À quelle vitesse les pirates peuvent-ils trouver des données exposées ? Très rapide, disent les chercheurs

MANILLE, Philippines – Alors que la police nationale philippine (PNP) continue de sonder ses systèmes pour détecter la violation signalée par la société de cybersécurité VPNMentor le mardi 18 avril, la question demeure : la base de données a-t-elle été consultée par une autre entité que VPNMentor ?

Il est déjà établi qu’il y a bel et bien un manquement. La base de données PNP aurait dû être protégée par mot de passe car elle contenait des documents sensibles qui pourraient être utilisés pour le vol d’identité, entre autres crimes. Pourtant, ce n’était pas le cas, permettant à VPNMentor d’accéder à la base de données.

Mais VPNMentor et son équipe sont des chercheurs en cybersécurité éthique dont la fonction est de rechercher spécifiquement de telles fuites afin de les signaler aux autorités compétentes.

La question est, au cours de la minimum six semaines que la base de données a été exposéeune autre entité non autorisée, peut-être avec des intentions moins nobles, avait-elle pu y accéder ?

Certaines recherches en ligne révèlent une sombre vérité : six semaines, c’est plus que suffisant pour qu’un auteur de menaces ou un pirate informatique repère une base de données exposée et l’exploite.

La première attaque peut survenir juste après 8 heures et demie

Comparitech, un site de comparaison technologique composé de chercheurs en cybersécurité spécialisés dans les VPN (réseaux privés virtuels), les gestionnaires de mots de passe et les outils antivirus, entre autres, a mené un test pour trouver la réponse à la question : « Si vous laissez une base de données non sécurisée sur sur le Web, combien de temps faut-il aux pirates pour le trouver et le voler ? »

L’équipe a mis en place des pots de miel, qui sont essentiellement des appâts pour les pirates. Ils ont créé de fausses bases de données en ligne avec de fausses données d’utilisateurs.

Les données ont été laissées exposées pendant 12 jours du 11 mai 2020 au 22 mai 2020. Pendant cette période, 175 demandes non autorisées ont été faites, qu’ils appellent généralement des « attaques », avec une moyenne de 18 attaques par jour.

La première attaque a eu lieu le 12 mai, seulement 8 heures et 35 minutes après que l’équipe a déployé les pots de miel.

Cela signifie que pendant ce laps de temps, une entité non autorisée a pu rechercher la base de données, la trouver non protégée et tenter d’adresser des requêtes au serveur. Ces demandes peuvent aller du vol, du grattage ou de la destruction des données, ou de la modification de la configuration du serveur pour leur propre profit.

Selon Comparitech, de nombreux attaquants utilisent ce qu’on appelle un moteur de recherche Internet des objets (IoT) pour localiser les bases de données vulnérables. Dans le cas du pot de miel de Comparitech, plus de trois douzaines d’attaques ont eu lieu avant qu’un moteur de recherche IoT ne puisse le scanner et l’inclure dans son index.

Jeremiah Fowler de VPNMentor a également noté l’utilisation d’un moteur de recherche IoT pour localiser la base de données exposée signalée.

“Certains des attaquants auraient vraisemblablement pu être des chercheurs en sécurité similaires à notre propre équipe, mais nous ne pouvons souvent pas faire la distinction entre un attaquant malveillant et un attaquant bénin”, a déclaré Comparitech.

Le 29 mai 2020 – 19 jours après le déploiement du pot de miel – un bot ransomware malveillant l’a découvert, a supprimé le contenu de la base de données et a demandé un paiement.

Dans son évaluation de la violation du PNP, Fowler a écrit qu’il n’avait pas vu de preuves de cyberattaques ou de cryptage de base de données via un rançongiciel.

Sophos trouve des attaques encore plus rapides

Dans une interview par e-mail avec Rappler, Aaron Bugal, directeur technique de terrain de la société de cybersécurité Sophos, a souligné la nécessité du chiffrement pour les bases de données.

