Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Selon Barracuda, 98 % des attaques à distance d’ordinateur en 2023 ont pour origine les multi-plateformes VNC et la plupart proviendrait de Chine

mai 2024 par Barracuda Networks

Dans son dernier rapport Threat Spotlight, Barracuda a examiné les outils d’accès à un ordinateur à distance (remote desktop tool) les plus ciblés par les attaquants l’an dernier, ainsi que les failles de sécurité qui ont permis aux intrus d’y entrer. Les résultats montrent que les Virtual Network Computing (VNC) sont de loin l’outil le plus ciblé, selon les données de Barracuda, représentant 98 % du trafic sur tous les points d’accès spécifiques en 2023.

Un VNC est un outil indépendant et permet aux utilisateurs et aux appareils de se connecter aux serveurs, quel que soit le système d’exploitation. Il est largement utilisé dans les secteurs où les infrastructures sont critiques, comme les services publics, qui constituent une cible de choix pour les cyberattaques.

La méthode d’attaque la plus simple et la plus répandue contre les outils : l’utilisation frauduleuse d’informations d’identification faiblement protégées, réutilisées et/ou usurpées. Grâce aux accès de l’utilisateur spolié, l’attaquant dispose d’un accès immédiat aux différents systèmes. Les implémentations des outils d’accès à un ordinateur à distance peuvent également être exploitées, et engendrer des vulnérabilités à cause des bugs logiciels ou être la cible d’escroqueries au support technique.

Concernant les zones géographiques d’où proviennent ces attaques sur les VNC, il est difficile de les déterminer avec précision. En effet, de nombreux attaquants utilisent des proxys ou des VPN pour dissimuler leur véritable origine. Toutefois, dans ce contexte, il apparaît qu’environ 60 % du trafic malveillant ciblant les VNC provient de Chine.

Par ailleurs, après le VNC, l’outil le plus ciblé est le Remote Desktop Protocol (RDP), qui représente environ 1,6 % des tentatives d’attaques détectées. RDP est un protocole propriétaire relativement courant créé par Microsoft pour utiliser un ordinateur à distance.

Les attaques de grande envergure contre les réseaux et les données sont plus susceptibles d’impliquer des RDP que des VNC. Par exemple, les attaques de RDP sont souvent utilisées pour déployer des malwares (le plus souvent des ransomwares ou des cryptomineurs) ou pour exploiter des machines vulnérables dans le cadre d’attaques DDoS. Le RDP est également utilisé dans les attaques de vishing (tentative de chantage à la rançon par vocal ou téléphone) sur Microsoft Support. Ces dernières visent à escroquer les utilisateurs en les convainquant que leur ordinateur a des problèmes techniques et que l’attaquant peut les résoudre s’il a accès au RDP – un accès autorisé par la victime que se laisse alors berner.

Parmi les autres outils d’accès à un ordinateur à distance ciblés par les attaquants, figurent TeamViewer, Independent Computing Architecture (ICA), AnyDesk et Splashtop Remote.

« Les solutions d’accès à un ordinateur à distance sont des outils professionnels utiles et populaires qui permettent aux salariés de se connecter à leur réseau informatique où qu’ils soient. Malheureusement, elles constituent également une cible de choix pour les cyberattaques », a déclaré Jonathan Tanner, Senior Security Researcher, chez Barracuda. « Il existe de nombreux outils, chacun utilisant différents (et parfois plusieurs) points de connexion virtuels ou ports, ce qui complique la tâche des équipes de sécurité informatique qui doivent surveiller les connexions malveillantes et les intrusions qui s’ensuivent. La standardisation d’une solution d’accès au bureau à distance dans l’ensemble de l’entreprise, permettra à l’équipe IT de concentrer ses ressources sur la gestion, la surveillance et la sécurisation des ports associés, en bloquant le reste du trafic. »

Barracuda recommande également de mettre en œuvre des solutions de sécurité défensive poussées qui peuvent repérer le trafic suspect sur le réseau. Ces solutions devraient être complétées par des politiques et des programmes de sécurité renforcés, avec par exemple la restriction des accès aux services à distance aux personnes qui en ont besoin, l’utilisation de connexions sécurisées (telles qu’un VPN), et la mise à jour régulière des logiciels avec les derniers correctifs. Les méthodes d’authentification devraient inclure l’utilisation de mots de passe forts, avec une authentification multifactorielle (MFA) à minima ; l’idéal étant de passer à une approche Zero Trust.


Voir les articles précédents

    

Voir les articles suivants