Les Jeux olympiques de Paris remportent la médaille d’argent en matière de cybersécurité – votre surface d’attaque externe figure-t-elle également sur le podium ?
En utilisant notre propre solution de gestion de la surface d’attaque externe (EASM), Sweepatic d’Outpost24, nous avons effectué une analyse de la surface d’attaque de l’infrastructure en ligne des Jeux Olympiques de Paris 2024. L’équipe de cybersécurité de Paris 2024 a mis en place beaucoup de bonnes choses, mais nous avons également mis en évidence certains risques réels dans la surface d’attaque, passés à travers les mailles du filet (et c’est le cas pour de nombreuses organisations), notamment les ports ouverts, les mauvaises configurations SSL, les violations du consentement aux cookies et le squatting de domaine.
Il est facile de remarquer lorsqu’une organisation s’agrandit physiquement. Les bureaux sont plus spacieux, le matériel informatique est renouvelé et le nombre d’employés augmente. À l’inverse, l’expansion numérique peut exploser sans que personne n’y prête vraiment attention – elle est trop souvent cachée et ignorée. La solution EASM d’Outpost24, estime que l’empreinte numérique d’une organisation double tous les neuf mois, ce qui représente beaucoup d’éléments à suivre.
C’est pourquoi les organisations utilisent l’EASM pour obtenir une vision complète de tous leurs actifs publics orientés vers Internet qui pourraient être exploités par des attaquants. Vous pouvez voir ci-dessous l’un des résultats de la plateforme EASM de Sweepatic – un graphique du réseau présentant l’empreinte numérique publique d’une organisation. Elle diffère de la gestion des vulnérabilités, car elle montre les actifs connus et inconnus d’une organisation.
La meilleure façon de comprendre le fonctionnement de l’EASM et de sa valeur ajoutée est d’examiner un exemple concret. Nous avons donc cartographié l’ensemble de l’empreinte Internet du comité d’organisation des Jeux olympiques : Paris 2024. Pourquoi avons-nous choisi les Jeux olympiques de Paris pour cette étude ? Principalement parce qu’il s’agit de la plus grande compétition sportive internationale attirant des visiteurs physiques et numériques du monde entier. Les Jeux Olympiques sont une marque très bien établie et on observera un pic d’intérêt en ligne à l’approche des Jeux de Paris 2024.
À l’instar des pickpockets et des vendeurs de billets qui ciblent les groupes de touristes, les cybercriminels ont bien conscience de l’augmentation du trafic en ligne à venir à l’approche des Jeux de Paris 2024 et espèrent en tirer profit. L’infrastructure des Jeux olympiques de 2020 à Tokyo a été touchée par 450 millions de cyberattaques, soit 2,5 fois plus que les Jeux de Londres en 2012. Cela signifie qu’il y a beaucoup de travail pour une solution EASM. Voyons ce que la solution a mis à jour et quels enseignements vous pouvez en tirer pour votre propre gestion de la surface d’attaque.
Quelle note avons-nous donné à Paris 2024 ?
En clair, plutôt une très bonne note ! Pas tout à fait une médaille d’or, mais certainement une médaille d’argent. Il y a plusieurs pratiques de cybersécurité positives à noter ici, ainsi que certains risques qui ont tendance à apparaître – même pour les organisations qui font beaucoup de choses correctement. Nous avons commencé par la découverte des actifs, afin de dresser un tableau de tous les domaines, sous-domaines, hôtes, applications web et ressources cloud de Paris 2024. Vous pouvez en voir un aperçu dans le graphique du réseau ci-dessous. À partir de là, nous avons pu approfondir les risques et les vulnérabilités spécifiques.
Stijn Vande Casteele, CSO de l’EASM d’Outpost24, déclare à propos des résultats : « Bien que nous ayons détecté plusieurs risques dans la surface d’attaque à analyser, il convient de reconnaître que l’état global de la cybersécurité des Jeux Olympiques de Paris 2024 est bon. Il y a quelques années, nous avions analysé la surface d’attaque de la Coupe du monde de la FIFA 2018 en Russie , qui présentait un nombre alarmant d’hôtes obsolètes et de points d’entrée potentiels dans leur infrastructure.
En comparaison, il est clair que l’ équipe de cybersécurité de Paris 2024 a déployé davantage d’efforts en matière de cybersécurité. Mais même si nous considérons les Jeux de Paris 2024 comme un « bon » exemple de gestion d’une surface d’attaque, ils ne sont pas parfaits (la perfection n’existant que très rarement en matière de cybersécurité). Les risques que nous allons explorer dans la section suivante soulignent l’intérêt d’avoir une solution EASM en place pour détecter automatiquement les risques de la surface d’attaque qui passent inévitablement à travers les mailles du filet. »
Ce que nous avons trouvé : Analyse des risques
Il convient de noter que les risques suivants ne sont pas propres à Paris 2024. Il s’agit de problèmes que nous n’avons jamais vus auparavant, car de nombreuses organisations ne maîtrisent pas très bien leurs actifs connectés à Internet – il se peut même que certains de ces problèmes se cachent dans votre propre surface d’attaque ! Si vous souhaitez savoir comment se présente votre propre surface d’attaque, vous pouvez réserver une analyse gratuite de votre surface d’attaque avec Outpost24 dès maintenant.