« En ce qui concerne le moment où trouver et abuser des bases de données exposées, elles ne devraient pas être exposées en premier lieu. À tout le moins, les données elles-mêmes doivent être cryptées sur place, et ce n’est que lorsqu’elles doivent être présentées via une application à usage officiel que les données doivent devenir lisibles par l’homme », a écrit Bugal.

Bugal a discuté de sa propre recherche de type pot de miel en 2019, les entités trouvant leurs systèmes exposés en seulement 84 secondes.

« Cela peut prendre de quelques secondes à quelques minutes pour qu’un service sur Internet soit publié puis scanné/abusé par des systèmes automatisés mis en place par des cybercriminels.

En 2019, Sophos a exposé une série de systèmes de bureau compatibles avec le protocole de bureau à distance (RDP) sur Internet ouvert comme une forme de pot de miel avancé. Il il n’a fallu que 84 secondes pour que la première attaque par force brute démarre sur l’un de ces systèmes exposés.

Bugal a offert des conseils à ceux qui auraient pu être touchés par la violation de données de la police philippine.

«Les systèmes piratés qui hébergeaient les données exposées associées aux ressortissants philippins doivent être analysés de manière médico-légale pour comprendre s’ils ont été consultés et transférés hors de ces systèmes. Si c’est le cas, les personnes concernées doivent être informées dès que possible afin qu’elles puissent surveiller de près leurs identités physiques et numériques pour s’assurer qu’aucune action frauduleuse n’est entreprise à leur encontre », a déclaré Bugal.

La National Privacy Commission (NPC) a annoncé qu’elle procéderait à sa propre inspection sur place des systèmes informatiques de la police philippine le lundi 24 avril après-midi.

Michael Santos, chef des plaintes et des enquêtes de la commission, a déclaré CPN le vendredi 21 avril, que l’enquête comprendrait la mise en correspondance des données fournies par VPNMentor avec les systèmes de traitement des données de la police pour voir si ce sont bien les systèmes et la base de données de la police qui ont été exposés.

Ils consulteront les journaux informatiques pour voir qui d’autre a accédé aux données et s’il y a eu extraction de données. Santos a alors déclaré que ce qu’ils savaient à l’époque était en effet une base de données “qui a été laissée exposée”.

Le NPC devrait publier une déclaration une fois l’enquête traitée et signalée aux chefs du NPC. La réunion de NPC avec le chercheur de VPNMentor, Jeremiah Fowler, s’est déroulée vendredi, mais la commission n’a pas encore publié d’informations sur ce qui a été discuté.

Déploiement de logiciels malveillants, vol d’informations d’identification

Des pots de miel similaires ont été mis en place par la société américaine de cybersécurité Imperva dans leur propre étude en 2020.

Six fausses bases de données intentionnellement ouvertes ont été créées. Le plus rapide qu’il a fallu pour qu’une base de données soit trouvée et attaquée était de 10 heures. D’autres ont pris 11, 15 et 16 heures tandis que deux autres ont pris plus de temps à 240 heures (10 jours) et 288 heures (12 jours).

Les deux formes d’attaques les plus courantes après qu’un pirate a réussi à se connecter à la base de données étaient le déploiement de logiciels malveillants et le vol d’informations d’identification.

“En ce qui concerne les bases de données, l’une des règles les plus importantes est de ne jamais exposer votre base de données à un accès public. Dans les environnements cloud, cependant, il est très facile de faire cette erreur car votre fournisseur de cloud peut permettre que cela se produise en quelques clics seulement », a écrit Imperva.

Bien qu’aucune de ces études ne soit évaluée par des pairs, elle fournit des informations sur la rapidité avec laquelle les pirates peuvent détecter et exploiter une vulnérabilité.

Sans une déclaration définitive de la part du PNP, il est préférable que les victimes potentielles soient à l’affût des cas potentiels de vol d’identité, de phishing et d’autres activités malveillantes. – Rappler.com