La Sécurité Informatique en 2023-2024 : Analyse des vulnérabilités critiques

26 juin 2024 — Romain Grosos

Le 12 juin dernier, l'ANSSI a publié son rapport sur les vulnérabilités critiques de 2023 et début 2024.
Dans un contexte politique complexe et à l'approche des JO, il est important de prendre en compte les retours d'expérience pour solidifier les infrastructures, sensibles ou non.

Le rapport de l'ANSSI reprends l'ensemble des évènements majeurs de ces 12 derniers mois.
Les incidents ont globalement révélé des faiblesses et souligné l'importance d'une vigilance constante et d'une réponse rapide aux menaces.

Principales vulnérabilités observées

Vulnérabilité dans les produits Fortinet (12 juin 2023)

Le 12 juin 2023, une vulnérabilité critique a été découverte dans les produits Fortinet. Cette faille a permis aux attaquants de prendre le contrôle des systèmes touchés, mettant en danger les données sensibles et les opérations des entreprises affectées.

Vulnérabilité dans Barracuda Email Security Gateway Appliance (12 juin 2023)

Le même jour, une autre faille a été identifiée dans les appareils de sécurité des emails de Barracuda, exposant les systèmes à des risques similaires. Cette vulnérabilité a également été exploitée pour compromettre la sécurité des informations transmises via les emails.

Deux vulnérabilités successives dans Citrix Netscaler ADC et NetScaler Gateway (19 juillet 2023 et 23 octobre 2023)

Les vulnérabilités découvertes en juillet et octobre 2023 dans les produits Citrix ont montré combien les systèmes critiques peuvent être vulnérables face à des attaques sophistiquées. Les failles permettaient aux attaquants de contourner les mécanismes de sécurité et d'accéder aux informations confidentielles.

Vulnérabilité dans Barracuda Email Security Gateway (29 décembre 2023)

Le 29 décembre 2023, une vulnérabilité critique a été identifiée dans les appliances de sécurité des emails Barracuda. Cette faille a permis aux attaquants de contourner les mécanismes de sécurité, compromettant ainsi la confidentialité et l'intégrité des communications électroniques. Les correctifs ont été publiés, mais certaines entreprises ont subi des perturbations significatives avant de pouvoir appliquer ces mises à jour.

Nombreuses vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways (11 janvier 2024)

Le 11 janvier 2024, plusieurs vulnérabilités ont été découvertes dans les solutions Ivanti Connect Secure et Policy Secure Gateways. Ces failles permettaient des contournements d'authentification et des injections de commandes, rendant les systèmes vulnérables à des attaques sévères. La réponse rapide de l'équipe de sécurité et la mise en œuvre de correctifs ont été essentielles pour limiter les impacts.

Vulnérabilité dans Fortinet FortiOS (09 février 2024)

Le 9 février 2024, une nouvelle vulnérabilité a été détectée dans les produits Fortinet FortiOS. Cette faille permettait une exploitation à distance, compromettant potentiellement l'ensemble des systèmes protégés par ces dispositifs. Les utilisateurs ont été encouragés à appliquer les correctifs de sécurité immédiatement pour prévenir toute exploitation malveillante.

Vulnérabilité dans Palo Alto Networks GlobalProtect (12 avril 2024)

Le 12 avril 2024, une vulnérabilité critique a été identifiée dans Palo Alto Networks GlobalProtect. Cette faille de sécurité a exposé les utilisateurs à des risques de compromission de leurs réseaux VPN. Palo Alto Networks a rapidement publié des correctifs et des recommandations pour renforcer la sécurité des systèmes affectés.

Vulnérabilité dans les produits Check Point (30 mai 2024)

Le 30 mai 2024, une vulnérabilité a été découverte dans les produits Check Point. Cette faille permettait aux attaquants de contourner les mesures de sécurité, exposant les réseaux à des risques significatifs. Check Point a émis des mises à jour de sécurité pour résoudre ces problèmes et améliorer la résilience de leurs produits.

Cibles de choix et impact des exploitations

Les équipements de sécurité sont des cibles privilégiées pour les cyberattaquants, notamment en raison de leur position stratégique dans l'architecture des systèmes d'information. En 2023, le CERT-FR a publié 7 alertes et plus de 22 avis de sécurité, soulignant la fréquence et la gravité des incidents.

Les attaques exploitant ces vulnérabilités ont souvent été menées à grande échelle, avec des impacts significatifs sur les systèmes d'information des organisations. Certaines vulnérabilités ont été activement exploitées avant même que des correctifs ne soient disponibles, exacerbant les dégâts et compliquant les efforts de mitigation.

L'ANSSI a également observé plusieurs cas de re-compromission, où des systèmes initialement sécurisés ont été de nouveau compromis en raison de la persistance des attaquants dans les équipements. Ces incidents mettent en lumière la nécessité d'une sécurité en profondeur et d'une vigilance constante.

Mesures de prévention et de durcissement

Face à ces menaces, il est crucial de renforcer la sécurité des équipements critiques. Le CERT-FR recommande plusieurs mesures de prévention, telles que l'utilisation de solutions évaluées par des certifications de sécurité, la réduction des privilèges des équipements, et la mise en place de contrôles réguliers de l'intégrité des systèmes.

Le cloisonnement réseau est une méthode efficace pour protéger les systèmes d'information. En segmentant les réseaux en fonction de leurs finalités et niveaux de sécurité, il est possible de limiter la propagation des attaques et de mieux contrôler les flux de données.

L'implémentation de l'authentification multi-facteurs sur toutes les interfaces d'administration est également une mesure recommandée pour renforcer la sécurité des équipements et prévenir les accès non autorisés.