Télétravail : analyse de 3 cyberattaques
Première publication : octobre 2020
Le télétravail s’est massivement développé en raison du contexte sanitaire lié à la pandémie de Covid-19. Cette transformation a donné lieu à de nombreuses publications, notamment sur son impact en matière de cybersécurité. Cependant, la plupart ne font que survoler le sujet ou évoquent des scénarios d’attaques farfelues.
Dans le présent article, nous détaillons techniquement 3 cyberattaques réalistes auxquelles vous pouvez être exposés en télétravail. Et nous vous expliquons comment vous en protéger concrètement.
Comment les cybercriminels s'attaquent aux télétravailleurs ?
Moins bien équipés chez eux que les entreprises en matière de sécurité informatique, les télétravailleurs représentent une cible de choix pour les pirates. En effet, les entreprises misent prioritairement sur leur défense périmétrique (pare-feu, sondes réseaux, etc.), négligeant parfois la sécurité individuelle de chaque poste.
Mais par quel biais un attaquant peut-il vous atteindre lorsque vous travaillez à domicile ? Écartons les menaces en provenance directe d’Internet – votre box Internet jouant le rôle de pare-feu – et l’intrusion à votre domicile d’une personne malveillante, phénomène rare dans le monde des cyberattaques. Deux sources sérieuses persistent :
- L’usage d’Internet sans filtre sur votre ordinateur professionnel (ou avec moins de restrictions que depuis votre lieu de travail). Vous augmentez le risque de télécharger un fichier infecté, d’ouvrir une pièce jointe vérolée, etc. ;
- La présence d’autres équipements sur votre réseau local. Dans leur configuration par défaut, la grande majorité des box Internet ne filtre pas les flux du réseau local. Or, ces équipements (ordinateur familial, téléphones portables, tablettes… voire ceux du voisin qui utilise votre réseau Wi-fi à votre insu) peuvent ne pas être à jour, insuffisamment protégés ou faire l’objet d’usages à risque (téléchargements, applications et jeux crackés, consultation de sites interdits aux moins de 18 ans, etc.).
L’envoi d’un e-mail contenant une pièce jointe infectée par un RAT, Remote Access Tool (Macro Excel, vulnérabilité du lecteur PDF, exécutable « déguisé » en document, etc.), destiné à être ouvert sur votre ordinateur familial mal sécurisé suffit. Une fois le programme exécuté, le cyberattaquant a un pied dans votre réseau local. Vous encourrez alors plusieurs risques d’attaques concrètes. L‘accès aux dossiers partagés, l’exploitation d’une vulnérabilité RCE et l’exploitation de la fonction LLMNR font partie de ces risques.
Cyberattaque 1 : l'accès aux dossiers partagés
Un premier risque est l’accès à vos dossiers partagés. Lorsque vous avez connecté votre ordinateur professionnel à votre réseau local pour la première fois, Windows a demandé s’il s’agissait d’un réseau « privé » ou « public » (ou d’un réseau « domestique », « de bureau » ou « public », selon les versions). À votre domicile, vous avez très certainement, et comme la majorité des gens, cliqué sur « privé » ou « domestique ». Or, cette action incite Windows à diminuer sa vigilance et à faire confiance aux autres membres de votre réseau. Il les autorise notamment à découvrir vos éventuels dossiers partagés.
Un cyberattaquant ayant accès à votre réseau local peut alors facilement lister vos partages réseaux, y accéder et récupérer tous les documents confidentiels qu’ils contiennent. Selon la configuration de votre partage, il peut même modifier les documents présents ou en ajouter de nouveaux. Comme, par exemple, dissimuler à la place d’un de vos fichiers un RAT (Remote Access Tool) qui se déclenchera la prochaine fois que vous cliquerez sur ledit fichier pour l’ouvrir.
Prérequis
- L’attaquant a réussi à accéder à votre réseau.
- Vous avez un ou plusieurs dossiers partagés à tous.
- Vous avez déclaré votre réseau local à Windows en tant que réseau « privé » ou « domestique ».
Impacts de la cyberattaque
- Confidentialité : accès à vos documents partagés.
- Intégrité (selon la configuration du dossier partagé) : modification et ajout de fichiers.
- Dans le pire des cas : prise de contrôle de votre ordinateur.
Nos recommandations pour le télétravail à l'attention des RSSI
- Forcez tous les ordinateurs du parc à considérer les nouveaux réseaux comme réseau « public » et empêchez les utilisateurs de modifier ce choix (Network List Manager Policies).
- Empêchez les utilisateurs de partager des fichiers et des dossiers sur le réseau.
Nos recommandations pour le télétravail à l'attention des utilisateurs
- Lorsque votre ordinateur se connecte à un réseau, ne le déclarez jamais en réseau « privé » à moins que vous ayez une confiance absolue en tous les équipements qui y sont connectés.
- Ne partagez jamais de fichier ou de dossier sensible à tout le monde.
- Ne donnez jamais le droit d’écriture à tous sur un de vos fichiers ou dossiers partagés.
Cyberattaque 2 : l'exploitation d'une vulnérabilité RCE
Un autre risque que vous encourrez est l’exploitation d’une vulnérabilité de type RCE (Remote Code Execution) présente dans votre ordinateur. On peut par exemple citer la CVE-2020-0796, aussi appelée « SMBGhost ». Elle permet à un attaquant présent sur votre réseau local d’exécuter du code à distance sur votre machine en exploitant le protocole de partage réseau SMBv3. Ce genre de vulnérabilité est généralement vite patché et rarement communiqué avant la publication de la mise à jour de sécurité corrective. Son exploitation est donc peu probable si votre ordinateur est parfaitement à jour.
