25 mars 2020

Le virus du télétravail

Par Sébastien

Dans le décret n° 2020-260 du 16 mars 2020 portant réglementation des déplacements dans le cadre de la lutte contre la propagation du virus covid-19, il est écrit :

« Afin de prévenir la propagation du virus covid-19, est interdit jusqu’au 31 mars 2020 le déplacement de toute personne hors de son domicile à l’exception des déplacements pour les motifs suivants, dans le respect des mesures générales de prévention de la propagation du virus et en évitant tout regroupement de personnes :

1° Trajets entre le domicile et le ou les lieux d’exercice de l’activité professionnelle et déplacements professionnels insusceptibles d’être différés ; »

Dans le cas contraire d’un déplacement pouvant être différé, et ce dans l’optique de protéger la santé de toutes et tous, le télétravail est très fortement recommandé, d’autant plus quand il peut rapidement être mis en oeuvre sur le plan technique.

A travers quelques résultats de recherche issus du moteur de recherche Shodan, nous allons constater qu’en plus des préconisations sanitaires simples diffusées à la population, la mise en œuvre de gestes barrières informatiques ne représente pas un luxe.

En ces temps de crise et de vulnérabilité(s) humaine(s) et organisationnelle(s), nous avons d’autant plus besoin d’assurer la bonne marche de nos équipements informatiques.

Shodan et le balayage de ports

Le balayage de ports est une technique servant à rechercher les ports ouverts sur un serveur de réseau.

Cette technique est utilisée par les administrateurs des systèmes informatiques pour contrôler la sécurité des serveurs de leurs réseaux. La même technique est aussi utilisée par les pirates informatiques pour tenter de trouver des failles dans des systèmes informatiques. Un balayage de ports effectué sur un système tiers est généralement considéré comme une tentative d’intrusion, car un balayage de ports sert souvent à préparer une intrusion.

On peut détecter le système d’exploitation et sa version par la prise d’empreinte de la pile TCP/IP. Certains logiciels permettent également de détecter le nom du logiciel écoutant sur un port, voire sa version.

A grande échelle, Shodan réalise cette opération de balayage de ports sur tout Internet, et indexe les résultats de recherche, mis à disposition des utilisateurs. Shodan interpole également les versions de logiciels trouvées avec les bases de vulnérabilités logicielles usuelles et mondialement utilisées en sécurité informatique. Utilisé de manière orientée, Shodan est un moteur de recherche de serveurs et d’équipements informatiques vulnérables.

BlueKeep

BlueKeep (CVE-2019-0708) est une vulnérabilité de sécurité découverte dans l’implémentation du protocole Remote Desktop de Microsoft. Elle permet d’exécuter du code à distance. Son score CVSS (évaluation standardisée de la criticité des vulnérabilités selon des critères objectifs et mesurables) est maximal : 10.

Par exemple, la vidéo suivante montre ainsi comment, via une attaque en déni de service exploitant BlueKeep, il est possible d’engendrer facilement le crash d’un poste Windows 7 :

Shodan et BlueKeep

Actuellement en France, au moins 4395 postes sont toujours à priori vulnérables à BlueKeep :

Pour pouvoir procéder à des recherches dans Shodan, il est nécessaire de créer un compte utilisateur. Cependant, via le modèle de lien suivant, il est possible d’avoir tout de même accès aux données du moteur de recherche :

https://www.shodan.io/host/aaa.bbb.ccc.ddd

(aaa.bbb.ccc.ddd étant l’adresse IP d’une machine qui a été scannée par Shodan et pour laquelle les résultats de recherche ont été indexés)

Pour une machine supposément vulnérable à BlueKeep (un scan de port ne dit pas tout !), l’élément suivant va s’afficher dans la fenêtre de présentation de résultat :

Lorsque cela est possible techniquement, Shodan présente également une capture d’écran associée au port scanné :

Vraisemblablement, sur cette machine, un utilisateur s’est connecté à distance depuis une machine Dell non personnalisée (voir aussi ici ).

Recherche d’informations sur la machine vulnérable

Via une recherche inversée sur l’adresse IP trouvée par Shodan, on arrive à retrouver le nom de la société qui utilise la machine concernée :

Sur societe.com, on retrouve l’entreprise en question, ainsi que la même adresse que celle mentionnée dans le résultat de viewdns.com :

Entre les mains de personnes malveillantes, on imagine aisément les dégâts qui peuvent être provoqués par la possession de telles informations, et d’autant plus en ce moment.

Geste barrière préconisé

METTEZ A JOUR VOTRE MACHINE !

Rejoignez notre mission.

Adhérez à OpenFacto, et faites de l’OSINT un standard en France.