Les experts en informatique de l’Unit42 de Palo Alto ont mis en place un réseau de 320 honeypots sur Internet et ont vérifié combien de temps il fallait pour que les services qui s’y trouvent soient attaqués et infiltrés. Les chercheurs utilisent de tels systèmes comme appât pour les cybercriminels afin d’analyser leurs méthodes. Le résultat n’est pas inattendu, mais néanmoins effrayant : au bout d’un jour seulement, 80 % des honeypots ont été piratés.
Les nœuds du honeynet fournissaient à parts égales des services tels que le Remote Desktop Protocol (RDP), le Secure Shell (SSH), Samba ou les bases de données PostgreSQL. Pour les données d’accès, les chercheurs en sécurité ont volontairement utilisé des combinaisons de mots de passe utilisateur faibles comme admin:admin, guest:guest ou administrator:password ont été définis. Le test s’est déroulé sur 30 jours entre juillet et août 2021, les différents honeypots étant situés en Amérique du Nord, en Asie-Pacifique et en Europe. Après une intrusion détectée ou lorsqu’une machine ne répondait plus, elle était réinitialisée à son état initial.
Il s’est écoulé en moyenne environ 3 heures avant la première attaque réussie sur SSH, 8,5 heures sur PostegreSQL, 11 heures sur RDP et environ 41 heures sur les services Samba. Ceci est en corrélation avec la fréquence des attaques, décrivent les chercheurs de l’Unit42 dans leur article sur ce test. La valeur moyenne masque le danger réel – après tout, selon le rapport, les premiers systèmes ont été trouvés et compromis après quelques minutes seulement.
Sommaire
Un service vulnérable comme ressource disputée
Mais il y a aussi une sorte de lutte pour les machines infiltrables. L’attaquant suivant se présentait à nouveau après des périodes assez similaires et s’introduisait dans les honeypots. Selon les chercheurs de Palo-Alto, les attaquants tentent généralement d’éliminer les traces laissées par les précédents cambrioleurs, comme les portes dérobées et les logiciels malveillants, et citent les cybergangs de crypto-minage dans ce contexte. Ces derniers utilisent les machines détournées pour miner des cryptomonnaies comme les bitcoins.
En outre, les experts en sécurité informatique énumèrent le nombre moyen d’IP d’attaquants qu’un honeypot a vu au cours des 30 jours. La plupart des IP ont tenté des attaques sur SSH, soit 179, suivies de 50 IP d’attaquants sur RDP, 11 sur Samba et 7 sur PostgreSQL. Parmi les adresses observées, environ 85 % n’étaient actives qu’un jour, les attaquants changent donc souvent de point de départ. Ainsi, les règles de filtrage des pare-feu basées sur des listes d’adresses IP attaquantes connues sont peu efficaces.
En outre, moins d’un cinquième des IP étaient actives sur plusieurs nœuds du Honeynet. L’un d’entre eux s’est particulièrement distingué en prenant le contrôle de 96 % des 80 honeypots PostgreSQL en 30 secondes seulement.
Être en alerte
Les résultats de ce test permettent de formuler quelques recommandations. Les temps de réaction pour corriger les failles sont trop longs lorsqu’ils durent des jours ou des semaines. C’est ce que l’on constate dans la pratique, par exemple avec les mises à jour d’Exchange pour les failles de sécurité qui ne sont pas encore appliquées, mais qui sont disponibles depuis le printemps de cette année au plus tard, et que les pirates utilisent pour s’introduire dans le système. Ou encore les intrusions régulières dans les réseaux via des logiciels VPN non actualisés.
Les administrateurs doivent entre-temps installer très rapidement les mises à jour de sécurité disponibles, mettre en œuvre le cas échéant les solutions de contournement disponibles ou réduire les surfaces d’attaque sur les services par exemple en les désactivant (partiellement). Il est également recommandé de mettre en place une surveillance et de vérifier régulièrement les résultats. Souvent, des services exposés sont actifs dans les réseaux alors qu’ils ne sont pas nécessaires – il suffit alors de les désactiver. Enfin, les résultats montrent également qu’il faut utiliser de bons mots de passe complexes.