Cependant, il est fréquent que les ordinateurs professionnels utilisés en télétravail se mettent à jour uniquement lorsqu’ils sont connectés au réseau de l’entreprise. Vous êtes concerné si par exemple, au cours des confinements, vous avez reçu de votre service informatique des e-mails vous invitant à passer par vos locaux pour déployer des mises à jour importantes de sécurité.
Vous ne vous êtes pas rendu au bureau depuis leur réception ? Alors, vous n’avez pas reçu la fameuse mise à jour. Le cybercriminel n’aura qu’à infiltrer votre réseau pour exploiter la vulnérabilité.
Prérequis
- L’attaquant a réussi à accéder à votre réseau local.
- Une RCE non patchée est présente sur votre poste (défaut de mise à jour ou, plus rarement, une vulnérabilité 0-day).
Impacts de la cyberattaque
Prise de contrôle de votre ordinateur.
Nos recommandations pour le télétravail à l'attention des RSSI
Adoptez une politique de mises à jour et de gestion des outils de sécurité qui reste fonctionnelle, même lorsque les ordinateurs ne sont pas sur le réseau de l’entreprise.
Nos recommandations pour le télétravail à l'attention des utilisateurs
Appliquez les mises à jour de sécurité qui vous sont proposées au plus vite et effectuez le redémarrage s’il est demandé.
Cyberattaque 3 : l'exploitation de la fonction LLMNR
Cette dernière menace, plus technique, consiste à piéger votre ordinateur, afin qu’il révèle vos identifiants à l’attaquant. Comme nous l’avons vu avec le premier risque d’attaque, en se connectant à un « réseau domestique », votre ordinateur tente de repérer automatiquement tous les services présents sur le réseau. Pour cela, Windows utilise plusieurs protocoles, notamment LLMNR et NBT-NS, afin d’envoyer des requêtes de découverte. Il va, par exemple, demander sur le réseau si un service porte le nom « WPAD » afin de détecter une configuration proxy.
Votre ordinateur tente ensuite de contacter les différents services détectés. Si ces derniers requièrent une authentification, votre ordinateur s’y connecte automatiquement avec votre compte utilisateur. Un attaquant présent sur votre réseau peut exploiter ce mécanisme en répondant aux requêtes de découverte et en annonçant des services fictifs demandant une authentification, par exemple avec l’outil Responder.
Dans le pire des cas (anciennes versions de Windows et/ou mauvaises configurations), le pirate peut directement récupérer votre mot de passe. La plupart du temps, il obtient plutôt un hash (netNTLMv1 ou netNTMLv2) permettant de casser votre mot de passe. Plus le mot de passe est faible (court, présent dans un dictionnaire de mots de passe…), plus son cassage est aisé.
En récupérant le mot de passe de votre compte Windows, l’attaquant peut ensuite se connecter à tous les services en ligne de votre entreprise dont l’authentification est basée uniquement (sans MFA) sur ce compte (proxy, webmail, applications cloud, extranet, etc.). Ou encore utiliser votre mot de passe dans le cadre d’une attaque plus complexe depuis l’intérieur du réseau de votre entreprise.
Enfin, si le pirate ne parvient pas à casser votre mot de passe, le hash récupéré pourra toujours être utilisé dans des attaques « NTLMRelay ». Bien que cette menace soit minime dans le cadre d’une attaque via votre réseau local, elle reste possible.
Prérequis
- L’attaquant a réussi à accéder à votre réseau.
- Votre configuration réseau utilise les protocoles LLMNR et/ou NBT-NS (c’est le cas par défaut sur Windows 10 sur les réseaux « privés »).
- Votre mot de passe Windows est faible.
Impacts de la cyberattaque
Récupération du mot de passe de votre compte Windows.
Nos recommandations pour le télétravail à l'attention des RSSI
- Désactivez LLMNR et NBT-NS sur l’ensemble des postes utilisateurs de l’entreprise.
- Forcez tous les ordinateurs du parc à considérer les nouveaux réseaux comme réseau « public » et empêchez les utilisateurs de modifier ce choix (Network List Manager Policies).
- Mettez en place une politique de mot de passe bloquant les mots de passe faibles.
Nos recommandations pour le télétravail à l'attention des utilisateurs
- Lorsque votre ordinateur se connecte à un réseau, ne le déclarez jamais en réseau « privé » à moins que vous ayez une confiance absolue en tous les équipements qui y sont connectés.
- Utilisez un mot de passe fort.
Bien qu’accéder à un réseau local pour cibler une entreprise requière une certaine dose de motivation, ces différents scénarios sont assez faciles à mettre en place pour un attaquant outillé.
Cependant, ils ne constituent pas les seules menaces. D’une manière générale, le télétravail augmente certains risques à cause de :
- l’augmentation de la surface exposée des entreprises sur Internet (VPN, extranet, etc.) ;
- l’absence d’échange de vive voix facilitant le « social engineering », une pratique de piratage basée sur la manipulation ;
- l’utilisation croissante de solutions de collaboration et de discussion à distance parfois insuffisamment sécurisées.
Cela a été le cas de Zoom, par exemple, sur lequel plusieurs RCE ont été trouvées au cours du premier confinement (CVE-2020-6109 et CVE-2020-6110). Pendant cette période, un très grand nombre d’attaques et de tentatives d’attaque a d’ailleurs été constaté.
Pour faire face à la recrudescence et à la sophistication des cyberattaques, la sécurité des systèmes informatiques doit impérativement être pensée de manière individualisée, faire l’objet de tests d’intrusion réguliers des postes de travail et prévoir la sensibilisation des employés aux risques inhérents à la cybercriminalité.
©2022 Alter Solutions
French 
Polish 
English 
Portuguese