Comment renforcer la sécurité

de votre infrastructure réseau

pour contrer les attaques les
plus courantes ?
12 MARS 2021

L’infrastructure réseau est au cœur du fonctionnement des entreprises, et ce

dans la plupart des secteurs d’activité. On peut la considérer comme le centre
névralgique de toute l’organisation informatique, car c’est elle qui permet de
centraliser les données, simplifier leur échange et faciliter la communication
entre les collaborateurs.

C’est donc un outil indispensable au bon fonctionnement des entreprises, qui

nécessite une attention de tous les instants sur le plan de la sécurité. Cela afin
de se prémunir contre des attaques externes et internes de plus en plus
nombreuses et sophistiquées.

L’infrastructure réseau, objectif ultime

des cyberattaques
Seul problème, les cyberattaques sur l’infrastructure réseau continuent de
s’aggraver en fréquence, en ampleur et en impact. Serveurs externes et
internes, périphériques et équipements réseau, postes de travail, etc. sont
ciblés par des attaquants novices et expérimentés car toutes ces entités
présentent encore trop de vulnérabilités : surface d’attaque large, manque de
sensibilisation des collaborateurs, failles de sécurité, défaut de conception, de
configuration et d’implémentation, mesures de sécurité rudimentaires, etc.
Aucun secteur n’est épargné par les incidents de sécurité, même si les
attaquants ont leurs cibles privilégiées. C’est notamment le cas du secteur de
la santé, de la finance ou du retail, et cela quelle que soit la taille des
organisations évoluant dans ces domaines.

Pour garantir la sécurité de l’infrastructure réseau contre ces attaques, des

mesures de sécurité spécifiques sont nécessaires : réduction de la surface
d’attaque, segmentation du réseau, chiffrement des communications,
sensibilisation des utilisateurs aux attaques d’ingénierie sociale, principe du
moindre privilège, monitoring des logs, etc. Des audits de sécurité ou des
tests d’intrusion sont également un bon moyen de détecter les failles
existantes sur votre réseau informatique afin de les corriger.
Dans cet article, nous nous attarderons sur les failles courantes (techniques et
organisationnelles) les plus souvent exploitées lors d’attaques internes et
externes sur l’infrastructure réseau en les illustrant via des cas concrets
rencontrées lors de nos tests d’intrusion. Nous détaillerons également les
bonnes pratiques et mesures à implémenter pour réduire le risque ou contrer
ces attaques.

Quelles sont les vulnérabilités

courantes de l’infrastructure réseau et
comment se protéger ?
Gestion de la surface d’attaque et exposition
aux risques
Toutes les attaques informatiques commencent généralement par une phase
de reconnaissance permettant d’identifier la surface d’attaque d’une
entreprise cible. Autrement dit, il s’agit pour les attaquants de rassembler le
maximum d’informations sur le système d’information avant de lancer des
attaques sur des entités potentiellement vulnérables.

La surface d’attaque est donc la somme des éléments exposés à l’intérieur ou

à l’extérieur de votre réseau qui peuvent être attaqués pour provoquer un
incident de sécurité : serveurs (internes et externes), applications, APIs,
technologies, versions, composants, données techniques ou personnelles, etc.
Tous ces éléments présentent potentiellement des vulnérabilités qu’une
personne non autorisée pourrait exploiter, suite à un scan de ports ou une
recherche minutieuse sur Google ou sur le Dark Web, pour s’introduire dans
votre système d’information.

Réduire sa surface d’attaque est un principe fondamental en

cybersécurité pour se prémunir contre des attaques internes et externes. Pour
ce faire, deux actions sont requises : d’une part, il est indispensable de
connaître votre surface d’attaque donc d’en établir une cartographie complète,
qui doit par ailleurs être continuellement actualisée car une architecture
système évolue constamment. D’autre part, il est nécessaire de mettre en
œuvre des mesures de durcissement de vos systèmes et réseaux
(hardening) afin de réduire votre surface d’attaque.
Cartographier votre surface d’attaque revient à maintenir à jour une liste de
tous vos actifs, leurs versions, implémentations et imbrications dans
l’ensemble de votre système d’information. Cette action n’est pas très
complexe à réaliser. Des outils tels que shodan ou censys facilitent cette
démarche. Seulement pour les éléments non répertoriés ou inconnus tels que
des outils utilisés par vos collaborateurs, des éventuelles fuites de documents
sensibles ou de mots de passe, etc. il peut être intéressant de faire appel à un
tiers spécialisé pour réaliser un audit de reconnaissance permettant de dresser
une cartographie exhaustive de votre surface d’attaque dans l’objectif de la
réduire.
Pour réduire votre surface d’attaque suite à son identification, des actions de
durcissement de vos systèmes et réseaux peuvent être les suivantes (liste non
exhaustive) :

 Modification des mots de passe par défaut de tous vos services et

équipements connectés au réseau
 Désinstallation ou suppression des applications, des services et des
environnements non utilisés
 Veille technique et technologique sur nouvelles versions et les
vulnérabilités découvertes sur les composants tiers ou services utilisés
 Mise en place du principe du moindre privilège dans la gestion des droits
d’accès aux serveurs, applications, base de données, etc.
 Segmentation du réseau via cloisonnement des systèmes et applications
critiques
  Mise en place d’un système d’authentification à plusieurs facteurs sur
vos applications et systèmes critiques

Défaut de segmentation du réseau interne et

attaques par pivotement
La plupart des réseaux sont mis en place sous forme de réseaux plats, avec
chaque serveur et chaque poste de travail fonctionnant sur le même réseau
local (LAN), de sorte que chaque application et chaque système du réseau est
capable de communiquer et de se connecter à tout le reste.

D’un point de vue sécurité, ce type de pratique est à bannir car la plupart de
ces systèmes n’ont pas besoin d’interagir entre eux. De plus, si un réseau à
plat est attaqué (par un attaquant ou un malware) et qu’une machine est
compromise, l’ensemble du système d’information est également menacé. En
effet, ces attaques utilisent une méthode appelée « pivotement », qui consiste
à utiliser une entité compromise pour accéder à d’autres éléments et se
déplacer librement dans le réseau.

Ainsi, la segmentation du réseau est une mesure de sécurité essentielle,

car, même si elle ne permet pas déjouer des attaques, elle reste un des
principaux moyens d’en réduire les impacts lors d’une attaque réussie.
Le principe est simple. Comme son nom l’indique, il s’agit de diviser un
réseau informatique en segments de réseau plus petits et isolés les uns des
autres au sein de réseaux locaux virtuels (VLAN). Cela permet de regrouper
les applications, serveurs, postes de travail, [etc.] en sous-partitions de réseau
en fonction de vos enjeux et priorités de sécurité, et surtout en fonction de la
criticité de ces systèmes. Par ailleurs, le filtrage IP et les pare-feux permettent
de faciliter le cloisonnement de zones.

