Professional Documents
Culture Documents
Retour
dexperience
desexperts
ITrust
10
99%
failles
descurit
correspondent
Introduction
Ce nest pas une surprise, lanne coule a encore t riche en actualit concernant la cybercriminalit.
Cette criminalit est dailleurs devenue un enjeu stratgique pour les tats qui ne sont pas non plus labri de
cette menace. On se souvient notamment du piratage trs mdiatis de llyse [1].
75% cest le nombre dentreprises pirates au cours des deux dernires annes selon une tude du Cenzic[2].
Ce chiffre atteint mme les 90% sur les statistiques des tests dintrusion mens par ITrust chez nos clients.
Durant ces cinq dernires annes, les consultants du pole pentest (audit intrusif) dITrust sont intervenus
une centaine de fois pour raliser des tests dintrusions chez nos clients.
Ces tests sont aussi bien raliss en interne, en externe pour tester les
services du client en DMZ ou encore sur de simples sites web. Voici la
rpartition des ces diffrents tests.
web 12%
interne 50%
externe 38%
Livre blanc
Dans le but dapporter un clairage objectif sur la pertinence de ce palmars, nous nous sommes attachs
constituer des statistiques sur lchantillon de donnes que nous traitons.
Service (19%)
Industrie (15%)
Banque (19%)
Public (4%)
Hbergeur (6%)
Sant/Agro/
Pharma (25%)
Cet article dresse le panorama des 10 vulnrabilits les plus rencontres lors de nos audits accompagns
dtudes de cas. Cest donc un retour dexprience concret sur les 5 dernires annes dexprience des
quipes techniques dITrust.
Lors de nos audits ou des interventions sur incidents ralises par ITrust, 99% des systmes ont t
compromis par au moins une de ces 10 failles.
Livre blanc
Hotellerie (4%)
Aronautique (8%)
Retour dexprience :
le top 10 des vulnrabilits rencontres
10
Corriger
ces 10 vulnrabilits
essentielles permettrait
dlever grandement
leniveau de scurit dune
organisation.
Cette vulnrabilit nen est pas vraiment une en soi, mais elle est souvent ltape
initiale lors dun test dintrusion. Mme si cette faille ne permet pas de compromettre
Les domaines trop verbeux fournissent aux attaquants des informations cruciales
pour organiser leurs attaques. Que se soit au travers de connexions LDAP ou Samba,
Dans la catgorie des grands bavards, on retrouve les deux principaux serveurs :
Le DNS est un service utilitaire primordial pour le bon fonctionnement des services
Livre blanc
Le besoin den connaitre est une notion primordiale en scurit pour sassurer de
la confidentialit des donnes. Bien souvent la gestion des droits sur les partages
de fichiers prsente des faiblesses : des restrictions daccs trop laxistes, voire
inexistants, permettent dobtenir de nombreuses informations stratgiques et
confidentielles.
Relations de confiance:
propagation de la compromission
Livre blanc
Protocoles dadministration:
Base de donnes
Mme dans les entreprises o la scurit est prise en compte sur les postes
Les bases de donnes sont une cible de choix, car elles renferment beaucoup
dinformations utilisables. Lorsque les mots de passe par dfaut sont changs, les
tout le temps la trappe. Que ce soit les lments actifs du rseau comme les switchs
ou les routeurs ou les imprimantes, la scurit est souvent nglige. Ainsi les mots de
utilisent souvent des mots de passe faibles qui sont fonction du nom du serveur.
passe dadministration par dfaut sont rarement changs et sils le sont, il reste les
Au-del des informations confidentielles contenues, ces bases contiennent des listes
dutilisateurs dont il est facile dobtenir les mots de passe par cassage. Ces comptes
La prsence de protocoles non scuriss qui font transiter les mots de passe en clair
constitue aussi une source trs importante de vecteurs dattaques : prenons par
exemple : FTP, Telnet,
21%
20%
20%
13%
15%
10%
12%
10%
4%
5%
3%
1%
1%
le
ss
or
di
na
te
ur
s
po
rt
ab
ta
tio
le
s
ns
de
tr
av
ai
l
le
sr
le
s
ss
ea
up
ux
po
rt
sm
o
le
bi
st
le
ab
s
le
le
sp
tt
es
ol
iti
/P
le
qu
sd
C
es
at
en
a
c
e
lig
nt
ne
er
le
sd
s
m
e
at
co
r
n
du
ie
ld
ite
e
pr
od
uc
le
tio
si
n
m
pr
im
an
te
s
0%
Livre blanc
tude de cas :
Arrt de la production
Le SNMP nest pas le seul protocole
dadministration ouvert. Prenons le
cas dun onduleur sur les chaines de
production dun client. Cet onduleur
est en configuration usine, il suffit
donc de se connecter sur le serveur
web dadministration avec les
comptes par dfaut pour avoir la possibilit dteindre tous les serveurs
de production.
