Les récentes attaques supposément menées par le groupe chinois Salt Typhoon contre des entreprises de télécommunications et des pays – dont le Brésil – ont mis le monde entier en alerte. Les nouvelles parlent du niveau de sophistication des invasions et, ce qui est plus alarmant – les criminels, en théorie, seraient toujours à l'intérieur des réseaux de ces entreprises.
Les premières informations sur ce groupe sont apparues en 2021, lorsque l'équipe de Threat Intelligence de Microsoft a divulgué des informations sur la manière dont la Chine aurait réussi à s'infiltrer dans plusieurs fournisseurs de services Internet, pour surveiller les entreprises et capturer des données. L'une des premières attaques du groupe a été réalisée suite à une violation de routeurs Cisco, qui servaient de passerelle pour surveiller les activités Internet se déroulant via ces dispositifs. Une fois l'accès obtenu, les hackers parvenaient à étendre leur portée à d'autres réseaux. En octobre 2021, Kaspersky a confirmé que les cybercriminels avaient déjà étendu leurs attaques à d'autres pays tels que le Vietnam, l'Indonésie, la Thaïlande, la Malaisie, l'Égypte, l'Éthiopie et l'Afghanistan.
Si les premières vulnérabilités étaient déjà connues depuis 2021 – pourquoi avons-nous encore été attaqués ? La réponse réside justement dans la façon dont nous gérons ces vulnérabilités au quotidien.
Méthode de viol
Ces derniers jours, des informations du gouvernement américain ont confirmé une série d'attaques contre des « entreprises et pays » – qui auraient eu lieu en exploitant des vulnérabilités connues dans une application VPN du fabricant Ivanti, dans Fortinet Forticlient EMS, utilisée pour la surveillance des serveurs, dans des pare-feux Sophos et également dans des serveurs Microsoft Exchange.
La vulnérabilité de Microsoft a été divulguée en 2021 lorsque, peu de temps après, l'entreprise a publié les correctifs. La faille dans les pare-feu Sophos a été publiée en 2022 – et corrigée en septembre 2023. Les problèmes rencontrés avec Forticlient sont devenus publics en 2023 et ont été corrigés en mars 2024, tout comme ceux d'Ivanti, qui ont également vu leurs CVE (Common Vulnerabilities and Exposures) enregistrés en 2023. L'entreprise, cependant, n'a corrigé la vulnérabilité qu'en octobre dernier.
Toutes ces vulnérabilités ont permis aux criminels de s'infiltrer facilement dans les réseaux attaqués, en utilisant des identifiants et des logiciels légitimes, ce qui rend la détection de ces intrusions presque impossible. À partir de là, les criminels se sont déplacés latéralement au sein de ces réseaux, déployant des malwares qui ont aidé au travail d'espionnage à long terme.
Ce qui est alarmant dans les attaques récentes, c'est que les méthodes utilisées par les hackers du groupe Salt Typhoon sont cohérentes avec les tactiques à long terme observées dans des campagnes précédentes attribuées à des agents étatiques chinois. Ces méthodes incluent l'utilisation de crédentiels légitimes pour masquer des activités malveillantes en tant qu'opérations routinières, rendant leur détection plus difficile par les systèmes de sécurité classiques. L'accent mis sur les logiciels largement utilisés, tels que les VPN et les pare-feu, démontre une connaissance approfondie des vulnérabilités dans les environnements d'entreprise et gouvernementaux.
Le problème des vulnérabilités
Les vulnérabilités exploitées révèlent également un schéma préoccupant : des retards dans l'application des correctifs et des mises à jour. Malgré les corrections mises à disposition par les fabricants, la réalité opérationnelle de nombreuses entreprises complique la mise en œuvre immédiate de ces solutions. Tests de compatibilité, la nécessité d'éviter les interruptions dans les systèmes critiques et, dans certains cas, le manque de sensibilisation à la gravité des défaillances contribuent à l'augmentation de la fenêtre d'exposition.
Cette question n’est pas seulement technique, mais aussi organisationnelle et stratégique, impliquant des processus, des priorités et, souvent, la culture d’entreprise.
Un aspect critique est que de nombreuses entreprises considèrent l'application de correctifs comme une tâche « secondaire » par rapport à la continuité opérationnelle. Cela crée ce qu'on appelle le dilemme du temps d'arrêt, où les dirigeants doivent choisir entre une interruption momentanée des services pour mettre à jour les systèmes et le risque potentiel d'une exploitation future. Cependant, les attaques récentes montrent que reporter ces mises à jour peut coûter beaucoup plus cher, tant sur le plan financier que réputationnel.
De plus, les tests de compatibilité sont un goulot d'étranglement courant. De nombreux environnements d'entreprise, notamment dans des secteurs tels que les télécommunications, fonctionnent avec une combinaison complexe de technologies héritées et modernes. Cela oblige chaque mise à jour à fournir un effort considérable pour garantir que le correctif ne cause pas de problèmes dans les systèmes dépendants. Ce type de précaution est compréhensible, mais il peut être atténué par l'adoption de pratiques telles que des environnements de test plus robustes et des processus automatisés de validation.
Un autre point qui contribue au retard dans l'application des correctifs est le manque de sensibilisation à la gravité des failles. Souvent, les équipes informatiques sous-estiment l'importance d'une CVE spécifique, surtout lorsqu'elle n'a pas encore été largement exploitée jusqu'à présent. Le problème est que la fenêtre d'opportunité pour les attaquants peut s'ouvrir avant que les organisations ne réalisent la gravité du problème. C'est un domaine où l'intelligence des menaces et une communication claire entre les fournisseurs de technologie et les entreprises peuvent faire toute la différence.
Enfin, les entreprises doivent adopter une approche plus proactive et prioritaire pour la gestion des vulnérabilités, ce qui inclut l'automatisation des processus de correctifs, la segmentation des réseaux, limitant l'impact d'éventuelles intrusions, la routine de simuler régulièrement d'éventuelles attaques, ce qui aide à identifier les potentiels « points faibles ».
La question des retards dans les correctifs et mises à jour n'est pas seulement un défi technique, mais aussi une opportunité pour les organisations de transformer leur approche de la sécurité, la rendant plus agile, adaptable et résiliente. Avant tout, ce mode de fonctionnement n'est pas nouveau, et des centaines d'autres attaques sont menées de la même manièremode de fonctionnement,à partir de vulnérabilités qui sont utilisées comme porte d'entrée. Tirer parti de cette leçon peut faire la différence entre être une victime ou être prêt pour la prochaine attaque.
