Utrecht, le 24 septembre 2013 – Les experts de Kaspersky Lab et Outpost24 ont récemment mené un audit de sécurité auprès de plusieurs organisations européennes. Ils ont examiné dans ce cadre la présence de vulnérabilités non corrigées, afin de mieux brosser le tableau de la sécurité (ou de l’insécurité) du paysage informatique.

Le rapport établit clairement que même des attaques non complexes contre des réseaux d’entreprises peuvent réussir sans coûteux exploits « zero-day ». Bien que le nombre d’attaques « zero-day » augmente, les cybercriminels continuent de recourir de façon intensive à des vulnérabilités connues. Ce n’est pas étonnant, vu qu’il faut à une entreprise moyenne de 60 à 70 jours pour réparer une vulnérabilité – ce qui laisse aux pirates suffisamment de temps pour avoir accès au réseau d’une entreprise. L’audit révèle aussi que les cybercriminels n’ont pas besoin de pirater le système d’une entreprise; il leur suffit de « pirater » les personnes qui gèrent le système.

D’un point de vue général, on peut dire que toutes les vulnérabilités critiques doivent être résolues dans les trois mois. 77% des menaces qui étaient encore actives après ce délai de trois mois s’avéraient encore présentes un an après leur découverte. L’équipe de recherche de Kaspersky Lab et Outpost24 a rassemblé des données sur les vulnérabilités à partir de 2010 et a trouvé des systèmes qui sont vulnérables depuis trois ans. Au Benelux par exemple, 0,86% des systèmes d’entreprises présentent encore des vulnérabilités de 2012 et 0,7%, des vulnérabilités de 2011. Ces vulnérabilités non corrigées sont considérées comme critiques, en raison de la facilité avec laquelle elles peuvent être exploitées et de l’impact qu’elles peuvent avoir. Les chiffres liés aux vulnérabilités de dix ans ou plus sont encore plus étonnants. Ainsi, respectivement 0,11% et 0,18% des entreprises sont encore aux prises avec des vulnérabilités non corrigées de 1999 et 2002, en dépit du fait que ces entreprises ont payé pour un service spécial de contrôle de leur sécurité.

Après avoir collecté les données de l’enquête, en collaboration avec l’équipe Outpost24, le chercheur en sécurité de Kaspersky Lab David Jacoby a décidé de réaliser une expérience d’ingénierie sociale. Il voulait ainsi tester les efforts à déployer pour placer une clé ​​USB dans des ordinateurs d’administrations publiques, d’hôtels et d’entreprises privées. Armé de sa clé USB, sur laquelle se trouvait uniquement un PDF de son CV, Jacoby a demandé aux collaborateurs de la réception de onze organisations s’ils pouvaient l’aider pour imprimer un document en vue d’un rendez-vous à un endroit complètement différent.

Parmi l’échantillon de cet audit de sécurité figuraient trois hôtels de différentes chaînes, six administrations publiques et deux grandes entreprises privées. Les ordinateurs des administrations renferment généralement des informations sensibles sur les citoyens, tandis que les grandes sociétés privées ont souvent des connexions réseau avec d’autres entreprises. Les hôtels cinq étoiles sont des lieux où séjournent fréquemment des diplomates, des politiciens et des cadres supérieurs.

Seul un hôtel a accepté sans problème de brancher la clé USB de Jacoby à son ordinateur, les deux autres ont refusé. Les sociétés privées ont elles aussi rejeté sa demande. Parmi les six administrations visitées, pas moins de quatre ont aidé Jacoby, en branchant sa clé USB à l’un de leurs ordinateurs. Dans deux de ces organisations, le port USB était désactivé, et le personnel a invité Jacoby à envoyer le fichier par e-mail. Une opération qui laisse suffisamment de marge pour exploiter des vulnérabilités présentes dans le logiciel PDF.

"Ce qui m’a vraiment surpris, c’est que les hôtels et les sociétés privées étaient davantage conscients des risques et avaient une meilleure protection que les administrations publiques. Sur la base de cette expérience, nous pouvons conclure qu’il existe un sérieux problème. L’audit de sécurité que nous avons réalisé est pertinent pour chaque pays, parce qu’il existe partout un battement entre le moment où une vulnérabilité est découverte et le moment où un correctif est disponible. Il faut espérer que le résultat de l’enquête de terrain avec la clé USB ouvre les yeux de ceux qui sont à la recherche de solutions de sécurité personnalisées s’attaquant aux « menaces de demain ». Elle montre qu’il est au moins aussi important d’apprendre à son personnel à rester toujours vigilant", précise David Jacoby, Senior Security Researcher de la Global Research & Analysis Team (GReAT) de Kaspersky Lab.

"Il est regrettable de voir que des entreprises gaspillent de précieux moyens financiers dans de potentielles menaces à venir, alors qu’elles ne parviennent pas à faire face aux menaces actuelles", indique Martin Jartelius, Chief Security Officer d’Outpost24. "Qu’il s’agisse de mesures de sécurité peu strictes, d’un équipement de sécurité mal configuré ou de collaborateurs pas suffisamment formés: les entreprises doivent comprendre qu’il est possible de prendre le contrôle de grandes parties de leur organisation, même sans recourir aux attaques ou méthodes les plus récentes. C’est la raison pour laquelle il est essentiel de ne pas baser l’approche en matière de sécurité uniquement sur des moyens individuels, mais de viser une approche intégrée avec des solutions faisant partie intégrante des processus métiers de l’entreprise."