L’usage du Wi-Fi peut également constituer un point d’entrée pour une

attaque informatique. D’abord, il est indispensable de distinguer les
connexions Wi-Fi des terminaux personnels ou des visiteurs de ceux des
connexions Wi-Fi des terminaux de l’organisation (généralement avec un
Wifi guest), puis de filtrer et restreindre les flux des postes se connectant au
réseau Wi-Fi. Pour ce faire, plusieurs réseaux Wi-Fi peuvent être mis en place
(chacun étant évidemment cloisonné) au sein de votre organisation afin de
restreindre l’accès à certaines ressources critiques tout en faisant en sorte de
donner accès seulement aux éléments nécessaires aux différents groupes
d’utilisateurs au sein de votre entreprise.
Ci-dessous un exemple concret de tests de segmentation réalisé lors d’un test
d’intrusion en boite grise sur un réseau interne. Les tests étant en boite
grise, un accès au Wi-Fi guest a été fourni au pentester en charge de l’audit
afin de tester la segmentation du réseau :
 Lors des tests, le réseau était bien cloisonné à l’exception d’une
imprimante disponible à l’intérieur du réseau : le pentester, comme tous
les visiteurs des locaux de l’entreprise cliente avait ainsi la possibilité
d’imprimer des documents
 Cependant l’interface d’administration de l’imprimante était également
accessible via les identifiants par défaut
 Si cette vulnérabilité avait été exploitée par un attaquant malveillant, il
aurait pu se servir de l’imprimante comme vecteur d’attaque pour
compromettre le réseau interne.
 La recommandation du pentester a donc été de limiter l’accès à
l’imprimante uniquement au personnel de l’entreprise et de modifier les
identifiants de connexion à l’interface d’administration
Ainsi, la segmentation de l’architecture réseau limite les conséquences
d’une intrusion à un périmètre délimité du système d’information. En cas
de cyberattaque, le mouvement latéral de l’attaquant ou du malware serait
impossible, ce qui empêche toute propagation. De plus, les multiples sous-
réseaux agissant comme de petits réseaux à part entière, cela permet aux
administrateurs de mieux contrôler le flux de trafic entre chacun d’eux, et
donc de repérer plus facilement des événements inhabituels.
Néanmoins, il est important de réaliser des tests pour vérifier que la
segmentation mise en place pour isoler vos systèmes et applications critiques
les uns des autres est robuste. Pour ce faire, un pentest de réseau interne reste
le moyen le plus efficace. Lors des tests d’intrusion, les pentesters se
focalisent sur les contrôles de segmentation, à la fois depuis l’extérieur du
réseau et depuis l’intérieur du réseau, pour identifier des vulnérabilités
potentielles (failles techniques, défaut de configuration ou d’implémentation)
qui pourraient permettre d’accéder aux systèmes, applications et données
critiques.
Un test d’intrusion interne permet en effet de s’assurer que les systèmes et
applications critiques ne communiquent pas avec des réseaux moins sûrs.
L’objectif de ces tests est de confirmer que la segmentation fonctionne
comme prévu et qu’il n’y a pas de failles qui pourraient être exploitées par un
attaquant ou un programme malveillant.
Défaut de chiffrement des communications,
Sniffing et attaques Man In The Middle
La configuration de certains réseaux internes fait que les informations
transitent en clair, c’est-à-dire de manière non chiffrée. Ces informations
peuvent être des identifiants de comptes et mots de passe associés, des
données sensibles (personnelles, bancaires, etc.), des documents
d’architecture et autres informations critiques, etc. Une telle pratique
augmente fortement le risque de compromission de votre système
d’information par des attaquants externes (ayant obtenu un accès à votre
réseau) et des collaborateurs malveillants.

Le risque est d’autant plus grand pour les réseaux Wi-Fi, dans la mesure où
les communications peuvent être interceptées dans tout le périmètre couvert
par le point d’accès.

En cas de compromission d’une machine du réseau, un attaquant peut

récupérer toutes les informations diffusées en utilisant un logiciel qui permet
d’écouter le trafic réseau, comme wireshark par exemple. Ce procédé́ est
connu sous le nom de « sniffing ».

Pour augmenter l’impact du sniffing, l’attaquant se place en « Man in the

Middle » (MitM). Les attaques Man in the Middle, également appelées
attaques par espionnage, consistent pour un attaquant à s’introduire dans une
transaction d’informations entre deux machines ou serveurs, en utilisant des
outils comme Ettercap. Une fois en position Man in the Middle, l’attaquant
lance Wireshark afin d’écouter le trafic pour exfiltrer des informations et
données sensibles.

Un cas concret rencontré lors d’un test d’intrusion en boite grise sur un réseau
interne :

 Cartographie du réseau avec l’outil Nmap

 Découverte d’un serveur de fichier communiquant avec smbv2
 Man In the Middle entre ce serveur et toutes les machines du réseau puis
utilisation de wireshark pour intercepter et analyser les communications
smb entrantes
  Accès en clair aux fichiers échangés entre les machines utilisateurs et le
serveur (factures, contrats, bulletins de paie, documents stratégiques,
etc.)
Étant donnée l’étendue des risques de sniffing et les attaques Man In the
Middle, le chiffrement des informations qui circulent sur le réseau est
nécessaire. Chiffrer les données consiste à les rendre inintelligibles sans une
clé de déchiffrement. La mesure de sécurité la plus courante est l’ajout d’une
couche de chiffrement sur des protocoles déjà existants (http, rtp, ftp, etc.) via
le protocole SSL (https, sftp, srtp, etc.). Dans le cas concret décrit plus haut,
la recommandation de correction faite suite aux tests était l’utilisation de
smbv3 à savoir donc smbv2 couplé au protocole SSL permettant de chiffrer
donc de garantir la confidentialité des communications.

