Formation ingenierie sociale
 

Communiqué

 

Le top 5 des vulnérabilités informatiques les plus rencontrées

Publié le 18-06-2013 dans le thème Réseau - Sécurité

Pays : France - Auteur : La rédaction


Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet

Note des lecteurs: 3.1/5

Ce n'est pas une surprise, 2012 aura encore été riche en actualité concernant la cybercriminalité. Cette criminalité est d'ailleurs devenue un enjeu stratégique pour les états qui ne sont pas non plus à l'abri de cette menace. On se souvient notamment du piratage très médiatisé de l'Elysée mais aussi et surtout des centaines d'affaires que zataz.com ou encore DataSecurityBreach.fr se font l'écho chaque jour.


75% c'est le nombre d'entreprises piratées au cours des deux dernières années selon une étude du Cenzic. Un chiffre qui pourrait largement baisser. Pour cela contrôler machines et serveurs, former ses équipes et mettre en place des veilles pro actives liée à la sécurité informatique. D'ailleurs, il suffit de se pencher sur le top 5 des failles les plus courantes pour se rendre compte que le combat face aux pirates n'est pas perdu d'avance, bien au contraire.

 

Scanner de vulnérabilité

 

1. Failles historiques
Ce qui devrait être le problème le plus anecdotique et paradoxalement le plus facile et le plus automatisé à exploiter. Les vulnérabilités historiques sont connues et des correctifs sont fournis par les éditeurs dès qu'elles sont publiées. Il suffit de mettre à jour les systèmes pour s'en prémunir et s'assurer une sécurité du réseau informatique efficace. Cependant, ces vulnérabilités sont le plus grand vecteur d'attaques et d'infections des systèmes d'informations. Les dernières grandes actualités concernant des compromissions d'entreprises concernent des systèmes qui ne sont pas mis à jour depuis des années. On se souvient du piratage du PlayStation network de Sony. Ce piratage a été permis grâce à une vulnérabilité sur les serveurs web connue et corrigée plusieurs mois avant.

 

2. Mot de passe
Chez 96% des clients audités, un mot de passe par défaut ou trivial permet d’accéder à des ressources confidentielles. Un simple stagiaire y arriverait. Autant dire qu'un mot de passe faible voir inexistant peut mettre à mal toute la sécurité du parc informatique. C'est un sujet pour lequel les utilisateurs sont le plus sensibilisés en entreprise, il reste pourtant l'un des vecteurs d'attaques les plus utilisés et surtout le plus simple à exploiter. Pour la société iTrust, le retour d'expérience est assez étonnant : Le compte n'a pas de mot de passe ; le mot de passe est le même que le login (admin/admin) ou le mot de passe est le mot de passe générique de création de compte. Et n’oublions pas quand le mot de passe est le prénom de l'utilisateur, de ses enfants, un simple mot du dictionnaire. Les outils pirates ne font qu'une bouchée de ces précieux sésames.

 

3. Serveurs à l'abandon
Un constat qui est fait lors des audits d'iTrust est qu'il n'y a presque jamais d'inventaire matériel réalisé au sein des systèmes d'informations. Lors d'un audit, la découverte de serveurs de tests ou de serveurs à l'abandon, non maintenus et largement vulnérables surprend les administrateurs qui n'avaient même pas connaissances de ces éléments sur le réseau. Ces serveurs sont facilement exploitables et peuvent toujours contenir des informations valides. De plus ils servent de rebond pour attaquer des cibles plus intéressantes.

 

4. Partage de fichiers
De nombreux systèmes peuvent avoir des partages de fichiers. Ces partages peuvent être gérés via différents protocoles (FTP, NFS, SMB,…). Les restrictions sur ces partages sont en général trop faibles voir inexistantes. Que ce soient les accès anonymes autorisés sur un FTP ou la restriction d'accès au réseau d'entreprise pour les partages SMB ou NFS, un attaquant à la possibilité d'obtenir énormément d'informations confidentielles. Le pouvoir de nuisance est extrêmement important lorsqu'un attaquant décide d'utiliser la technique de la terre brûlée et de supprimer tous les fichiers présents (sauvegarde, données financières…).

 

5. Base de données
Les bases de données sont une cible de choix, car elles renferment un tas d'informations utilisables. Lorsque les mots de passe par défaut sont changés, les administrateurs des bases de données administrant un grand nombre de serveurs, ils utilisent souvent des mots de passes faibles qui sont fonction du nom du serveur. Au-delà des informations confidentielles contenues, ces bases contiennent des listes d'utilisateurs dont il est facile d'obtenir les mots de passes par cassage. Ces comptes peuvent alors être réutilisés pour continuer l'attaque sur le réseau.

 

Bref, 9 fois sur 10 un test d'intrusion pénètre le système d’information. Et ce à partir d’une faille de sécurité triviale, depuis une simple connexion internet la plupart du temps. Si iTrust y arrive, des pirates, personnes malveillantes ou virus y arrivent aussi. D’autre part, 8 entreprises sur 10 ayant subi une malveillance ne le savent pas. Un manque d'information qui pourrait devenir rapidement préjudiciable pour l'entreprise. La règlementation évolue (CNIL, LEN, ...), qu'elle soit Français, mais aussi européenne. C'est une tendance forte, de plus en plus de recommandations ou de norme de conformité vont dans ce sens. L'ANSSI, entité étatique en charge de la sécurité informatique sur le territoire a diffusé, il y a quelques mois le guide d'hygiène sur la sécurité.

Article sponsorisé

 

Conseiller cet art
icle RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

WatchDogs, les 23 et 24 avril en direct de Chicago

23-04-2014 à 15:18 - 0 commentaire(s)

A un mois de sa sortie, le très attendu jeu vidéo WatchDogs d'UbiSoft va enfin révéler ses petits secrets.

Je vous refais le nez... et le serveur ?

23-04-2014 à 15:16 - 0 commentaire(s)

480.000 dossiers médicaux d'une clinique de chirurgie plastique et esthétique compromis dans une intrusion informatique.

Données volées sur le site des vétérans de guerres US

23-04-2014 à 15:12 - 0 commentaire(s)

Une base de données du Veterans of Foreign Wars compromise par un piratage informatique.

Tentative d'interception des Steam Guard

23-04-2014 à 14:46 - 0 commentaire(s)

Les clients et joueurs Valve Steam cibles d'une tentative de détournement des codes Steam Guard.

Un RAT dans de faux courriels American Express

23-04-2014 à 14:11 - 0 commentaire(s)

Un code malveillant s'invite dans votre ordinateur pour encore mieux piéger vos smartphones et tablettes.

Fuite de données chez SEDO

16-04-2014 à 01:28 - 0 commentaire(s)

La premiére plate-forme mondiale d'achat et de vente de noms de domaine aurait été en partie visitée.

Jackpot via un cheat code

16-04-2014 à 01:04 - 0 commentaire(s)

A partir de manipulations de touches, des amateurs de casinos raflent 10 millions d'euros.

Fuite de données possible via une faille Adobe Reader Android

15-04-2014 à 10:00 - 0 commentaire(s)

Un PDF piégé pourrait compromettre vos données sauvegardées dans votre tablette ou smartphone sous Android.

Sur le même thème : Réseau - Sécurité

Fuite de données possible via une faille Adobe Reader Android

Un PDF piégé pourrait compromettre vos données sauvegardées dans votre tablette ou smartphone sous Android.

Piratage de données bancaires chez LaCie

LaCie, fabricant de disques durs et systèmes de stockages numériques infiltré pendant 1 an... avant de s'en appercevoir.

La nouvelle secrétaire d'Etat au numérique a un site web aware

Axelle Lemaire, la toute fraîche nouvelle secrétaire d'Etat au numérique a du boulot sur la planche... en débutant par son site web.

Faille SSL, et si la NSA était au courant !

Yahoo!, Oracle, et des centaines de sites web faillibles à une vulnérabilité visant OpenSSL.

Un espace du journal 20 minutes piraté

Mots de passe, identifiants de connexion, ... un pirate passe dans le serveur de l'espace Cuisine du journal 20 minutes.

Problème de sécurité pour le site de Météo France

Une faille découverte sur le site de Météo France pourrait nuire aux amateurs de prévisions météorologiques.

Histoire Belge

Un site Belge baptisé XSS se retrouve face à des XSS qu'il ne corrige pas !

Cisco lance son tour de France Sécurité... et ne corrige pas ses failles

Du 1er avril au 24 mai, le groupe international Cisco lance son « Tour de France Sécurité 2014 ». Il faudrait aussi répondre au protocole d'alerte de zataz.

 







Hacknowledge Contest Europa-Africa La Nuit du Hack Hacking In Progress La reference des emissions TV dediees a la cybersecurite Data Security Breach - Securite pour entreprise, pme, pmi Sécuriser vos connexions avec un VPN


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA