Mercredi 16 Septembre 2020
Laurent Leloup

Dispositif VPN en entreprise : pourquoi est-ce une fausse bonne idée ?

Entretien avec Jean-Christophe Vitu, VP Solutions Engineers chez CyberArk


Pendant la crise du Covid-19, de nombreuses organisations se sont tournées vers les solutions VPN afin de fournir aux collaborateurs en télétravail un accès à distance aux réseaux d’entreprises. Pratique et facile d’utilisation, les VPN offrent aux utilisateurs un accès étendu aux systèmes, aux applications et aux données internes. Toutefois, ils sont un véritable cauchemar pour les équipes IT qui essaient de limiter les risques d’une cyberattaque. Afin de réduire la surface d’attaque et de proposer une méthode de sécurisation de connexion adaptée, les administrateurs doivent se poser les bonnes questions avant de mettre en place un tel dispositif.

Pourquoi est-il important de mettre à jour son service VPN pour limiter la surface d’attaque ? D’après nos recherches, 85 % des télétravailleurs français utilisent des équipements personnels non sécurisés et non gérés par les équipes IT pour se connecter aux réseaux d’entreprises. Avec le télétravail, les employés à distance profitent d’une plus grande flexibilité dans leur organisation et peuvent, grâce aux services VPN, se connecter aux réseaux d’entreprises facilement. Cependant, loin d’être parfait, ce procédé implique de nombreux risques pour la sécurité des réseaux internes.

Ces dernières années, les VPN sont devenus un canal d’attaque de plus en plus employé par les cybercriminels qui profitent de toutes les vulnérabilités pour s’infiltrer dans un environnement logiciel et soutirer des données. Rien qu’en 2019, des chercheurs ont découvert une série de failles dans les VPN, dont le CVE-2019-14899 grâce auquel les hackers menaient des campagnes malveillantes comme Fox Kitten. Ces attaques soulignent l’importance pour les organisations, et particulièrement celles qui dépendent entièrement de services VPN, de s’assurer que ces serveurs sont mis à jour régulièrement et sont correctement configurés.

Les utilisateurs sont-ils suffisamment sensibilisés contre les escroqueries ? Grâce à des techniques variées d’ingénierie sociale, les pirates informatiques profitent de toutes les situations sensibles pour attaquer des réseaux. Ce principe est l’illustration même que l’humain est, dans la plupart des situations, le maillon faible de la chaîne de sécurité.

En effet, la crise sanitaire a prévalu sur la vigilance et le bon sens de certains utilisateurs. Il était alors facile pour les hackers d’exploiter leurs inquiétudes en conduisant des attaques de phishing de masse dissimulées derrière des publicités et des recommandations en apparence légitimes. Par exemple, en leur adressant des annonces de vaccins et des messages urgents concernant une nouvelle recommandation sur la gestion du coronavirus. Ces stratagèmes ont même appâté les employés les plus conscients des cyber-risques.

De plus, les clients des banques en lignes et ceux qui utilisent des services internet et/ou applications bancaires doivent redoubler de vigilance lorsqu’ils sont connectés à un réseau WiFi public et à un réseau VPN. De nombreuses attaques ciblent particulièrement des identifiants et données bancaires des particuliers puisqu’elles sont financièrement plus avantageuses. Dans le secteur bancaire, le phishing est une technique classique permettant de compromettre des informations, grâce à des pages internet et des liens frauduleux demandant une contrepartie monétaire. Un VPN ne peut déjouer ce type d’attaque.

Par ailleurs, pour des raisons de conformité, les sociétés financières sont peu disposées à autoriser le télétravail de leurs salariés. Forcées par la situation actuelle, elles ont dû s’assurer que les serveurs VPN avaient assez de capacité pour soutenir l’ensemble des connexions et des données des collaborateurs à distance. De plus, ces organisations financières ont dû configurer des paramètres de sauvegarde et de reprise au cas où un incident surviendrait. En effet, cet ensemble d'outils et de paramètres permettent la maintenance des systèmes essentiels, et évitent que tout ne repose que sur le VPN en cas de cyberattaque.

