Les récentes attaques prétendument menées par le groupe chinois Salt Typhoon contre des entreprises de télécommunications et des pays – parmi eux se trouverait le Brésil – a mis en alerte le monde entier. Les nouvelles parlent du niveau de sophistication des invasions et, ce qui est le plus alarmant – les criminels, théoriquement, seraient encore dans les réseaux de ces entreprises
Les premières informations sur ce groupe sont apparues en 2021, quand l'équipe de Threat Intelligence de Microsoft a divulgué des informations sur la manière dont la Chine aurait réussi à infiltrer plusieurs fournisseurs de services Internet, pour surveiller les entreprises – et capturer des données. L'une des premières attaques menées par le groupe a été réalisée à partir d'une violation de routeurs Cisco, qui servaient de passerelle pour surveiller les activités Internet se produisant via ces dispositifs. Une fois l'accès obtenu, les hackers parvenaient à étendre leur portée à des réseaux supplémentaires. En octobre 2021, Kaspersky a confirmé que les cybercriminels avaient déjà étendu les attaques à d'autres pays comme le Vietnam, Indonésie, Thaïlande, Malaisie Égypte, Éthiopie et Afghanistan.
Si les premières vulnérabilités étaient déjà connues depuis 2021 – pourquoi avons-nous encore été attaqués? La réponse est, justement, comment nous gérons ces vulnérabilités au quotidien
Méthode de viol
Maintenant, ces derniers jours, des informations du gouvernement américain ont confirmé une série d'attaques contre des "entreprises et des pays" – ce qui se serait produit à partir de vulnérabilités connues dans une application VPN, du fabricant Ivanti, pas de Fortinet Forticlient EMS, utilisé pour faire le suivi sur les serveurs, dans les pare-feu Sophos et également sur les serveurs Microsoft Exchange.
La vulnérabilité de Microsoft a été divulguée en 2021 lorsque, logo dans la séquence, l'entreprise a publié les corrections. Une vulnérabilité dans les pare-feu Sophos a été publiée en 2022 – et corrigée en septembre 2023. Les problèmes rencontrés dans Forticlient sont devenus publics en 2023, et corrigés en mars 2024 – ainsi que ceux d'Ivanti, qui ont également eu leurs CVE (Vulnérabilités et Expositions Communes) enregistrés en 2023. L'entreprise, cependant, il a seulement corrigé la vulnérabilité en octobre dernier.
Toutes ces vulnérabilités ont permis aux criminels de s'infiltrer facilement dans les réseaux attaqués, en utilisant des identifiants et des logiciels légitimes, ce qui rend la détection de ces intrusions presque impossible. À partir de là, les criminels se sont déplacés latéralement à l'intérieur de ces réseaux, implantation de malwares, qui ont aidé dans le travail d'espionnage à long terme.
Ce qui est alarmant dans les récentes attaques, c'est que les méthodes utilisées par les hackers du groupe Salt Typhoon sont cohérentes avec les tactiques à long terme observées dans des campagnes précédentes attribuées à des agents étatiques chinois. Ces méthodes incluent l'utilisation de crédentiels légitimes pour masquer des activités malveillantes en tant qu'opérations routinières, rendant l'identification par des systèmes de sécurité conventionnels difficile. L'accent sur les logiciels largement utilisés, comme les VPN et les pare-feu, démontre une connaissance approfondie des vulnérabilités dans les environnements d'entreprise et gouvernementaux
Le problème des vulnérabilités
Les vulnérabilités exploitées révèlent également un schéma préoccupant : des retards dans l'application des correctifs et des mises à jour. Malgré les corrections fournies par les fabricants, la réalité opérationnelle de nombreuses entreprises rend difficile la mise en œuvre immédiate de ces solutions. Tests de compatibilité, la nécessité d'éviter les interruptions dans les systèmes critiques et, dans certains cas, le manque de sensibilisation sur la gravité des défaillances contribue à l'augmentation de la fenêtre d'exposition
Cette question n'est pas seulement technique, mais aussi organisationnelle et stratégique, impliquant des processus, priorités et, souvent, culture d'entreprise
Un aspect critique est que de nombreuses entreprises considèrent l'application de correctifs comme une tâche "secondaire" par rapport à la continuité opérationnelle. Cela crée ce qu'on appelle le dilemme du temps d'arrêt, où les dirigeants doivent décider entre l'interruption temporaire des services pour mettre à jour les systèmes et le risque potentiel d'une exploitation future. Cependant, les attaques récentes montrent que retarder ces mises à jour peut coûter beaucoup plus cher, tant sur le plan financier que sur le plan réputationnel
De plus, les tests de compatibilité sont un goulot d'étranglement commun. De nombreux environnements d'entreprise, surtout dans des secteurs comme les télécommunications, ils fonctionnent avec une combinaison complexe de technologies héritées et modernes. Cela nécessite un effort considérable à chaque mise à jour pour s'assurer que le correctif ne cause pas de problèmes dans les systèmes dépendants. Ce type de soin est compréhensible, mais peut être atténué par l'adoption de pratiques telles que des environnements de test plus robustes et des processus de validation automatisés
Un autre point qui contribue au retard dans l'application des correctifs est le manque de sensibilisation à la gravité des vulnérabilités. Souvent, les équipes informatiques sous-estiment l'importance d'un CVE spécifique, principalement quand il n'a pas été largement exploré jusqu'à présent. Le problème est que la fenêtre d'opportunité pour les attaquants peut s'ouvrir avant que les organisations ne réalisent la gravité du problème. C'est un domaine où l'intelligence des menaces et une communication claire entre les fournisseurs de technologie et les entreprises peuvent faire toute la différence
Enfin, les entreprises doivent adopter une approche plus proactive et priorisée pour la gestion des vulnérabilités, ce que comprend l'automatisation des processus de patching, la segmentation des réseaux, limitant l'impact des invasions possibles, la routine de simuler régulièrement des attaques possibles, ce qui aide à trouver les potentiels "points faibles".
La question des retards dans les patches et les mises à jour n'est pas seulement un défi technique, mais aussi une opportunité pour les organisations de transformer leur approche de la sécurité, la rendant plus agile, adaptable et résilient. Avant tout, ce mode de fonctionnement n'est pas nouveau, et des centaines d'autres attaques sont menées de la même manièremode de fonctionnement, à partir de vulnérabilités qui sont utilisées comme porte d'entrée. Profiter de cette leçon peut faire la différence entre être victime ou être préparé pour la prochaine attaque
