Ces failles de sécurité qui peuvent coûter très chères aux entreprises
On se rappelle que durant le mois de janvier, la société Britannique Travelex était sous le coup d’une attaque informatique qui lui avait contraint de stopper ses activités sur plusieurs aspects.
Selon certaines informations, la firme aurait accepté de verser la rançon exigée par les cybercriminels pour libérer son système du rançongiciel qui l’avait infecté. Apparemment, les cybercriminels avaient réussi à entrer dans le système via une vulnérabilité qui affectait un VPN dont certains correctifs de sécurité n’avaient pas encore été appliqués. Selon le média américain The Wall street journal, Travelex a consenti à payer près de 2,3 millions de dollars ce qui équivaut à 285 bitcoins.
Cet article va aussi vous intéresser : Travelex, victime d’une attaque informatique
Un cas d’école qui met en évidence l’importance de ne pas négliger les failles de sécurité. Dans ce contexte comme dans plusieurs autres, la facture a été salée pour les victimes. Dans ce cas par exemple de travelex, les pirates informatiques auraient exigé à l’origine de 6 millions. Selon le média ComputerWeekly du groupe TechTarget, le rançongiciel utilisé ici serait Revil/ Sodinokibi. Ce programme malveillant programme est généralement distribué grâce à des serveurs VPN Pulse Secure qui seraient touchés par la faille dénommée CVE-2019-11510. Une vulnérabilité dont le correctif de sécurité existe depuis le mois d’avril 2019. Par ailleurs le moteur de recherche Shodan avait référencé un serveur qui n’avait pas encore appliqué les correctifs de sécurité, et ce serveur appartenait apparemment à Travelex. L’expert en sécurité informatique Brad Packets avait même signalé la vulnérabilité, c’est-à-dire 2 mois avant l’attaque informatique, et il n’y a eu aucune réponse de la part de la société.
Malheureusement ce genre de négligence ou de manque de promptitude de la part des structures n’est pas du tout isolé. En effet on se rappelle que fin août 2019, plusieurs autorités dans le domaine de la cybersécurité en Europe avait signalé plusieurs failles de sécurité présentes sur les réseaux virtuels privés des fournisseurs tels Fortinet, Palo Alto Networks et Pulse Secure. Révélées durant l’été, ces différentes failles de sécurité ont inquiété même le gouvernement français. Ses équipes de CERT ont souligné à cet effet que : « pour chacun de ces produits, les chercheurs ont réussi à exécuter du code arbitraire à distance exploitant ces vulnérabilités ». Et ce n’est pas tout. Valéry Marchive relevait a propos de ces vulnérabilité ceci : « Et pour ne rien gâcher, d’autres équipements très sensibles et exposés sur Internet sont affectés par des vulnérabilités tout aussi critiques. Cela vaut ainsi pour les systèmes Citrix ADC/Netscaler Gateway touchés par la vulnérabilité CVE-2019-19781 dite Shitrix. Celle-ci apparaît exploitée activement depuis la mi-janvier. ». De plus, l’opérateur Bretagne Telecom avait aussi révélé avoir été victime d’une attaque informatique durant le mois de février. Mais contrairement à Travelex, il a réussi à s’en tirer sans trop de peine.
La firme Danoise ISS qui avait été infecté par le rançongiciel Ryuk a eu malheureusement plus de difficultés pour s’en debarrassé. Dans son cas, les pirates informatiques avaient réussi à s’introduire dans le système en passant par le service de messagerie électronique. En observant de plus près, les experts se sont aperçus que le problème n’était pas lié au comportement des employés ou même à l’hygiène numériques des employés. C’est alors qu’il a été révélé par le moteur de recherche Onyphe qu’ISS avait été exposée à une faille de sécurité Citrix via certains équipements sur internet. Selon Bad Packets Report, une faille de sécurité pareille avait été découvertes par le spécialiste, et qu’il avait même informé les autorités compétentes. Et pas que cela, « Il faut ainsi compter également avec la vulnérabilité CVE-2020-1938, qui affecte le connecteur AJP d’Apache Tomcat, dite Ghostcat, ou encore la CVE-2020-0688 touchant les serveurs Exchange : celle-ci permet de prendre le contrôle complet du serveur après authentification réussie avec des identifiants préalablement dérobés. » notait la rédactrice en chef.
Bad Packets vient encore de faire un bilan sur les différents équipements vulnérables dans ses activités de recherche reliées aux serveurs présentant des failles de sécurité. Rapid7 inquiétait la semaine dernière sur les très faibles taux de d’engagement quant à l’application des correctifs. L’on se dit qu’en principe, le coût d’une attaque informatique devrait quand même inciter les entreprises à ne pas négliger certaines mises à jour de sécurité. Mais la réalité reste décevante.
Accédez maintenant à un nombre illimité de mot de passe :