User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 
Details

Coronavirus et télétravail, recommandations anti hackers

 

Avec la crise du Coronavirus, Les attaques cyber explosent. Comment se protéger?

 

Voir le guide de recommandasion ANSSI, fichier Excel, audit de conformité sur le nomadisme à la fin.

 

 

Coronavirus et télétravail, recommandations anti hackers : recommandation 2 de l'anssi

 

Appliquer les bonnes pratiques de l'ANSSI, c'est surtout sensibiliser d'abord les utilisateurs à respecter la charte informatique de l'entreprise.

Exemple sur une infrastructure Microsoft:

Eviter le "Active Directory Spaghetti" = compte d'utilisateurs un peu partout


Identifier les métiers qui peuvent faire du télétravail ou pas. Une fois que c'est fait, organiser.

Separation of duties: ne pas donner un accès télétravail à une personne qui n'en n'a pas besoin.

Listing des utilisateurs nomades et créer des règles spécifiques: certains métiers ont davantage de droits que d'autres. Exemple sur un active directory, les règles GPO...

AGDLP organisation spécifique à la création des groupes utilisateurs
A pour account
G pour les groupes globaux active Directory: ajouter des utilisateurs à l'interieur
Groupes locaux pour ajouter des groupes, mais aussi des ressources
Exemple, on cree une OU avec 2 utilisateurs qui sont membre d'un groupe local télétravail.

On peut ajouter un partage uniquement accéssible au groupe télétravail.

Quand on va créer un utilisateur, on va copier un utilisateur depuis un autre utilisateur générique. Il reprend les mêmes droits de l'utilisateur générique.

Gestion des utilisateurs
Créer des procédures pôur les changements des actions des utilisateurs:
-arrivée d'un utilisateur
-revoquer des comptes
-gestion des equipes, etc...
Ce sont en fait les bonnes pratiques ITIL

 

Coronavirus et télétravail, recommandations anti hackers : R4 sensibiliser les utilisateur


responsabilité RH? RSSI?
Faire comprendre aux utilisateurs qu'il y a des attaques en ce moment: toutes les IP publiques sont scannées.
Voir sur cybermalveillance.gouv.fr
Voir les videos de hack-ademy.fr
On accède aux mots de passes grace aux information srécoltées sur les réseaux sociaux.
Créer un questionnaire en ligne, un QCM comme l'Ethical Hacker Jeopardy  et l'envoyer aux utilisateurs pour voir s'ils ont compris la video.

 

Coronavirus et télétravail, recommandations anti hackers : R5 dédier l'équipement


1 personne = son laptop attitré. Dans son inventaire, identifier le propriétaire du poste.
Par exemple, avec GLPI on associe l'adresse MAC à l'utilisateur
Si ce n'est pas possible, si le poste est partagé, faire une analyse des risque.
Réaliser des procédures pour réinitialiser les postes s'ils changent de propriétaires pour supprimer les données.
itpro.fr/configurer-les-utilisateurs
exemple, le ntuser.dat pour cloisonner
Bien maitriser les master de l'entreprise

 

Coronavirus et télétravail, recommandations anti hackers : R6 Maitriser l'équipement d'accès


Pas de Bring Your Own Device: on ne travaille pas avec du matériel qui n'appartient pas à l'entreprise.
Si on est obligé d'avoir du BYOD, Utiliser des systèmes de MDM , mais la technologie coute cher. Mettre en place un "Zero trust architecture".

Exemple Bruno Lemaire qui a mis une taxe GAFA: l'abonnement des apps Google augmente de 20%, il faut que quelqu'un paye la taxe.

 

 

 

Coronavirus et télétravail, recommandations anti hackers : R7 protection physique

 


Cables antivols
Cadenas

 

Coronavirus et télétravail, recommandations anti hackers : R8 intégrité de la séquence de démarrage


UEFI, BIOS++ avec le secureboot
Supprimer l'accès au BIOS.
Car un attaquant est capable d'injecter des bootkits, des malwares qui vont infecter la séquence de démarrage de l'ordinateur, très peu detectables et persistants. Infection des disques durs par les laboratoires concurrents qui cherchent le vaccin au coronavirus par exemple.

