Anssi : des cyberattaques qui en feraient oublier les défauts de sécurisation

L’Agence nationale de la sécurité des systèmes d’information (Anssi) vient de publier son panorama de la cybermenace 2024. 

Du point de vue de l’Agence – le panorama s’appuie sur ce qui a été porté à sa connaissance et « ne constitue pas une revue exhaustive de l’actualité de la cybersécurité française en 2024 » –, la menace s’avère globalement stable sur un an, se maintenant à un niveau élevé. 

Et cela tout particulièrement sur le front des rançongiciels, à contre-pied d’observation suivant d’autres points de vue et périmètres. 

Mais comme le relève l’Anssi, « au-delà de son objectif de sensibilisation à la menace pesant sur la sécurité des systèmes d’information, le Panorama illustre également l’importance de l’application des mesures de sécurité ».

Et là, le tableau n’est toujours pas très glorieux : « Comme les années précédentes [l’Agence] observe ainsi que des attaquants aux compétences variables sont en mesure d’exploiter les vulnérabilités de SI, dont le niveau de sécurité est insuffisant ».

Dès lors, l’Anssi rappelle le « triptyque des bonnes pratiques de sécurité des systèmes d’information », avec la sécurisation, qui « constitue la première ligne de défense », en mode préventif, puis la supervision, qui « permet de détecter une activité malveillante », et enfin la réponse à incident. Laquelle « intervient en dernier lieu et comprend la gestion de crise, les investigations numériques et la remédiation ».

Et l’Agence de souligner que « les coûts de sécurisation du SI et de mise en place d’une supervision » s’avèrent « souvent largement inférieurs à ceux d’une remédiation ». Et cela ne serait-ce que parce que ces efforts de prévention et de détection « permettent de limiter significativement le risque de survenue d’un incident de sécurité et de limiter sa gravité et son impact ».

Las, si un « nombre important » des « bénéficiaires » de l’Agence « a recours à des produits ou services de détection de détection de sécurité », la sécurisation ne semble toujours pas au rendez-vous.

Et cela vaut en particulier pour l’annuaire d’authentification, « le plus souvent un annuaire Active Directory », dont l’Anssi rappelle qu’il constitue « l’actif le plus critique du SI ». À sécuriser en priorité, donc. Et l’Agence d’égrainer plusieurs scénarios constatés l’an dernier et ayant abouti au déploiement d’un rançongiciel, dont, en tête de liste, l’exploitation de la vulnérabilité dite « zerologon » datant de… 2020.

Une surprise ? Pas vraiment. Car selon l’Agence, 82 % des postes de travail des organisations utilisatrices de son service Active Directory Security (ADS) sont sous Windows 10, dont la fin de support est prévue pour octobre 2025. Et 36 % de leurs serveurs fonctionnent avec une version obsolète de Windows Server (2012R2 ou antérieur). 

Et l’Anssi n’a pas manqué de constater des défauts de configuration Active Directory chez les victimes de cyberattaques, jusqu’à parfois des mots de passe inchangés depuis 3 ans sur des comptes à privilèges. 

Enfin, après une année riche en vulnérabilités affectant des équipements de bordure, et permettant un accès distant à des ressources internes du SI, c’est sans trop de surprise que l’Agence s’y attarde. Et cela d’autant plus que « les neuf vulnérabilités les plus exploitées en 2024 » les touchaient justement. 

Las, relève l’Anssi, le risque est ici aggravé par « la confiance accordée à ces équipements » et « l’exposition trop fréquente d’interfaces d’administration sur Internet ».