Encore trop de vulnérabilités exploitables dans les systèmes d’information

Les tests d’intrusion restent l’apanage des entreprises les plus matures. Et pourtant leurs résultats apparaissent loin d’être flatteurs. C’est du moins l’un des principaux enseignements du rapport annuel de Rapid7 sur les tests que ses équipes ont été amenées à conduire entre la fin 2017 et le début 2018.

Ainsi, sur 268 engagements – d’une durée d’une semaine en grande majorité –, seuls 67 ont fait ressortir un environnement dépourvu de vulnérabilités exploitables. Pour tous les autres, l’éventail est impressionnant et commence par des systèmes de partage de ressources en réseau vulnérables aux attaques par relais SMB – et cela vaut même pour 3 engagements externes ! Viennent ensuite le scripting intersites, l’élévation de privilèges, les injections SQL, etc.

La bonne nouvelle, serait-on tenté de dire, est que les entreprises ayant choisi de recourir aux prestations de Rapid7 ont fait preuve d’une maturité en progression. Ainsi, près d’un tiers ont demandé des tests internes, à savoir à partir d’une connexion à l’infrastructure, et non pas seulement des tests externes. Pour l’édition 2016 de l’étude de l’éditeur, cette part n’était que de 21 %.

Pour Rapid7, c’est là le signe que « les organisations adoptent, en général, une approche plus globale de leur sécurité réseau et sont plus enclines à évaluer tant leurs surfaces d’attaque interne qu’externe ». Et cela vaut en particulier pour les secteurs des communications et des médias, de la santé, de la manufacture, du commerce de détail, et des services.

Pour l’essentiel, ceux qui ont fait appel à l’éditeur se préoccupent principalement des données internes sensibles, des données à caractère personnel, des identifiants de comptes, et des données de cartes de paiement ou de comptes bancaires.

Mais si les vulnérabilités jouent un rôle important, elles ne sont pas seules. Les défauts de configuration comptent également. Ainsi, si les testeurs de Rapid7 ont été en mesure d’exploiter une vulnérabilité dans 84 % des cas, ils ont également pu mettre à profit un défaut de configuration dans 80 % ! Dans la liste de ces défauts, on relèvera, entre autres la réutilisation de mots de passe, l’absence de mise en pratique du principe de moindre privilège, la présence de comptes de service disposant de droits d’administration de domaine, le manque de segmentation réseau, ou encore la présence de comptes par défaut.

En fait, un défaut de configuration de quelque nature que ce soit a été observé dans près de 96 % des engagements strictement internes, et tout de même dans près de 65 % des engagements externes.

Accessoirement, Rapid7 souligne les points faibles des politiques relatives aux mots de passe. Celles qui exigent « au moins huit caractères, au moins une minuscule et une majuscule, un chiffre et un caractère spécial » ne préservent pas des mots de passe peu robustes… du genre « Summer2018! », qui peut tout à fait correspondre sans pour autant offrir un niveau de sécurité satisfaisant. Sur 251 engagements où l’un des objectifs était l’obtention d’identifiants, les équipes de l’éditeur ont réussi dans 132. Et pour ne rien gâcher, le taux de succès a même dépassé les 33 % pour les engagements exclusivement externes.

Les tests des équipes de Rapid7 font également ressortir des contrôles de détection défaillants : dans plus de 61 % des engagements, les intrus sont passés inaperçus. Une proportion qui n’évolue d’ailleurs que peu selon la taille de l’organisation. Pour l’éditeur, c’est bien simple : « tant les grandes que les petites organisations seraient bien inspirées de revoir leurs capacités de détection avant leur prochain test d’intrusion ». Et pas uniquement, selon toute vraisemblance.