2,4 millions de serveurs exposés sur le net, et vous, et vous, et vous…

D’après le moteur de recherche Shodan, qui indexe les périphériques et services connectés à internet, 2,4 millions d’adresses IP exposent le service Remote Desktop sur internet en 2019, permettant ainsi la prise en main à distance des serveurs et postes de travail Windows. A noter que ce chiffre est en baisse d’un million par rapport à l’an dernier.

Le 15 mai dernier, Microsoft a en effet publié un correctif pour une vulnérabilité critique dans le service Remote Destop permettant, au mieux à un attaquant authentifié, et au pire, à n’importe qui, d’exécuter du code arbitrairement choisi avec les privilèges d’administrateur local.

Cela fait donc presqu’un mois que ce correctif est public. La communauté cyber dispose en outre de preuves convaincantes montrant que plusieurs chercheurs en sécurité ont réussi à développer des moyens fiables d’exploiter cette vulnérabilité. Sachant que la répartition des capacités techniques est assez homogène entre les chercheurs en sécurité informatique et les acteurs malveillants du monde de la cybercriminalité, il est fort probable qu’eux aussi disposent de moyens équivalents. Plus de deux millions de serveurs exposent ce service sur internet, dont 900 000 sont vulnérables. Certains sont des instances de test oubliées chez un quelconque hébergeur, d’autres sont des portes d’entrée au sein des réseaux de nombreuses entreprises.

Le 12 mai 2017, cela faisait presque deux mois que Microsoft avait publié un correctif pour une vulnérabilité critique. Et ce vendredi soir-là, j’étais dans un taxi, vers 23 heures, quand le mot clé “cybersécurité” prononcé par le journaliste à la radio m’a fait tendre l’oreille. Ce que ce dernier raconte alors, c’est qu’un malware a paralysé l’activité de plusieurs entreprises à travers l’Europe. Plus de développements à suivre dans les prochaines éditions.

Ce que la presse analysera un peu plus tard, c’est que ce malware exploitait une vulnérabilité dans un service responsable, entre autres, du partage de fichiers Windows, permettant ainsi l’exécution de code arbitraire. Cette vulnérabilité, corrigée le 14 mars par Microsoft, avait été exploitée depuis plusieurs années par un service de renseignement américain, lequel avait dû en révéler les détails à Microsoft sous la pression d’un service de renseignement russe qui, se faisant passer pour un groupe de hackers, menaçait de rendre le code d’exploitation public. Ce même code d’exploitation avait été volé à un employé d’un sous-traitant de ce service de renseignement américain, qui l’avait ramené dans son réseau personnel, les services de renseignements russes l’ayant localisé grâce à la compromission du réseau d’analyse d’un éditeur antivirus.

Le 14 avril 2017, The Shadow Brokers, groupe de hackers, rend public le code d’exploitation d’ETERNALBLUE. Un peu moins d’un mois plus tard, WannaCry en utilise une version pour se propager sur internet. Depuis, les journalistes parlent un peu plus de cybersécurité, mais à part ça rien n’a fondamentalement changé. Les organisations ont toujours du mal à déployer les correctifs, même dans le cas de vulnérabilités critiques, même quand les éditeurs et les agences gouvernementales intiment l’urgence de ce déploiement, et même après deux vagues virales destructrices de l’ampleur de WannaCry et NotPetya.

L’histoire peut se répéter, et je ne vois pas pourquoi elle ne le ferait pas, dans quelques semaines, si ce n’est quelques jours. Un malware est tout à fait en mesure d’exploiter la vulnérabilité dans Remote Desktop, probablement pour chiffrer les données des entreprises vulnérables et leur demander une rançon. Et si vous voulez mon avis, c’est plutôt une bonne chose.

Il y a, d’un point de vue opérationnel, deux grandes familles de ransomwares. La première (et la moins courante) – avec des membres comme WannaCry, NotPetya et Olympic Destroyer – intègre un composant de réplication avec un comportement de ver. En même temps que chiffrer la machine sur laquelle ils s’exécutent, ils découvrent le réseau autour d’eux et se répliquent, soit à travers une vulnérabilité, soit via des identifiants volés sur la machine infectée. La seconde, représentée par SamSam, Ryuk et Dharma, ne contient pas de composant de réplication. Elle est donc déployée par l’attaquant après une intrusion traditionnelle dans les systèmes victimes.

La réponse à ces deux familles diffère en théorie très peu, et consiste en une analyse du malware pour la première famille et des traces laissées par l’attaquant pour la seconde. Cela afin d’identifier les moyens d’intrusion et de réplication, et ainsi modifier son plan de reprise d’activité (PRA) afin de contrer ces moyens, puis dérouler ce PRA avec toute l’assurance et la pratique d’une organisation résiliente (qui a définitivement un PRA, le teste et le met à jour régulièrement, et a les compétences et les ressources pour le jouer tout en restant dans sa zone de confort).

Oui, je sais, c’est utopique, mais au moins ça n’est pas un problème de sécurité : la réponse d’une organisation à un ransomware ne diffère pas fondamentalement, sur le court terme, de la réponse à une défaillance massive de l’environnement de production informatique.

La raison pour laquelle c’est plutôt une bonne chose, c’est que les ransomwares ont le bon goût de s’annoncer quand ils frappent une entreprise. Ils marquent les esprits. La majorité des infections par ransomware traitées par le CSIRT Orange Cyberdefense aujourd’hui sont déjà le fait de services Remote Desktop, non pas via l’exploitation d’une vulnérabilité, mais à cause d’attaque en force brute sur l’authentification sur des comptes locaux, sur des serveurs mal configurés, dont les journaux ne sont pas surveillés. C’est sans doute un des facteurs ayant contribué à la réduction d’un million du nombre de serveurs exposant Remote Desktop en un an.

L’autre raison pour laquelle c’est plutôt une bonne chose, c’est l’alternative : un groupe d’attaquants dispose d’un code d’exploitation permettant d’exécuter du code arbitrairement choisi sur au moins 900 000 serveurs, et ne s’en sert pas pour distribuer un logiciel malveillant qui va chiffrer les données et afficher un message menaçant sur les écrans, mais pour saper l’avantage économique des victimes, voler des données de recherche, des portefeuilles de clients, des bordereaux de prix. Pour les responsables sécurité informatique, il devient urgent d’appliquer le correctif. Pourtant, ils sont accusés de crier au loup car il n’y a, à ce jour, aucune conséquence visible de cette vulnérabilité qu’ils vocifèrent critique.

C’est pourquoi je vous invite à cesser de vous inquiéter, et à apprendre à aimer les ransomwares. Après tout, ils sont aujourd’hui les principaux motivateurs des efforts de résilience informatique des organisations, et leur permettent au moins de finalement faire ce test de PRA qu’ils avaient tenté de planifier depuis des mois sans jamais y parvenir. Et après une crise, ces organisations pourront repartir sur des bases saines, avec une meilleure appréhension de l’ensemble des parties prenantes des impacts des vulnérabilités dans leur infrastructure, des processus internes de gestion de crise mieux rôdés, et un peu moins d’appréhension pour la prochaine. Il n’y a donc aucune raison que l’histoire se répète…

*CSIRT : Computer Security Incident Response Team