La surface d’attaque externe correspond aux différents points d’entrée potentiels que des acteurs malveillants pourraient utiliser pour s’introduire dans un système d’information. Maîtriser sa surface d’attaque externe en identifiant et en corrigeant ses vulnérabilités constitue donc un élément crucial pour toute stratégie de sécurité informatique.
Pourquoi est-il si important d’identifier les vulnérabilités de sa surface d’attaque externe ? Quelles sont les vulnérablités les plus courantes ? Comment les identifier et les corriger ?
Qu’est-ce que la surface d’attaque externe et pourquoi identifier ses vulnérabilités ?
Surface d’attaque externe : définition
L’expression « surface d’attaque externe » désigne les différents points d’entrée d’un système d’information correspondant aux actifs exposés sur Internet. La surface d’attaque externe est composée de différents « services web » au sens large : sites web, applications web, interfaces de programmation / API, points d’accès à distance, serveurs web, composants d’infrastructure tels que VPN, pare-feux, etc.
La taille de la surface d’attaque externe tend actuellement à s’accroître, augmentant dans le même temps le nombre de points d’entrée potentiels. Les différents composants de la surface d’attaque externe peuvent effectivement présenter des vulnérabilités, failles de sécurité et défauts de configuration.
Réduire les risques associés aux menaces externes
Du fait de leur exposition sur Internet, les différents composants de la surface d’attaque externe sont particulièrement vulnérables. Toute vulnérabilité non corrigée peut potentiellement devenir un vecteur d’attaque, ouvrant la voie à une cyberattaque plus poussée. Un acteur malveillant peut par exemple réussir à se connecter à un service web mal configuré, rebondir sur d’autres équipements (attaque par pivot) et compromettre le système d’information jusqu’à réussir une exfiltration de données. Maîtriser sa surface d’attaque devient alors un élément essentiel de toute bonne stratégie de prévention et de détection des menaces.
Surface d’attaque externe : quelles sont les vulnérabilités les plus courantes ?
1. Vulnérabilités non corrigées sur des logiciels et matériels
Non corrigées, les vulnérabilités d’un logiciel ou d’un système d’exploitation constituent de véritables de failles de sécurité, d’autant plus si les actifs sont exposés sur Internet.
Exemple : les failles « Zero-Day », détectées par les acteurs malveillants avant même d’avoir pu faire l’objet d’un correctif.
2. Défauts d’identification et d’authentification (gestion des sessions)
Des contrôles d’accès mal configurés peuvent permettre à des acteurs malveillants d’accéder à des ressources exposées sur Internet ou de réussir une escalade de privilèges.
Exemple : mauvaise gestion des accès à privilèges (comptes à privilèges laissés par défaut).
3. API non sécurisées
Le recours à des API se fait normalement via un protocole chiffré. Dans le cas d’un défaut de configuration d’un API, un acteur malveillant peut réussir à compromettre ou exfiltrer des données.
4. Services et ports ouverts (problèmes de configuration de pare-feux)
Les ports ouverts constituent également d’importants défauts de configuration, dans le cas de pare-feux pas ou mal configurés.
Exemples : port 80 laissé libre et non chiffré, port 21 laissé en libre accès, port 22 (SSH) permettant de se connecter en admin ou en root.
5. Défaut de chiffrement des communications
Le défaut de chiffrement des communications favorise le « sniffing réseau » et les attaques de type « Man-in-the-Middle ». L’utilisation d’algorithmes de chiffrement trop faibles (ou l’absence de chiffrement) peut permettre à des acteurs malveillants de récupérer des identifiants transitant sur le réseau. Le risque est accru dans le cas d’un réseau exposé sur Internet.
6. Chiffrement obsolète
De la même manière, des algorithmes de chiffrement anciens peuvent être exploités à des fins malveillantes.
- Protocoles de chiffrement à proscrire : SSL V3, TLS 1.0, TLS 1.1
- Protocole de chiffrement à privilégier : AES 956 minimum.
