en passant par les attaques de contournement de la MFA.

Les relais NTLM apparaissent souvent parmi les vulnérabilités détectées lors d’un test d’intrusion initial.

M. Wright précise : "Quand la signature SMB est désactivée sur d’anciennes versions de Windows, il est possible de passer par le protocole d’authentification historique NTLM pour extraire des hachages d’identifiants ; de là, il est possible d’usurper l’identité des utilisateurs et de se déplacer latéralement."

Deuxième conseil : assurez-vous que votre stratégie de cybersécurité pour cette année inclut des mesures visant à corriger les vulnérabilités d’Active Directory.

Leçon n° 3 : la MFA ne suffit pas

Au sujet de l’authentification multifacteur (MFA), M. Wright reconnaît qu’elle est évidemment cruciale, mais il recommande tout de même une certaine méfiance.

Les pentesters utilisent deux techniques pour contourner la MFA : l’accoutumance à la MFA et la capture de jeton, qui exploite le délai d’expiration des jetons.

"Neuf fois sur dix, le jeton a été configuré pour expirer après 30 jours", sourit-il. "Si l’on parvient à récupérer le jeton, il est parfois possible de contourner la MFA pendant 30 jours."

Un effort de sensibilisation autour de la MFA est également nécessaire.

"C’est incontestable, il faut appliquer la MFA à tout le monde", insiste M. Wright, en précisant que l’activation de la MFA pour les administrateurs constitue déjà un pas dans la bonne direction.

Il rapporte aussi que, lors de l’attaque récemment subie par Okta, seuls 6% des clients utilisaient la plateforme sans MFA.

"Manifestement, Okta aurait dû l’imposer à tout le monde. Rien ne justifie de ne pas utiliser la MFA."

Autrement dit, si vous n’avez pas encore déployé la MFA, faites-le. Mais ne négligez pas pour autant les autres aspects, tout aussi critiques, de la gestion des identités et des accès (IAM), comme la gestion des sessions et les privilèges d’accès basés sur le temps.

Leçon n° 4 : atténuez le risque de compromission des identifiants

Si vous pensez être victime d’une compromission d’identifiants, M. Wright conseille de changer immédiatement de mot de passe. Si un mot de passe n’est pas connu, imposez un changement de mot de passe à tous les utilisateurs.

Naturellement, il répète qu’appliquer la MFA à l’ensemble des utilisateurs est le meilleur moyen d’éviter tout accès indésirable lorsqu’un attaquant s’est emparé d’identifiants valides.

Il est également intéressant de donner aux utilisateurs les moyens de se protéger en autonomie.

"Par exemple, prenons le cas où un utilisateur transfère un grand nombre d’e-mails qui ressemblent à du phishing à un administrateur. Un bon administrateur sait que ces messages ne sont pas dangereux, mais il encouragera l’utilisateur à continuer en prévision du jour où une véritable menace arrivera."

Pour résumer, instaurez des mesures de sécurité qui permettent aux administrateurs de détecter et d’empêcher les vols d’identifiants. Et n’oubliez pas de donner les moyens d’agir aux utilisateurs.

Leçon n° 5 : préparez-vous aux attaques automatisées pilotées par l’IA

Pour M. Wright, l’IA pose plus de risques qu’elle n’offre d’avantages en matière de sécurité de l’information.

Il évoque notamment le risque qu’un utilisateur confie à l’IA (à ChatGPT par exemple) des secrets d’entreprise ou des informations à caractère personnel.

Il explique également que l’IA facilite la création de code malveillant par des novices.

"Le code créé ne sera pas parfait, mais il pourrait suffire à causer des dégâts."

D’ici quelques années, M. Wright s’attend à voir apparaître des attaques automatisées (qu’on appellera "attaques par IA"), de même que des ransomware-as-a-service pilotés par l’IA.

Dans ce contexte, n’oubliez pas de former vos utilisateurs aux bonnes pratiques d’utilisation de ChatGPT (ne pas coller pas de documents comportant des informations sensibles pour lui demander de les reformuler ou de les synthétiser, par exemple). Et n’attendez pas pour assurer les fondamentaux de la sécurité, avant que les cybercriminels ne commencent à s’appuyer sur l’IA pour lancer des attaques qui s’annoncent plus fréquentes et plus ciblées.

Gardez une longueur d’avance sur les menaces

À l’heure où les cybermenaces ne cessent d’évoluer, les conclusions de notre pentester sont claires : la vigilance, la formation et les mesures proactives, notamment en matière de MFA, sont plus que jamais essentielles pour une stratégie de cybersécurité robuste. Suivez les conseils de William Wright: ne cessez jamais de réaliser des tests et renforcez vos mesures de sécurité pour garder une longueur d’avance sur les menaces.