Ports ouverts
Les ports ouverts ne représentent pas un risque en soi, mais s’ils ne sont pas correctement configurés, les pirates peuvent les utiliser pour exploiter les vulnérabilités des logiciels et accéder à des informations confidentielles. Les ports non protégés dévoilent principalement votre réseau et votre pile informatique aux attaquants, ce qui leur permet d’écouter les services en cours, de repérer les faiblesses et de planifier stratégiquement des attaques ciblées. L’EASM vous donne une vision complète sur les ports ouverts dans votre organisation afin d’évaluer les risques.
Nous n’avons pas trouvé un nombre anormalement élevé de ports ouverts à risque pour Paris 2024, mais en creusant les résultats plus profondément, nous avons constaté que quelques-uns étaient potentiellement intéressants. Comme vous pouvez le voir dans les graphiques ci-dessous, deux ports d’accès à distance (serveurs SSH) étaient exposés. Ces ports sont susceptibles de faire l’objet d’attaques par force brute et devraient être résolus en priorité. Ces attaques peuvent entraîner des violations de données, le vol de propriété intellectuelle, ainsi que des dommages financiers et des atteintes à la réputation. N’oubliez pas que de nombreux scripts de brute force n’essaient de se connecter qu’au port TCP 22, et qu’il peut donc être utile de modifier votre port par défaut.
Défauts de configuration du protocole SSL
Les mauvaises configurations SSL sont parmi les problèmes les plus courants que nous rencontrons lorsque nous évaluons une surface d’attaque. Elles se produisent lorsque les certificats SSL sont mal configurés ou mal gérés, ce qui peut entraîner des vulnérabilités au sein du réseau de votre organisation. Ces erreurs peuvent inclure des algorithmes de cryptage obsolètes, une configuration incorrecte des certificats, des certificats SSL expirés, et affectent directement la surface d’attaque d’une organisation en créant des voies d’entrée possibles pour les pirates.
Il est difficile d’identifier les mauvaises configurations SSL sans une solution EASM complète. La plupart des outils de sécurité traditionnels n’ont tout simplement pas la capacité de surveiller et d’analyser tous les actifs de votre organisation en contact avec Internet. Comme vous pouvez le voir ci-dessous, notre solution EASM a mis en évidence que Paris 2024 avait 31 domaines (5,8 %) avec un SSL invalide et 86 domaines (16 %) sans SSL du tout. Dans certains cas, les redirections n’avaient pas été configurées correctement, trois domaines avaient des certificats expirés (peut-être des actifs oubliés), et dans d’autres, il y avait des redirections avec des HSTS éphémères.
En outre, nous avons constaté que sur 294 sites web, 257 présentaient des problèmes d’en-tête de sécurité. Lorsque vous visitez un site web dans un navigateur, celui-ci envoie des en-têtes de requête au serveur et le serveur répond avec des en-têtes de réponse HTTP. Les en-têtes de sécurité sont utilisés par le client et le serveur pour partager des informations dans le cadre du protocole HTTP. Ces en-têtes protègent les sites web contre certaines attaques courantes telles que XSS, l’injection de code et le détournement de clics.
L’un des exemples intéressants que nous avons relevés est une section de l’environnement de développement liée à la billetterie. Un environnement de développement devrait toujours être correctement protégé avec une connexion HTTPS comme couche minimale. La billetterie n’est pas un domaine dans lequel une organisation souhaite voir ses communications exposées, dans la mesure des informations personnelles identifiables (PII) et des données financières sont impliquées.
Squatting de domaine
Le squatting de domaines (ou cybersquatting) consiste à acheter ou à enregistrer des domaines dans l’intention de profiter frauduleusement de la marque d’une organisation. Cela débouche sur de faux sites web qui semblent dignes de confiance et qui sont généralement conçus pour gagner illégalement de l’argent, directement ou indirectement. Ils peuvent également voler des informations sensibles comme des mots de passe ou d’autres informations d’identification pouvant ensuite être vendues sur le dark web.
La fonction de découverte de domaines de l’EASM d’Outpost24 permet à une organisation comme les Jeux Olympiques de trouver facilement les squatteurs de domaines et ainsi se protéger contre de futurs problèmes. Les domaines découverts peuvent être liés ou non à la portée d’une organisation, dans le bon ou le mauvais sens. Les administrateurs peuvent rejeter les domaines découverts comme étant sans rapport, les ajouter à une liste à analyser ou surveiller les domaines suspects pour voir s’ils évoluent au fil du temps.
Dans le cas présent, nous pouvons déjà constater que certains noms de domaine concernant les Jeux olympiques de Paris 2024 ont été achetés et mis en vente. Nous en avons même trouvé pour les Jeux olympiques de 2028 à Los Angeles, les cybersquatteurs anticipant des années à l’avance un pic d’intérêt pour cet événement. La liste ci-dessous contient des domaines susceptibles de faire l’objet d’un « typosquattage », tels que oaris2024.org et paris224.org qui ont des fautes d’orthographe mais qui restent proches de la page de l’événement réel. Pour confirmer l’implication d’un acteur de la menace, il faudrait procéder à une analyse plus poussée de l’auteur de l’enregistrement de ces noms de domaines (le registrant). D’un autre côté, il est possible que ces domaines aient été enregistrés par l’équipe de Paris 2024 à titre préventif pour les empêcher de tomber entre les mains d’acteurs malveillants.