7. Défaut de segmentation du réseau interne
Un défaut de segmentation du réseau est considéré comme une vulnérabilité importante dans la mesure où il facilite la compromission. À l’inverse, segmenter correctement son réseau en fonction des besoins réduit les risques, d’autant plus si l’architecture est filtrée correctement via un pare-feu.
Exemple : séparer et isoler les zones réseau en fonction des besoins, certaines étant accessibles via Internet et d’autres non, ajouter du filtrage et des mesures de blocages en cas de suspicion de comportement anormal.
8. Manque de contrôle des composants issus de librairies externes
Le recours à des composants issus de librairies externes est quasiment devenu indispensable pour créer de nouvelles solutions. Cette situation peut entraîner une perte de contrôle sur les composants externes. Dans ce contexte, maintenir un haut niveau de sécurité informatique nécessite d’effectuer régulièrement des scanners de vulnérabilités et d’être attentif aux vulnérabilités publiées sur les modules utilisés. Charge aux équipes IT d’implémenter les corrections en les intégrant à leur plan de remédiation.
Exemple : vulnérabilités sur les modules SSH.
9. Failles humaines et attaques d’ingénierie sociale
Bien que n’étant pas considérées comme des vulnérabilités d’un point de vue technique, les failles humaines constituent malgré tout des points d’entrée pouvant être utilisés pour compromettre un système d’information.
Exemple : diffusion d’identifiants permettant de se connecter à un logiciel métier suite à un email de phishing.
10. Défaut de monitoring
Le monitoring concerne généralement la gestion des serveurs ou services internes à l’entreprise. Il permet d’en surveiller les performances grâce à un système d’alertes. Le défaut de monitoring ne constitue pas une vulnérabilité au sens technique du terme, mais présente cependant un risque en matière de sécurité informatique, puisque l’un des objectifs du monitoring est de détecter les attaques en temps réel.
Exemple : la détection d’un grand nombre de connexions sur un service peut indiquer une tentative d’attaque par déni de service distribué (DDoS).
Comment identifier et corriger les vulnérabilités grâce à une stratégie de prévention ?
Exercer une surveillance proactive
Maîtriser sa surface d’attaque externe et en identifier les vulnérabilités nécessite de bien la connaître. Cartographier son système d’information, en listant les différents systèmes d’exploitation et outils utilisés, facilite le monitoring des différents actifs et la détection d’éventuelles failles de sécurité, défauts de configuration, etc.
L’utilisation de scans de vulnérabilités s’inscrit également dans une démarche proactive en matière de sécurité informatique, consistant à identifier les menaces et à les réduire au lieu d’avoir à les subir.
Mettre en place une politique de gestion des vulnérabilités
Détecter les vulnérabilités de sa surface d’attaque constitue une première étape. Reste ensuite à mettre en place une politique de gestion des vulnérabilités consistant à :
• Évaluer les vulnérabilités (en fonction de leur sévérité, de leur exploitabilité)
• Prioriser le traitement des vulnérabilités, en prenant notamment en compte la criticité des actifs concernés (les vulnérabilités critiques et exploitables liées à des actifs exposés sur Internet étant les plus urgentes à corriger)
• Élaborer un plan de remédiation qui définira une organisation et des processus dédiés au patch management, affectera les ressources nécessaires à la mise en place des correctifs de sécurité, suivra la fréquence des mises à jour de sécurité, etc.
Ce qu'il faut retenir
Avec l’essor du nombre d’actifs exposés sur Internet, la gestion des vulnérabilités de la surface d’attaque externe revêt une grande importance en matière de sécurité informatique. Connaître sa surface d’attaque externe, avoir conscience des vulnérabilités les plus susceptibles de l’affecter et mettre en œuvre une stratégie de gestion des vulnérabilités font aujourd’hui partie des pratiques essentielles pour réduire les menaces externes.
Découvrez comment OverSOC peut vous aider à détecter les vulnérabilités de votre surface d’attaque externe : contactez-nous.
