Édito

Quelles sont les méthodes de cyberattaques à la mode ?

De nombreux témoignages publiés dans la presse placent le phishing comme la méthode préférée des attaquants pour pénétrer un SI. Effectivement, un simple lien dans un e-mail permet d’introduire au sein du réseau interne un code malveillant contrôlé depuis l’extérieur par un pirate. Cette attaque rend le pare-feu périmétrique inefficace, puisque, pour lui, le flux de contrôle provient de l’intérieur et usurpe un flux légitime autorisé. Face à cette évolution de la menace, dont l’utilisateur est le complice involontaire, est-il encore utile de réaliser des analyses pour lutter contre des attaques frontales depuis Internet ? Les tests d’intrusion simulant des attaques directes ont-ils encore un intérêt ? Si une maturité suffisante des dispositifs et processus est aujourd’hui souvent atteinte pour protéger le périmètre des entreprises et éviter la prise de contrôle du réseau interne, le phishing n’est pas le seul moyen de contourner les pare-feux. Un simple oubli laissant un port réseau non sécurisé sur un serveur suffit à permettre une intrusion sur le réseau interne. Dernièrement, une prestation de test d’intrusion nous a conduit à prendre le contrôle total d’un SI interne en exploitant une passerelle SIP (voix sur IP) mal sécurisée et accessible sur Internet. En outre, une intrusion au sein du réseau interne n’est pas toujours le moyen le plus simple pour causer des dommages critiques à sa cible. L’ouverture des SI aux partenaires ou clients entraine en effet un développement de la publication sur Internet de web services destinés à permettre un accès contrôlé à des données métier. Or, une faille dans les couches applicatives, par exemple de type injection SQL, peut permettre de contourner les contrôles et d’accéder à de grandes quantités d’informations sensibles. Les tests d’intrusion visant les infrastructures Internet et les sites ou applications web restent donc plus que jamais nécessaires.

Vincent Maret
Responsable de l’offre cybersécurité CGI Business Consulting