Dans ce cas, la socit autorisait les commerciaux avoir une instance de lERP sur leur
poste pour pouvoir lutiliser en clientle. Le service de base de donnes coutant sur le
rseau, il ne fallut que peu de temps pour trouver le mot de passe vident et obtenir la liste
des clients de la socit et les propositions associes - un vrai trsor trs profitable la
revente pour un attaquant.
Partage de fichiers
4
4
Serveurs labandon
Un constat qui est fait lors de nos audits est quil ny a presque jamais dinventaire
matriel ou logiciel ralis au sein des systmes dinformations. Lors dun audit,
la dcouverte de serveurs de tests ou de serveurs labandon, non maintenus
http://buff.ly/ZWQ2Mv
Des chercheurs de lUniversit
Columbia affirment quils ont dcouvert une nouvelle classe
de failles de scurit informatique qui pourrait avoir un
impact sur des millions dentreprises, les consommateurs, et
mme des organismes gouvernementaux. Les imprimantes
peuvent tre contrles distance par des criminels informatiques sur Internet.
Livre blanc
Vulnrabilits Web
Cette catgorie pourrait faire lobjet dun article part entire tant le sujet est
Phase 2 : exploitation
vaste. Les vulnrabilits web ne reprsentant pas - dans notre cas la majorit
trs souvent lors daudit de site web, il est possible dexploiter des vulnrabilits
applicatives.
Si on confronte le top 10 des vulnrabilits web fourni par lOWASP [3] notre retour
Une fois que lon a identifi une vulnrabilit exploitable sur le site, si les privilges
ne sont pas grs correctement, il est souvent possible de prendre la main sur le
Une socit de scurit propose ses clients un systme de vido surveillance de leurs
locaux accessible par internet. Les cookies de sessions ne sont pas protgs et le rejeu
est possible. Ainsi, tout utilisateur peut deviner le format des cookies et accder alatoirement la vidosurveillance dun autre client. Le problme aurait pu se limiter la
divulgation entre clients si les mots de passe pour se connecter navaient pas t aussi
faibles. Le systme de scurit se transforme avec peu de ressources en un moyen efficace
pour organiser un cambriolage.
Livre blanc
mot de passe
failles historiques
Chez 96% des clients audits, un mot de passe par dfaut ou trivial permet daccder
lequel les utilisateurs sont le plus sensibiliss en entreprise, il reste pourtant lun des
correctifs sont fournis par les diteurs ds quelles sont publies. Il suffit de mettre
jour les systmes pour sen prmunir. Cependant, ces vulnrabilits sont le plus grand
vecteur dattaques et dinfections des systmes dinformations. Les dernires grandes
RETOUR DEXPRIENCE :
grce une vulnrabilit sur les serveurs web connue et corrige plusieurs mois
avant.
complment
aux
10
failles
Livre blanc
enrichi de 3 failles.
Montant le total
13failles.
Ce top 13 reprsente
Conclusion
Plus de 9 fois sur 10 nous pntrons sur un systme dinformation au cours dun
firewalls ne sont plus assez efficaces pour les protger. Ils saperoivent que nombre
audit. Et ce partir dune faille de scurit triviale (issue du Top10); depuis une
dentre nous leur ont menti leur promettant la fin de leurs problmes avec de
nouveaux outils.
se fait plus grand. Les systmes sont extraordinairement vulnrables et rares sont
Souvent nous rencontrons des clients qui empilent des outils de scurit comme les
couches dun millefeuille alors quen supprimant ces 10 failles essentielles, le niveau
Un peu, comme en mdecine lors de lapparition dun virus. Les antibiotiques actuels
mettre en place des contrles permanents pour vrifier ces points. Un rapport de
Verizon montrait cette anne que 97% des violations de donnes auraient pu tre
immuable de la scurit, nous avons souhait expliquer depuis des annes avec
ITrust nos clients, nos RSSI et nos RSSI, quil existe une autre voie complmentaire
la voie de la mdecine classique. Une mdecine alternative, mais complmentaire,
fonde sur les meilleures pratiques et une bonne hygine. Une sorte de mdecine
chinoise (attention sans routeur chinois inside ;-) qui prvient plutt que gurir.