Gestion des accès et des identités

Concernant les attaques sur la fonction authentification, notamment les
attaques par force brute ou password spraying, et l’élévation de privilèges,
nous en avons déjà détaillé les mécanismes dans notre article précédent
sur les vulnérabilités courantes des applications web. Vous pouvez donc vous
y référer car cela s’applique à toutes les entités de votre infrastructure réseau
accessibles via un système d’authentification. Par ailleurs, nous reviendrons
sur les attaques de l’Active Directory dans un article dédié.

Défaut de Logging et Monitoring

Le défaut de Logging et de Monitoring est une faille à la fois technique et
organisationnelle permettant aux attaquants de maintenir le plus longtemps
possible leur position dans un réseau.

Comme pour la segmentation des réseaux, il est important de préciser que les
bonnes pratiques de Logging et Monitoring n’assurent pas une protection
maximale contre des attaques mais elles restent un bon moyen de détecter des
événements inhabituels et des intrusions donc d’en réduire les impacts. Quels
en sont les grands principes et mécanismes ?

La plupart des éléments mis en œuvre dans une communication au sein d’un
réseau (échanges d’information, de données, etc.) permettent de conserver
des informations sur celle-ci. En effet, tous les systèmes et applications
exécutées « journalisent » tous les événements qui se produisent. De la même
manière, les routeurs, les proxys et les firewalls ainsi que les points d’accès
conservent la trace de chaque paquet. Ces informations sont ensuite gérées
par le système des machines auxquels appartient chacune de ces entités. Elles
sont stockées, pour un certain temps, dans des fichiers dédiés, communément
appelé « logs ».

Un attaquant efficace efface toujours ses traces après avoir compromis une ou
plusieurs machines d’un réseau. Ceci afin de dissimuler sa présence aux yeux
de l’administrateur du réseau compromis et de maintenir sa position le plus
longtemps possible sur les machines compromises. Une bonne gestion des
logs s’avère alors très utile pour détecter rapidement les intrusions et réagir
efficacement.

Pour faciliter la gestion et l’exploitation des logs, il convient de les centraliser

dans la zone des serveurs internes afin de permettre une administration plus
aisée. Ensuite, il est nécessaire de mettre en œuvre des programmes
(agents) afin de monitorer et synchroniser tous les événements listés sur
vos fichiers de logs sur d’autres machines.
Ceci est important car, dans l’éventualité de compromission d’une machine, il
est probable que les logs soient détruits par l’attaquant. Centraliser,
synchroniser et dupliquer les logs permettra alors de toujours garder une
copie.

Failles humaines et attaques d’ingénierie

sociale
Au-delà des failles techniques, des problèmes de configuration ou
d’implémentation, la vulnérabilité la plus souvent exploitée par des attaquants
pour compromettre un SI reste l’humain. Les collaborateurs de votre
entreprise sont encore et toujours le maillon faible de votre cybersécurité, les
attaquants le savent et l’actualité des cyberattaques réussies le prouve !

Un rapport d’IBM sur les statistiques sur les attaques de phishing montre que
le coût moyen d’une violation de données en 2018 était de 3,9 millions de
dollars. Et dans leur Internet Crime Report de 2019, le FBI a estimé que les
attaques BEC (Business Email Compromise – attaques dans lesquels les
fraudeurs se font passer pour des dirigeants ou des fournisseurs de
l’entreprise pour inciter les employés à transférer des paiements sur des
comptes bancaires contrôlés par les attaquants) auraient coûté environ 1.6
milliards d’euros aux entreprises du monde entier.
Le principe des attaques d’ingénierie sociale est simple, et leur mise en œuvre
ne nécessite pas de grandes connaissances techniques dans la plupart des cas.
Il s’agit pour un attaquant de s’appuyer sur les ressorts psychologiques
humains puis d’utiliser des compétences sociales afin d’obtenir ou de
compromettre des informations sur une entreprise ou ses systèmes
informatiques (applications, infrastructure externe, réseau interne, tout ou
partie du système d’information pour résumer sommairement).

