Les récentes attaques attribuées au groupe chinois Salt Typhoon visant des entreprises de télécommunications et des pays – parmi lesquels le Brésil – ont mis le monde entier en alerte. Les informations font état du niveau de sophistication des intrusions et, plus alarmant encore, les criminels seraient, théoriquement, toujours présents au sein des réseaux de ces entreprises.
Les premières informations concernant ce groupe sont apparues en 2021, lorsque l'équipe Threat Intelligence de Microsoft a révélé comment la Chine se serait infiltrée avec succès auprès de plusieurs fournisseurs de services internet pour surveiller les entreprises et capturer des données. L'une des premières attaques menées par le groupe a résulté d'une violation de routeurs Cisco, utilisés comme passerelle pour surveiller les activités internet transitant par ces dispositifs. Une fois l'accès obtenu, les hackers pouvaient étendre leur portée à des réseaux supplémentaires. En octobre 2021, Kaspersky a confirmé que les cybercriminels avaient déjà étendu leurs attaques à d'autres pays tels que le Viêt Nam, l'Indonésie, la Thaïlande, la Malaisie, l'Égypte, l'Éthiopie et l'Afghanistan.
Si les premières vulnérabilités étaient connues dès 2021, pourquoi avons-nous tout de même été attaqués ? La réponse réside précisément dans la manière dont nous avons géré ces vulnérabilités au quotidien.
Méthode de violation
Désormais, ces derniers jours, des informations du gouvernement américain ont confirmé une série d'attaques contre des « entreprises et des pays » – qui auraient été menées en exploitant des vulnérabilités connues dans une application VPN du fabricant Ivanti, dans le Fortinet Forticlient EMS, utilisé pour la surveillance des serveurs, dans les firewalls Sophos et également dans les serveurs Microsoft Exchange.
La vulnérabilité Microsoft a été révélée en 2021, la société publiant les correctifs immédiatement après. La faille dans les firewalls Sophos a été rendue publique en 2022 – et corrigée en septembre 2023. Les problèmes découverts dans Forticlient sont devenus publics en 2023, et corrigés en mars 2024 – tout comme ceux d'Ivanti, dont les CVE (Common Vulnerabilities and Exposures) ont également été enregistrés en 2023. L'entreprise, cependant, n'a corrigé la vulnérabilité qu'en octobre dernier.
Toutes ces failles ont permis aux criminels de s'infiltrer facilement dans les réseaux attaqués, en utilisant des identifiants et des logiciels légitimes, rendant ainsi la détection de ces intrusions quasiment impossible. À partir de là, les criminels se sont déplacés latéralement au sein de ces réseaux, implantant des malwares qui ont facilité un travail d'espionnage à long terme.
Ce qui est alarmant dans les récentes attaques, c’est que les méthodes utilisées par les hackers du groupe Salt Typhoon sont cohérentes avec les tactiques de long terme observées dans des campagnes précédentes attribuées à des agents étatiques chinois. Ces méthodes incluent l’utilisation d’identifiants légitimes pour masquer des activités malveillantes en les faisant passer pour des opérations routinières, rendant ainsi leur identification difficile par les systèmes de sécurité conventionnels. Le ciblage de logiciels largement utilisés, tels que les VPN et les pare-feux, démontre une connaissance approfondie des vulnérabilités au sein des environnements d’entreprise et gouvernementaux.
Le problème des vulnérabilités
Les vulnérabilités exploitées révèlent également une tendance préoccupante : des retards dans l’application des correctifs et des mises à jour. Malgré les correctifs mis à disposition par les fabricants, la réalité opérationnelle de nombreuses entreprises complique la mise en œuvre immédiate de ces solutions. Les tests de compatibilité, la nécessité d’éviter les interruptions sur les systèmes critiques et, dans certains cas, le manque de sensibilisation à la gravité des failles contribuent à l’augmentation de la fenêtre d’exposition.
Cette question n'est pas seulement technique, mais aussi organisationnelle et stratégique, impliquant des processus, des priorités et, souvent, la culture d'entreprise.
Un aspect critique est que de nombreuses entreprises considèrent l'application de correctifs comme une tâche « secondaire » par rapport à la continuité opérationnelle. Cela crée ce qu'on appelle le dilemme du temps d'arrêt, où les dirigeants doivent choisir entre l'interruption momentanée des services pour mettre à jour les systèmes et le risque potentiel d'une exploitation future. Cependant, les récentes attaques montrent que le report de ces mises à jour peut coûter beaucoup plus cher, tant sur le plan financier que sur le plan de la réputation.
De plus, les tests de compatibilité constituent un goulot d'étranglement courant. De nombreux environnements d'entreprise, notamment dans des secteurs comme les télécommunications, fonctionnent avec une combinaison complexe de technologies héritées et modernes. Cela rend chaque mise à jour exigeante, nécessitant des efforts considérables pour garantir que le correctif ne provoque pas de problèmes sur les systèmes dépendants. Ce type de précaution est compréhensible, mais peut être atténué par l'adoption de pratiques telles que des environnements de test plus robustes et des processus de validation automatisés.
Un autre facteur contribuant au retard dans l'application des correctifs est le manque de sensibilisation à la gravité des failles. Souvent, les équipes informatiques sous-estiment l'importance d'un CVE spécifique, surtout s'il n'a pas été largement exploité jusqu'à présent. Le problème est que la fenêtre d'opportunité pour les attaquants peut s'ouvrir avant que les organisations ne prennent conscience de la gravité du problème. C'est un domaine où le renseignement sur les menaces et une communication claire entre les fournisseurs de technologies et les entreprises peuvent faire toute la différence.
Enfin, les entreprises doivent adopter une approche plus proactive et prioritaire de la gestion des vulnérabilités, ce qui inclut l'automatisation des processus de correctifs, la segmentation des réseaux pour limiter l'impact d'éventuelles intrusions, et la pratique régulière de simulations d'attaques afin d'identifier les failles potentielles.
La question des retards dans les correctifs et les mises à jour n'est pas seulement un défi technique, mais aussi une opportunité pour les organisations de transformer leur approche de la sécurité, en la rendant plus agile, adaptable et résiliente. Surtout, ce mode opératoire n'est pas nouveau, et des centaines d'autres attaques sont menées de la même manière. mode opératoire à partir de vulnérabilités utilisées comme point d'entrée. Tirer la leçon de ceci peut faire la différence entre être une victime ou être préparé pour la prochaine attaque.
