Services managés : canal de confiance des cybercriminels pour accéder au SI

La pandémie a démontré l'importance d'accéder à distance aux applications de l'entreprise pour permettre la continuité de service. Mais avec l'utilisation massive de l'externalisation et des outils cloud, l'exposition des organisations aux risques d'attaque s'est accrue.

De nos jours, la complexité des systèmes d’information (SI) ne cesse de croitre ainsi que le nombre de processus métiers associés. Pour de nombreuses organisations, l’accès aux services cloud multiplie la productivité ainsi que les opportunités. Pour diminuer leur coût et améliorer les opérations, de nombreuses entreprises font appel à une gestion de services externalisée (MSP) de tout ou partie du SI. Il est aujourd’hui possible de sous-traiter la totalité de son SI à moindre coût grâce aux services cloud, de plus en plus nombreux. Or, l'externalisation fournit aux cybercriminels un canal de confiance permettant de déployer un malware au sein de l'entreprise managée. C'est ce que l'on appelle la "supply chain attack".

Les fournisseurs de services managés, la cible idéale pour les attaquants

En 2019, les attaques des ransomwares Gandcrab et Sodinokibi ont utilisé les fournisseurs de services managés pour cibler des dizaines d’entreprises. Plus récemment, le Département de la Sécurité Intérieur des États-Unis a déclaré que le nombre d’attaques ciblant les MSP étaient en constante augmentation. Ces intrusions peuvent être revendues et utilisées par d’autres attaquants, ou servir à la compromission d’adresses e-mail professionnelles permettant le déploiement de fraudes ou de logiciels malveillants.

Auparavant, les attaques utilisant plusieurs vecteurs étaient principalement utilisées par des attaquants avancés (Advanced Persistent Threat). Mais l’exposition de nombreuses entreprises via l’externalisation a provoqué l’évolutions des tactiques. On peut également noter la professionnalisation et l’organisation avancée de certains groupes d’attaquants qui utilisent les codes des entreprises modernes pour faire fonctionner leur business. La plupart des ransomwares utilisent aujourd’hui un business model utilisant l’affiliation et permettant l’accroissement des sources de revenu.  

Pour monitorer et permettre la gestion de leurs clients, les MSP utilisent des outils de centralisation pour manager les SI. Ces outils permettent l’administration à distance des postes de travail, le déploiement de mise à jour ou de nouveau programmes, ou encore le monitoring des différents environnements. Du point de vue des attaquants, les MSP représentent donc une porte d’entrée vers de multiples entreprises et leur permettent de contourner les protocoles de sécurité mis en place en profitant d’un canal de confiance entre les organisations ciblées et les MSP.

Le RDP comme canal d’intrusion privilégié

Lorsqu’il s’agit de compromettre les MSP, les techniques d’intrusions sont sensiblement les mêmes : spear phishing, exploits, vulnérabilités des applications Web… Toutefois, une tendance actuelle consiste en l’utilisation du RDP (Remote Desktop Protocol) comme vecteur d’attaque et de compromission initial.

RDP est un protocole Microsoft exécuté sur le port 3389 qui peut être utilisé par les utilisateurs pour accéder à distance aux systèmes internes. Les ports RDP sont donc souvent exposés à Internet, ce qui les rend particulièrement intéressants pour les attaquants. L'accès à un serveur utilisant un RDP peut permettre à un attaquant d'accéder à un réseau entier. Il peut ainsi être utilisé comme point d'entrée pour propager des logiciels malveillants ou mener d'autres activités criminelles.

Pendant la période de confinement généralisé, nous avons pu observer que le nombre de machines exposées à Internet et utilisant le protocole RDP avait considérablement augmenté, passant de 3 millions en janvier 2020 à plus de 4,5 millions en mars. Par ailleurs, le nombre d’attaques sur le port 3389 s’est également multiplier pendant cette période. Enfin, le nombre d’identifiants et de mots de passe RDP compromis en vente était en augmentation sur les places de marché spécialisées.

Externaliser son système d’information… et sa sécurité ?

Déléguer l’accessibilité et la mise en place de services métiers nécessite la mise en place de bonnes pratiques communes. Mais comment garantir la sécurité du SI si une entreprise tierce en est responsable ?

Les pratiques de sécurité restent les même pour les fournisseurs de services et pour les entreprises clientes. Toutefois, gérer l’accès à de multiples clients nécessite une vigilance renforcée. Sans parler des moyens de sécurité à mettre en place pour limiter les attaques de phishing ou encore sensibiliser les utilisateurs, il est aujourd’hui primordial de maîtriser les informations du SI et d’avoir une vision globale des actions effectuées. Tout comme la centralisation de services, la centralisation de la sécurité doit être prise en compte. La remonté de logs, la mise en place d’alertes et de points de contrôle réguliers ou encore la mise en place de situation de crise et de tests doit faire partie intégrante de la stratégie de sécurité des MSP. Par ailleurs, les entreprises faisant appel à ce type de services doivent au préalable s’assurer de la sécurité de ces fournisseurs par des moyens contractuels et maitriser le nombre de parties prenantes ayant accès au SI.

Ouvrir son SI vers l’extérieur nécessite de s’assurer de la sécurité de ces partenaires. Cela complexifie le fonctionnement opérationnel et il est donc important de maîtriser et d’étudier de près la porosité que peut déclencher l’externalisation de certains services. Par ailleurs, les attaquants sont aujourd’hui à l’affût de nouvelles tactiques pour compromettre de nombreuses entreprises. Pour limiter son exposition, il est nécessaire de garder une visibilité globale en investissant dans des équipements de surveillance et de détection des comportements malveillants, mais aussi dans des moyens humains permettant d’analyser et repérer les attaques les plus sophistiquées.