L’email reste le vecteur d’attaque principal. En utilisant les techniques de

phishing, de spear phishing (phishing sur un groupe restreint de personnes),
couplé avec du vishing (attaques téléphoniques), les attaquants savent
exploiter notre curiosité naturelle, notre sens du devoir, notre conscience
professionnelle, notre affection des bonnes affaires, etc. pour nous persuader
de cliquer sur un lien ou télécharger une pièce jointe. Avec des clones
d’interfaces ou des malwares, ils arrivent encore trop souvent à :

 Détourner des sommes d’argent colossales

 Récupérer des identifiants et des mots de passe d’utilisateurs
 Voler, détruire ou altérer des données critiques
 Paralyser tout votre système d’information
Ces dernières années, les exemples d’attaques d’ingénierie sociale réussies
sur des petites, moyennes et grandes entreprises sont légion. Et les
conséquences sont souvent dévastatrices et irréversibles. Il existe cependant
des moyens simples de limiter l’impact des attaques d’ingénierie sociale.

 En premier lieu, penser et mettre en œuvre une stratégie sécurité adaptée

à vos enjeux et aux menaces. Chiffrement de tous vos systèmes,
segmentation de votre réseau, gestion rigoureuse des accès et des
identités, réduction de la surface d’attaque, [etc.] sont autant de moyens
pour déjouer des attaques ou en réduire des impacts.
Et surtout tester la robustesse de vos systèmes avec des tests d’intrusion sur
votre infrastructure externe ou votre réseau interne. Les tests d’intrusion
restent la solution par excellence pour tester la sécurité de vos systèmes face
aux attaquants externes et internes. Le principe est simple : identifier des
vulnérabilités potentielles pour les corriger rapidement avant qu’elles ne
soient exploitées par des attaquants.
Les tests d’intrusion d’infrastructure externe permettent de rechercher les
vulnérabilités des composants du SI ouverts sur l’extérieur. Le pentest de
réseau interne quant à lui consiste à cartographier le réseau avant de réaliser
des tests de sécurité sur les éléments identifiés : serveurs, Wi-Fi, équipements
réseau, postes de travail, etc. Le rapport délivré suite aux tests permet
comprendre les mécanismes des vulnérabilités découvertes afin de les
reproduire et les corriger.

 Puis, réaliser des tests d’ingénierie sociale, en interne ou via un tiers

spécialisé. Cela permet d’évaluer les comportements de vos
collaborateurs face à des emails, des appels ou des intrusions physiques
dans vos locaux (pour dépôt de clés USB piégés par exemple) en
apparence inoffensifs mais à l’impact dramatique s’ils sont le fruit de
méchants hackers, en opposition aux gentils hackers que nous sommes.
Les résultats de ces tests pourront servir de support pour optimiser la
sensibilisation de vos équipes.
 Enfin, sensibiliser et former en continu tous vos collaborateurs car la
cybersécurité doit être l’affaire de tous. Vous pouvez organiser des
réunions d’équipe de sensibilisation ou réaliser des formations,
dispensées par vos équipes spécialisées sur le sujet cybersécurité. Il
existe également des formations proposées par des tiers, permettant de
sensibiliser vos équipes sur les attaques d’ingénierie sociale.
Ces formations non-techniques facilitent la compréhension des
mécanismes des cyberattaques via phishing, vishing, clones d’interfaces,
ransomwares, etc. et des bonnes pratiques et postures à adopter pour ne
pas mordre à l’hameçon.
Contactez-nous pour toute question relative à un projet de formation ou de
tests d’intrusion sur votre infrastructure externe, votre réseau interne ou des
tests d’ingénierie sociale. Nous échangerons sur vos besoins et vous
proposerons une intervention adaptée à vos enjeux sécurité et vos contraintes,
qu’elles soient budgétaires ou organisationnelles.