Violations du consentement aux cookies
Les cookies suivent les utilisateurs, mais il existe certaines règles et réglementations sur la façon dont une entreprise peut les utiliser, qui diffèrent souvent en fonction de l’endroit où l’on se trouve. Nous avons détecté plus de 20HYPERLINK « https://www.sweepatic.com/sweepatic-releases-gdpr-cookie-consent-violation-detection/ »pourrait avoir des implications liées au RGPD pour Paris 2024.
Le RGPD exige qu’un site web ne collecte des données personnelles auprès des utilisateurs qu’après qu’ils aient donné leur consentement explicite aux fins spécifiques de leur utilisation. Le consentement de l’utilisateur final pour les cookies est la base juridique la plus utilisée dans le cadre du RGPD, il serait donc utile de l’examiner pour s’assurer qu’il est bien respecté. Il s’agit d’une fonctionnalité précieuse pour toute organisation travaillant avec des clients de l’UE.
Autres risques et problèmes de cyberhygiène
- 404 et pages vides: Ces pages inutilisées peuvent sembler assez inoffensives, mais en réalité : au mieux elles ne font rien et au pire elles exposent inutilement les serveurs web et augmentent votre surface d’attaque. Il vaut mieux les supprimer purement et simplement. Plus vous en avez, plus vous avez besoin de surveillance et de remédiation potentielle.
- Logiciels et technologies obsolètes : Nous avons détecté quelques technologies obsolètes avec des vulnérabilités exploitées connues (KEV) dans l’infrastructure de Paris 2024, comme Varnish 6.5 par exemple. Ces technologies obsolètes représentent un risque élevé car elles présentent des vulnérabilités connues que les acteurs de la menace peuvent exploiter. Par exemple, un site web a été détecté avec la version 4.0 de Handlebars. Ce point est important car les versions de Handlebars antérieures à 4.3.0 sont vulnérables à la pollution des prototypes, ce qui entraîne l’exécution de codes à distance.
- Fuite d’informations d’identification : Pour la plupart des organisations, les mots de passe sont le maillon faible et donc la voie d’accès la plus facile pour les pirates. Nous avons trouvé un ensemble d’informations d’identification compromises ayant été dérobées par le logiciel malveillant LUMMAC2. Cela a pu se produire de deux manières : un employé a pu télécharger accidentellement le logiciel malveillant sur son appareil professionnel, ou il a utilisé ses identifiants de connexion professionnels sur un appareil personnel infecté par le logiciel malveillant. Dans tous les cas, l’organisation doit trouver un moyen de détecter les mots de passe compromis et d’imposer leur modification.
Quelques leçons à retenir
L’analyse de Paris 2024 met en évidence la nécessité de disposer d’outils offrant une visibilité totale. Même si cette organisation fait beaucoup de choses correctement en matière de cybersécurité, il subsiste encore plusieurs risques dans sa surface d’attaque qui doivent être traités – certains de manière urgente. Une solution EASM permet aux experts informatiques d’accéder à une découverte permanente des actifs et à l’analyse et la surveillance continues des changements dans leur surface d’attaque. Il s’agit d’un processus continu et automatisé, qui permet d’observer en temps réel et par ordre de priorité les risques actuels de la surface d’attaque, qu’ils soient connus ou non.
L’utilisation de l’EASM pour rester à l’affût de problèmes comme le squatting de domaines est essentielle pour protéger la réputation de votre marque et réduire le risque d’attaques par usurpation d’identité. Nous pouvons constater les efforts déployés par l’organisation de Paris 2024 pour protéger sa marque, même si cela n’était pas suffisant dans certains domaines. L’amélioration de votre « cyberhygiène » globale réduit votre surface d’attaque, vous aide à rester en conformité avec des réglementations comme le NIS2 et projette une meilleure image auprès des clients – dont beaucoup n’interagissent avec votre entreprise qu’en ligne.
Où se situe votre organisation ?
Découvrez le score de la surface d’attaque de votre entreprise. Effectuez une analyse de la surface d’attaque pour identifier les points forts de votre cybersécurité ainsi que les zones dans lesquelles il vous faut remédier aux vulnérabilités. Réservez dès aujourd’hui l’analyse gratuite de votre surface d’attaque.
Avertissement : Cette analyse a été réalisée en externe par Outpost24, à l’aide de sa plateforme exclusive de gestion de la surface d’attaque externe (EASM), Sweepatic. L’EASM d’Outpost24 trouve et analyse les actifs informatiques publics qui sont connectés à Internet en simulant le trafic Internet normal, la découverte passive et les techniques de test. Outpost24 n’est pas lié à l’infrastructure ou aux processus commerciaux du Comité des Jeux Olympiques de Paris.