TRANSITION NUMÉRIQUE - INNOVATION - COMPÉTITIVITÉ

14Avr 2021

[Avis d’experts] Failles Microsoft Exchange : de l’histoire ancienne ? Ce qu’il faut retenir 2/2

Par Inès FERNANDES Sécurité, Technologies
Adista Microsoft Exchange vulnérabilité

Nous poursuivons aujourd’hui notre série d’articles dédiés aux vulnérabilités (notre état des lieux des vulnérabilités à redécouvrir ici). Deux experts en cybersécurité Adista, Bertrand Maujean, RSSI et David Boucher, Responsable du Pôle d’expertise Cybersécurité, ont décortiqué dans un premier épisode les failles sur les serveurs de messagerie Microsoft Exchange rendues publiques en mars 2021.

Des failles de type « zero day » (vulnérabilités dont l’éditeur n’avait pas connaissance) particulièrement critiques car déjà exploitées par des groupes de pirates bien avant la publication des patchs et mises à jour. Les conséquences peuvent être graves et certaines entreprises sont plus vulnérables que d’autres. Au-delà des incontournables mises à jour, comment préserver son système d’information et assurer sa résilience face au risque omniprésent de vulnérabilités ?

Ce qu’il faut retenir des vulnérabilités Microsoft Exchange, 2ème épisode :

 

Les mises à jour : indispensables ET suffisantes ?

« Les mises à jour sont indispensables mais pas suffisantes car les vulnérabilités ont pu être déjà exploitées de manière invisible et dormante. Si des attaquants se sont introduits avant l’application des correctifs de sécurité, ou reviennent via des portes dérobées non détectées, on peut supposer que ceux-ci prennent position en vue de divulgation de données, d’attaques par rançongiciel (DoejoCrypt créé spécialement pour ces vulnérabilités, par exemple, ou Pydomer déjà connu pour son tarif de 10 000 dollars de rançon) ou d’attaques par cryptomineurs (cryptage et enregistrement dans la blockchain de transactions, gratifiés par l’obtention de bitcoins). Rien ne peut prédire quand, exactement, la charge sera activée. Concernant le premier groupe de pirates à l’origine de cette découverte, HAFNIUM, on peut craindre des actes beaucoup plus subtils, discrets et dans la durée. Il est vraisemblable qu’HAFNIUM ait de tout autres ambitions que de ramasser des rançons à la petite semaine. Il n’y a pas besoin de déclarer la cyberguerre avant de lancer l’offensive. »

 

Que faut-il faire en complément des mises à jour ?

« Au-delà de la mise en œuvre des correctifs et mises à jour le plus rapidement possible, il faut chercher et détecter toutes les éventuelles compromissions. Chez Adista, une cellule TaskForce a été mobilisée spécifiquement pour cet incident. Elle a permis de sécuriser en quelques heures l’ensemble du parc sous infogérance Adista et d’effectuer les mesures d’analyse qui n’ont révélé aucune compromission. Les clients et partenaires, pour lesquels Adista n’a pas la gestion d’un serveur Exchange, mais pour lesquels Adista a connaissance de la présence d’un tel système, ont par ailleurs été alertés. Être accompagné, pour les entreprises qui n’ont pas les moyens internes de faire face à des incidents d’une telle ampleur, est un vrai plus et un gage de tranquillité. Fin mars, encore 8% des entités concernées n’avaient pas appliqué les correctifs et mises à jour.»

 

Quelles leçons en tirer pour la cybersécurité des entreprises ?

« Espérer le meilleur, se préparer au pire. C’est d’ailleurs le sujet d’un livre blanc, « Cybersécurité, de l’hygiène à la résilience », que nous avons publié il y a quelques mois et qui est disponible en téléchargement sur le site internet Adista. Prendre en compte ces risques est primordial pour mettre en place des mesures de prévention qui, en cas d’incident critique, garantissent la protection des données et de l’activité de l’entreprise. Ce qu’il faut retenir, c’est que quelques soient les lignes de défense en place, il peut toujours y avoir une vulnérabilité importante qui est découverte (voir notre article sur les vulnérabilités) et dans ce cas précis il faut disposer des moyens et surtout des processus pour être en capacité de réagir et de fermer le plus rapidement et efficacement les brèches.

Cet incident rappelle la nécessité d’une politique de cybersécurité globale, ou plutôt de cyber résilience, permettant de faire face aux menaces : VPN, filtrage email, outils de détection d’intrusion et de fuite de données, gestion des accès et privilèges… Des règles structurelles de cloisonnement des réseaux et des privilèges (principe de least privileged access), de prévention des mouvements latéraux (encadrer tout déplacement sur le réseau par l’identification / l’authentification), de défense en profondeur, sont indispensables pour atténuer les risques de ces menaces « 0-day ». Et bien-sûr, des sauvegardes utilisables qui permettent de remettre le système dans l’état où il était avant la compromission, à condition de pouvoir identifier et dater celle-ci précisément. Adista dispose d’un véritable savoir-faire dans ce domaine, et met d’ailleurs à votre disposition un autre livre blanc « Mettre en place une politique efficace de sauvegarde de ses données» ».