Alors mme que la quasi-totalit des problmes pourraient tre vites simplement
avec des contrles trs simples, davantage dentreprises subissent des incidents
Savez-vous par exemple (mais vous devez le savoir) que la prsence de mots de
passe par dfauts est de 98% dans les entreprises que nous auditons?
clients dans lexpectative. Peu dentre eux comprennent pourquoi nous devons
toujours 20 ans aprs continuer amliorer les systmes par de nouvelles mthodes
(source ITrust)
et nouveaux outils. Ils constatent avec effarement et incrdulit que les antivirus et
10
Livre blanc
Vous avez des firewalls et des systmes de protection et vous subissez pourtant des
Savez-vous que la plus grande attaque informatique (Stuxnet) aurait pu tre vite
tous les outils et les budgets scurit importants les principes de base de la scurit
En respectant ce que lon appelle de plus en plus aujourdhui une bonne hygine de
ne sont pas respects, nous sommes toujours aussi vulnrables et il est encore plus
Ce que nous disons est confirm par les pus grands experts ainsi que par les tudes.
Les grandes catastrophes auraient pour la plupart pu tre vites par des solutions
B est P ractices
Les anti-virus ne sont plus efficaces pour rpondre aux nouvelles
menaces. Maintenir un bon niveau de scurit en vitant les mots de
passe par dfaut et en surveillant les vulnrabilits reste lameilleure
pratique de scurit actuelle pour les PMEs.
Contrles de base
Selon une enqute mene par Verizon [1] sur les attaques rseau:
La majorit des attaques surviennent encore et toujours parce que des contrles en place
ntaient pas implments de faon cohrente pour lensemble de lorganisation.
Beaucoup dorganisations dfinissent des rgles et des procdures de scurit mais
ngligent de les implmenter avec.
[1] 2009 Data Breach Investigations Report, Verizon Business Risk Team
ouverte
Le virus Stuxnet :
utilisait le mot de passe par dfaut des quipements Siemens
Drame du Hesel :
Vous tes content de ne pas tre gav de mdicaments tous les matins.
assistent au match
La SSI cest la mme chose, mais cest un discours difficile entendre, tant lon nous a
rabch pendant 20 ans que les mdicaments taient la seule solution a nos maux.
11
Livre blanc
Sur les dernires annes notre constat, est partag par dautres experts : 10 failles
de scurit reprsentent 99% des failles et des problmes rencontres dans tout type
Bien souvent, le salut vient de la rglementation. Cest une fois quils seront
dentreprise.
obligatoires que ces contrles seront mis en place de manire systmatique. Alors
quen est-il ?
Top 1 0 de s fa ill e s da n s l e s e n tr e p ri s e s
Confiance interdomaine
Livre blanc
Le Top 10 des vulnrabilits par ITrust
Proprit exclusive ITrust
Bibliographie
Rdacteurs
[1] http://lexpansion.lexpress.fr/high-tech/
cyberguerre-comment-les-americains-ontpirate-l-elysee_361225.html
[2] http://www.cenzic.com/resources/reg-required/whitePapers/Ponemon2011/
[3] https://www.owasp.org/index.php/
Top_10_2013-T10
[4] http://www.wired.com/images_blogs/threatlevel/2012/03/Verizon-Data-Breach-Report-2012.pdf
ITrust (www.itrust.fr) est une socit dexpertise en scurit depuis 2007 qui fournit son
expertise et ses produits plus de 100 clients
europens.
Elle dveloppe la solution IKare de dtection
de vulnrabilits (www.ikare-monitoring.com).
ITrust est laurat des investissements dAvenir,
Projet SVC de scurisation du cloud et dveloppe une technologie de rupture concernant
lanalyse comportementale.
ITrust est laurat 2013 du prix de linternational
du numrique, dcern par IEclub et Ubifrance.
55 avenue lOccitane
BP 67303
31670 Labge Cedex, France
Tl: +33 (0)567.346.781
Email: sales@itrust.fr
www.itrust.fr
www.ikare-monitoring.com