Ainsi, il est essentiel pour les entreprises de sensibiliser les utilisateurs et de veiller à ce qu’ils signalent immédiatement tous les incidents, et particulièrement les tentatives de phishing. En effet, un cybercriminel repère une faille dans les services VPN et peut alors s’en servir de point d’entrée pour s’introduire dans les réseaux et les serveurs d’une entreprise.

Comment les utilisateurs se font-ils pirater via les services VPN ? Un VPN client est une application permettant de se connecter à des réseaux privés ou virtuels, grâce à un serveur VPN préconfiguré, ou encore grâce à une adresse IP ou un nom configuré.

En général, le nom du serveur VPN se trouve sous forme DNS (Nom de Domaine), c’est-à-dire un URL plus esthétique dirigeant l’utilisateur vers une adresse IP spécifique. Il arrive alors qu’un cybercriminel ne puisse pirater directement le client ou le serveur VPN, et doive passer par l’enregistrement DNS afin de détourner la session utilisée. Dans ce cas précis, les hackers interceptent le réseau se situant entre le site web et un utilisateur qui contient un identifiant de connexion lui permettant alors d’obtenir un accès non autorisé.

Si une organisation a utilisé un service cloud sans supprimer les enregistrements DNS, elle est alors plus vulnérable au détournement de nom de domaine. N’importe qui peut exploiter les failles et les utiliser à des fins malveillantes. Afin d’atténuer les risques de compromission et dans la mesure du possible, les entreprises devraient configurer l’adresse IP des serveurs sans utiliser son nom de domaine.

Comment les utilisateurs peuvent-il se connecter à internet lorsqu’ils se trouvent à distance ? En principe, les salariés accèdent au service internet via leur réseau domestique en Wifi ou encore via un service WiFi gratuit. Seulement, ces réseaux sont rarement suffisamment sécurisés et ils sont visés par des cyberattaques. Celles-ci peuvent être simples et variées, notamment en attaquant des protocoles WEP faiblement chiffrés grâce à un SSID (Service Set IDentifier), ou encore via un mot de passe par défaut et en utilisant un Krack Attack qui tirent parti des faiblesses des normes WiFi, voire en utilisant un jumeau maléfique c’est-à-dire un point d’accès WiFi frauduleux mis en place pour voler des mots de passe.

Une fois qu’il a infiltré le réseau, un cybercriminel utilise la technique du spoofing, et ainsi peut alors détourner les noms de domaine. Il compromet directement l’appareil et déniche de précieuses informations stockées localement avant de s’introduire dans les réseaux de l’entreprise.

Pour une organisation, la meilleure façon de se prémunir des risques est de n’autoriser que les terminaux sur lesquels le service IT exerce un contrôle. Les équipes de sécurité peuvent alors installer les outils adéquats pour détecter des attaques malveillantes à distance. Nous avons pu constater que si 90 % des équipes IT françaises sont confiantes dans leur capacité à sécuriser la nouvelle main d’œuvre à distance, 45 % n’ont pas renforcé leurs protocoles de sécurité malgré le profond bouleversement intervenu dans la manière dont les employés se connectent aux systèmes de l’entreprise et l’ajout de nouvelles applications de productivité.

Les identifiants des utilisateurs sont-ils suffisamment fiables pour garantir la protection des comptes en ligne ? Au sein de nombreuses entreprises, l’application des politiques de connexion n’est pas assez stricte et respectée pour assurer une barrière de sécurité élevée. Les équipes IT ont particulièrement conscience que les identifiants de connexion sont des données lucratives pour les pirates informatiques et qu’il faut donc les protéger en conséquence. L’authentification multifactorielle protège les accès et est incontournable pour servir de rempart aux réseaux d’entreprise.

(adsbygoogle = window.adsbygoogle || []).push({});

No Offer, Solicitation, Investment Advice, or Recommendations

This website is for informational purposes only and does not constitute an offer to sell, a solicitation to buy, or a recommendation for any security, nor does it constitute an offer to provide investment advisory or other services by FINYEAR.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.



Articles similaires