CrowdStrike et 7 incidents causés par des sociétés de cybersécurité
Et les conseils associés pour vous protéger
La panne mondiale liée à CrowdStrike nous rappelle que les solutions de sécurité peuvent être la source de vulnérabilité.
Nous explorons dans cet article les 7 incidents les plus importants liés à des produits ou des sociétés de cybersécurité...
Ces exemples démontrent que même les entreprises les plus réputées et leurs produits ne sont pas toujours à l'abri des failles de sécurité.
Cela souligne également la complexité du domaine et les défis inhérents à l'évaluation des solutions de sécurité.
Découvrez ces 7 incidents majeurs et les enseignements cruciaux qu'ils nous offrent !
Et on commence par…
N°1 - 2024 - La panne mondiale dû à CrowdStrike
Une mise à jour entraine une indisponibilité mondiale
CrowdStrike est actuellement impliqué dans un incident majeur lié à un problème de mise à jour de logiciel qui restera dans l’histoire. Un bogue dans une mise à jour a provoqué une série de pannes à grande échelle affectant divers systèmes commerciaux, gouvernementaux et de sécurité publique.
Cette mise à jour défectueuse a entraîné des écrans bleus de la mort (BSOD) et des interruptions de services critiques, y compris pour des compagnies aériennes, des hôpitaux et des banques. Les impacts financiers vont être colossaux, nous allons suivre de prêt les conséquences économiques de cet incident.
L'humain est la seule cause des incidents
Concernant cette panne qui restera dans l'histoire, le régime n'est pas une source malveillante, mais bien une question de responsabilité humaine interne à l'entreprise (a ce stade des informations).
Et oui, la cybersécurité, c'est toujours in fine de l'humain, ce qui montre l’importance de travailler avec des processus, de sensibiliser et de former les collaborateurs.
Pour moi l'incident est un incident de sécurité, puisque survenu sur une solution de sécurité et entrainant une indisponibilité (qui est une des composante de la sécurité)
N°2 - 2023 - Attaque du logiciel de transfert sécurisé Progress MOVEit
Fuite de données massive
Affectée par le groupe de ransomware Clop, cette attaque a exploité une vulnérabilité zero-day dans le logiciel de transfert de fichiers MOVEit de Progress Software. Plus de 2 600 organisations et 83 millions de personnes ont été touchées, soulignant l'ampleur et la gravité de la menace.
Gérer les vulnérabilités en continu
Cette attaque a mis en évidence la nécessité d'une réaction rapide pour évaluer l'étendue des vulnérabilités. Elle démontre l'importance cruciale d'un outil de surveillance des vulnérabilités en continu, capable de détecter et de remédier rapidement aux failles de sécurité pour protéger les organisations et les individus.
Dans tous ces cas, une communication transparente est essentielle. Si vous êtes un opérateur en Europe, bien entendu des règles s'appliquent pour la déclaration des incidents dans le cadre de NIS 2.
N°3 - 2023 – une année cauchemar pour Okta
Attaque par ingénierie sociale
En novembre 2023, Okta, une entreprise spécialisée dans la gestion des identités et des accès, a reconnu qu'une fuite de données avait affecté presque tous ses clients. Initialement, Okta avait estimé que seulement 1 % de ses clients étaient concernés, mais des investigations ultérieures ont révélé que l'impact était bien plus vaste.
C'est un comble qu'une société spécialisée dans la gestion des accès et des identités se soit fait voler la quasi-totalité des identifiants et accès de ses clients. L'attaque a utilisé des techniques d'ingénierie sociale et des identifiants volés pour accéder aux systèmes d'Okta.
Former et sensibiliser les collaborateurs
Il est important de noter qu'Okta avait déjà été victime d'une première attaque en 2022. Cet incident souligne la nécessité de former les collaborateurs aux techniques d'ingénierie sociale, qui exploitent des mécanismes psychologiques et émotionnels pour tromper les individus et dérober des informations.
Encore une fois, cela démontre que la cybersécurité repose avant tout sur des facteurs humains.
N°4 -2023 – Barracuda et la faille zero day
Exploitation d'une faille Zero Day
En 2022, des cybercriminels ont exploité une faille zero-day dans les appliances Email Security Gateway (ESG) de Barracuda, identifiée sous la référence CVE-2023-2868. Cette vulnérabilité permettait l'exécution de code à distance, et des malwares tels que SALTWATER, SEASPY et SEASIDE ont été utilisés pour installer des portes dérobées et exfiltrer des données. Barracuda a publié des correctifs en mai 2023 après des investigations approfondies avec Mandiant (part of Google Cloud)
Ce n'est pas parce que l'on ne voit rien qu'il ne se passe rien
Cet incident significatif montre que, en cybersécurité, l'absence de signes apparents d'attaque ne signifie pas qu'il n'y en a pas. C'est véritablement troublant, car il est difficile de savoir si l'on est réellement protégé.
Il est crucial d'adopter la règle de la méfiance permanente et d'être constamment attentif aux signaux faibles. Cela implique de ne jamais faire aveuglément confiance et de surveiller continuellement les indicateurs de sécurité pour anticiper et réagir aux menaces.
