Vous pensiez que si une fuite de données ne durait qu'une semaine, il y avait peu de chance pour que des cybercriminels mettent la main dessus ? Ce test de Comparitech suggère le contraire.

175 cyberattaques en 11 jours. C’est le bilan effrayant d’un test mené par l’entreprise de cybersécurité Comparitech. Le 11 mai 2020, les chercheurs ont placé plusieurs bases de données sur un serveur, qu’ils ont laissé ouvert à qui trouverait son adresse. Ils ont ensuite traqué l’activité sur le système. « Le temps est essentiel dans ces situations. Nous voulions savoir à quelle vitesse les données peuvent être compromises si elles ne sont pas sécurisées », écrit l’entreprise.

Elle n’a pas eu besoin d’attendre bien longtemps : 8 heures et 35 minutes plus tard, un premier visiteur trouvait l’adresse du serveur et lançait une attaque. Deux jours plus tard, le serveur collectait déjà près d’une vingtaine d’attaques. Ce bilan est alarmant, car il n’est pas rare que les fuites mettent des semaines, voire des mois, à être détectées puis colmatées. Toutes les entreprises, même les mieux protégées, sont susceptibles d’être victime d’une fuite : elles se distingueront par leur capacité à la réparer le plus rapidement possible.

Les chercheurs de Comparitech ont relevé 18 attaques par jour sur leur base ouverte. // Source : Comparitech

Découvrir la fuite prend souvent des mois

Pour son expérience, Comparitech a choisi un serveur Elastic Search, une technologie très populaire qui donne accès à des fonctionnalités équivalentes à un tableur Excel géant. Mais l’Elastic Search est aussi réputé pour ses fuites régulières, liées à de mauvais paramétrages de sa sécurité par les administrateurs. Numerama a par exemple enquêté sur des fuites de ce genre chez un partenaire de l’Éducation nationale et sur un forum français de BDSM.

Dans les deux cas, la fuite avait duré plusieurs mois avant d’être réparée, et elle exposait les données de milliers d’utilisateurs, dont certaines particulièrement sensibles. Le plus souvent, les entreprises n’ont pas les outils pour détecter ni l’absence de sécurité ni les comportements malveillants sur le serveur. Dans le cadre d’un contrôle de sécurité manuel, ce genre de fuite est en revanche repéré dès les premières minutes. Tout dépendra donc de la récurrence à laquelle l’entreprise effectue les contrôles.

Des dizaines d’attaques avant d’indexation sur les moteurs de recherche

Sur les 175 manipulations détectées par Comparitech, toutes ne sont pas forcément malveillantes : certains chercheurs en cybersécurité scannent le web à la recherche de failles puis les rapportent aux entreprises (contre un chèque, ou pour la publicité). Ils font souvent une copie de ces données, dont ils se servent comme preuve. Mais il reste difficile de distinguer « méchants » et « gentils ».

Les serveurs ouverts sont le plus souvent indexés sur des moteurs de recherche comme Shodan ou BinaryEdge, qui donneront plusieurs informations. Shodan, par exemple, indiquera si le serveur est compromis. Le moteur a rapidement indexé le serveur de Comparitech le 16 mai, 5 jours après sa mise en production. Il avait déjà été attaqué plus de quarante fois, ce qui signifie que les outils de recherche des cybercriminels sont tout aussi performants pour ce genre de détection. La base de données a tout de même subi un pic d’attaques, au nombre de 22, le jour de son indexation sur Shodan.

Tout un arsenal d’attaque à lancer sur une base ouverte

Avec un accès à ce genre de base de données, l’arsenal malveillant des hackers est large. En 11 jours, le serveur de Comparitech a subi plusieurs types d’attaques, et notamment :

  • Des vols de la base de données. C’est l’attaque la plus courante, car elle réussit à coup sûr et prend très peu de temps. Les hackers vont ensuite revendre les données sur les marchés noirs, ou s’en servir pour faire du phishing.
  • Une tentative d’installation d’un script de cryptominage, qui aurait utilisé la puissance informatique du serveur pour générer des cryptomonnaies (bitcoin, ethereum, monero…). Le mois dernier, des cybercriminels sont parvenus à installer un logiciel de ce genre sur des superordinateurs européens.
  • Un petit script de rançongiciel a fait une copie puis supprimé les données. Ses opérateurs demandaient une rançon de l’équivalent de 500 euros en Bitcoin en échange de la copie.

Les chercheurs ne précisent pas quel type de fausses données ils ont placé sur leur serveur. Selon la valeur et le nombre de données qu’il contient, un Elastic Search ouvert attirera plus ou moins l’attention. C’est ici la limite du test : des serveurs sans données personnelles ou avec un petit volume de données subiront certainement moins d’attaques. La raison : chercheurs comme cybercriminels dans ce domaine découvrent plusieurs fuites du genre par jour, mais ils s’arrêtent en priorité sur celles qui présentent le plus d’intérêt.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux