Les défauts de conception
Les attaquants voient dans les environnements informatiques l’opportunité de monter le système contre lui-même, en faisant en sorte que les systèmes et applications vulnérables aident, par exemple, le vol de données et de propriété intellectuelle. L’un des défauts de conception souvent utilisé, découvert alors que le contrôle vocal des appareils mobiles commençait vraiment à décoller, était étonnamment simple. Il permet de contourner facilement l’interface utilisateur ergonomique des assistants vocaux, ce qui signifie que les iPhones pouvaient être invités à appeler des numéros choisis par les cybercriminels, ou d’ouvrir un site malveillant à partir duquel d’autres malwares pouvaient être téléchargés et installés.
Les chercheurs de l’Université du Zhejiang, qui ont mis en lumière la faille, ont découvert que la traduction des commandes vocales en fréquences trop élevées pour que l’oreille humaine puisse les entendre pouvait toujours être « entendue » par les assistants vocaux. En outre, pour que la technique soit mise en pratique, les hackers peuvent simuler une présence à quelques mètres du smartphone cible avec seulement quelques dollars d’équipement supplémentaire. En effet, un petit haut-parleur et un ampli sont suffisants pour qu’ils parviennent à leur fin.
Le codage non sécurisé
L’autre grande catégorie de vulnérabilité est celle du codage non sécurisé. Ces vulnérabilités apparaissent lorsque les programmeurs ne respectent pas les règles de programmation sécurisée, ce qui est – malheureusement – très fréquent dans le monde des logiciels. Ces vulnérabilités se présentent sous de nombreuses formes, notamment des bogues basés sur la mémoire, qui permettent aux attaquants d’écrire du code où ils ne devraient pas pouvoir le faire, ainsi que des vulnérabilités de gestion des identifiants, qui permettent aux attaquants d’accéder à des informations d’identification qu’ils ne sont pas censés voir. Parfois, les programmes affichent simplement des données de débogage qui peuvent fournir aux adversaires des éléments dont ils peuvent tirer parti.
Un excellent exemple est le bogue de la commande Sudo, largement utilisée dans tous les systèmes d’exploitation Linux. Le bogue a été découvert en janvier 2021 et permet à un attaquant d’élever ses privilèges, de ceux d’un utilisateur sans aucune autorisation à ceux de root – l’équivalent d’un administrateur – sur une machine hôte locale. Grâce à un code non sécurisé, un attaquant peut accéder à n’importe quel élément de l’hôte. Des millions de machines utilisées aujourd’hui sont vulnérables à ce bogue facilement exploitable. Comment les attaquants repèrent-ils ces vulnérabilités ? Une stratégie courante est le « fuzzing », des tests logiciel automatisés qui recherchent des bogues logiciels piratables en introduisant de manière aléatoire des données invalides et inattendues dans un programme informatique, afin de trouver des erreurs de codage et des failles de sécurité.
L’attaquant supposera qu’il existe un bogue caché dans le programme, et il n’aura plus que deux problèmes à résoudre. Le premier consiste à trouver l’endroit exact où se trouve le bogue, et le second à déterminer quelle donnée doit être transmise au programme pour déclencher le bogue. Heureusement, les chercheurs en vulnérabilité peuvent également tirer profit de ces techniques pour trouver ces défauts et les corriger. Les outils de fuzzing sont faciles à utiliser et il n’est pas nécessaire de maîtriser l’ensemble du programme. Il suffit d’étudier une toute petite partie du logiciel et de laisser le programme faire le reste.
Le principal enseignement est que la meilleure arme dont dispose expert IT est de penser comme un attaquant, pour adopter un état d’esprit similaire. En analysant les mêmes failles que celles recherchées par les cybercriminels, les équipes IT peuvent trouver les failles exploitables et améliorer le niveau de sécurité de leurs organisations. Ne pas procéder ainsi peut avoir des conséquences significatives ; L’exploitation d’une vulnérabilité clé peut créer un chemin à travers les défenses, ou permettre à un attaquant d’élever ses privilèges et, à son tour, de compromettre des comptes à privilèges. Or, ces derniers sont au cœur du cycle des cyberattaques.
Pour en savoir plus sur la manière dont la gestion des accès à privilèges peut contribuer à briser le cycle et à protéger les données, les infrastructures et les actifs les plus critiques des organisations, téléchargez ici un exemplaire gratuit du « Magic Quadrant for Privileged Access Management » 2021 1 de Gartner.
1 Gartner, « Magic Quadrant for Privileged Access Management », Felix Gaehtgens, Abhyuday Data, Michael Kelley, Swati Rakheja, 19 juillet 2021
Gartner ne cautionne aucun fournisseur, produit ou service présenté dans ses publications de recherche et ne conseille pas aux utilisateurs des technologies de ne choisir que les fournisseurs les mieux notés ou avec quelque autre classification. Les publications de recherche de Gartner sont fondées sur des opinions de l’organisme de recherche de Gartner et ne doivent pas être interprétées comme des déclarations de fait. Gartner décline toute garantie, expresse ou implicite, concernant ces recherches, notamment toute garantie de qualité marchande ou d’adéquation à un usage particulier.
Lavi Lazarovitz, Head of Security Research chez CyberArk