Recommandé par LinkedIn
Ce n'est pas parce que l'on ne voit rien qu'il ne se passe rien. De nombreuses attaques sont invisibles si elles n'ont pas été détectées. Les attaquant peuvent rester des mois voir des années avant de passer à l'attaque.
N°5 - 2020 - SolarWinds - Intrusion dans les systèmes des agences gouvernementales
Attaque par un groupe de cybercriminel
L'attaque SolarWinds est l'un des incidents de cybersécurité les plus notables de ces dernières années. Les attaquants ont compromis la solution Orion de SolarWinds et ont inséré une porte dérobée (backdoor) dans les mises à jour logicielles. Cette attaque a affecté des milliers d'organisations, y compris des agences gouvernementales et des entreprises du secteur privé. Il a été révélé que les attaquants avaient accès aux systèmes internes de SolarWinds pendant plusieurs mois avant la découverte de la compromission.
Attaque par Supply Chain
Cette attaque est une attaque par supply chain ou chaîne d'approvisionnement, l'un des scénarios les plus redoutés de nos jours en raison de la transition des systèmes d'information vers le cloud. Bien que de nombreuses actions et mesures puissent être prises pour se protéger, il est crucial de mettre l'accent sur l'importance des démarches de certification de sécurité. Ces certifications garantissent un niveau de sécurité défini, facilitant ainsi le choix des solutions en fonction de leur conformité aux standards de sécurité.
En 2024 l'acte d'execution européen de NIS 2 sur les acteurs cloud, et les sociétés MSP et MSSP vise à renforcer les postures de sécurité des acteurs européens justement pour réduire cette menace mondiale qui est l'attaque par Supply Chain.
N°6 -2020 @FireEye – Récupération des outils Red Team
Une attaque peut en cacher une autre
En 2020, FireEye, une société de cybersécurité renommée aux US, a été victime d'une attaque qui a conduit à la fuite de ses outils de test de pénétration (Red Team tools). Les attaquants ont réussi à voler ces outils, qui peuvent être utilisés pour simuler des attaques et identifier des vulnérabilités. La compromission de FireEye a été liée à l'attaque SolarWinds, montrant l'interconnexion et la complexité des attaques de ce type.
L'objectif des attaquants peut être d'utiliser ces solutions pour pénétrer les systèmes des clients. C'est le cas typique d'une attaque en chaîne, comme l'illustre l'incident SolarWinds, qui a permis de rebondir vers FireEye. Il est important de comprendre que même les sociétés de sécurité de très haut niveau, confrontées à des menaces significatives de groupes étatiques, ne sont jamais totalement protégées.
La confiance et la réputation ne sont pas des preuves
Deux points cruciaux doivent être pris en compte :
N°7 - 2019 - Trend Micro , revente de données en toute illégalité
Fuite de donnée
En 2019, un employé de Trend Micro a illégalement accédé à des données clients et les a vendues à des tiers malveillants. Cet incident interne a mis en lumière les risques liés aux menaces internes, même au sein des entreprises de cybersécurité.
Ces incidents montrent que même les sociétés spécialisées dans la protection contre les cybermenaces peuvent être vulnérables et que leurs produits peuvent parfois être utilisés comme vecteurs d'attaque lorsqu'ils sont compromis.
Prendre en compte l'Insider Threat
Cela souligne l'importance d'une gestion rigoureuse des accès aux données et d'une limitation stricte des droits des administrateurs.
Des mesures de sécurité majeures doivent être mises en place pour sécuriser l'entreprise, incluant des systèmes de surveillance des comportements des utilisateurs et des administrateurs. Il est également essentiel de déployer des systèmes de surveillance des fuites de données, capables de surveiller les typologies de données sortantes de l'entreprise par différents canaux.
Conclusion
La cybersécurité, c'est du temps
Le premier enseignement à tirer de ces attaques est que personne n'est à l'abri. S'appuyer uniquement sur un prestataire de cybersécurité est insuffisant, car les technologies évoluent rapidement, engendrant de nouvelles menaces et vulnérabilités à un rythme constant.
L'humain avant tout
Le deuxième enseignement est que, bien que la cybersécurité soit un domaine hautement technologique, elle repose fondamentalement sur des facteurs humains. À l'origine de chaque attaque, on trouve souvent une négligence humaine ou un comportement malveillant.
Sécurité et confiance
Le troisième enseignement est que l'on ne peut jamais être certain d'être pleinement protégé. En cybersécurité, il existe une différence significative entre le sentiment de sécurité et la sécurité réelle. De nombreuses attaques ont montré que même en l'absence de signes apparents, des portes dérobées peuvent être installées et des intrus peuvent infiltrer les systèmes d'information.
Attaques par supply chain
Le quatrième enseignement est que la cybersécurité est aujourd'hui fortement dépendante des partenaires. Les divers acteurs de ce domaine sont interconnectés, soulignant l'importance des attaques par supply chain. Cela démontre la nécessité de renforcer les contrôles et les certifications des fournisseurs pour assurer une sécurité optimale.
N'hésitez pas à compléter par d'autres attaques et leurs enseignements ...