 

Coronavirus et télétravail, recommandations anti hackers : R9 Chiffrement des disques locaux et amovibles


Car avec un liveCD ou clé USB, on peut démarrer sur un poste et on accède au disque et à toutes les données.
"cold boot" démarrage à froid ave csuppression du login et du mot de passe.
avec des outils commr cryhod, veracrypt, bitlocker
"The chiling realilty of cold boot attacks"
Dans l'active Directory, on va avoir le "chiffrement de lecteur bitlocker". Il faudra designer une PKI avec un super utilisateur pour retrouvé les clés chiffrées si elles sont perdues.
Bitlocker To Go permet de faire ça sur les disques amovibles.

Coronavirus et télétravail, recommandations anti hackers : R10 connexion des supports amovibles


Kevin Mitnick avec son USB ninja: un cable qui permet de recharger un iphone peut cacher un module d'injection de malwares. Avec une télécommande ou un smartphone, le cable envoie des touches très rapidement.

 

Coronavirus et télétravail, recommandations anti hackers : R11 débrayage des modifications de connecxions


GPO Active Directory
Ne pas laisser les administrateurs locaux de leurs postes: ils ne peuvent pas modifier leur configuration réseau.

 

Coronavirus et télétravail, recommandations anti hackers : R12 réduction de la surface d'attaque sur OS.


Eteindre les services qui ne servent à rien. Exemple si on a un wordpress installé sur un serveur.
Exemple avec l'outil ETTERCAP on peut lister le nombre des machines présents sur le réseau
Une fois les hotes scannés, on peut selectionner une cible. TARGET 1 clientet TARGET2 serveur
L'outil va sniffer le réseau capturer les données
Quand Robert va se connecter à Wordpress, on va récupérer son utilisateur et son mot de passe.

Benjamin Delpy a inventé un logiciel, MIMIKATZ, qui permet de récupérer les mots de passes d'authentification qui sont en mémoire.
Demonstration en administrateur
Mimikatz_trunk
mimikatz.exe
debug::privilege
sekurlsa::logonpassword

Demonstration en utilisateur
mimlikatz.exe
debug::privilege
sekurlsa::logonpassword
On ne voit rien du tout

Il faut être administrateur local pour utiliser Mimikatz. Si l'utilisateur n'est pas admin local, les mots de passes ne sont pas récupérés.

 

Coronavirus et télétravail, recommandations anti hackers : R14 mise en quarantaine.

 

Coronavirus et télétravail, recommandations anti hackers : R15 réduire les durées d'inaactivité avant le vérouillage.

 

Se faire un fichier Excel ou l'on pose les questions, on a le score et le tableau de bord

https://github.com/Warchy14/Tools-Audit/blob/master/Audit%20ANSSI%20Nomadisme_V1.2.xlsx

Architecture à base de VPN dans un SI

 

Coronavirus et télétravail, recommandations anti hackers : 16 Tunnel VPN IPSEC ou TLS?

 

 

On préfère IPSEC à TLS. C'est un long débat, on peut philosopher des heures. Pourquoi? Parce qu'il y a imoins de vulnérabilités connues sur IPSEC. IPSEC c'est la couche 3 dans le modèle OSI, alors sur TLS est sur une couche plus haute. Sous Windows, Active Directory, on peut avec secpol et les GPOS, on peut configurer les caneaux IPSEC du pare feu Windows. En quelques clics on configure IPSEX sur un LAN. Type de configuration, passerelle, rebond, etc. On configure les IP entrantes et sortantes. Authentification par EAP avec certificat, ou Kerberos, ou NTLM. .

 

Coronavirus et télétravail, recommandations anti hackers : 17 Activer le pare feu local sur l'équipement d'accès nomade.


On doit mettre des règles sur le firewall du client.
Empecher le split tunneling, avoir 2 connections sur le meme poste de travail. Le post ede trvail ne doit se connecter QUE sur le concentrateur VPN.
Rappel, on doit avoir 1 poste de travail attitré par personne.

 

Coronavirus et télétravail, recommandations anti hackers : R18 Bloquer tous les flux vers internet pour qu'ils ne passent que par le concentrateur VPN.


Le DNS du client est celui du SI qui se trouve dans la DMZ. Pour éviter les ataques du type DNS poisonning...
Le DNS du SI est le même DNS que le DNS du client à distance.

 

Coronavirus et télétravail, recommandations anti hackers : R20 Mettre en place un concentrateur VPN interne et forcer l'établissement du tunnel VPN quel que soit l'environnement de l'utilisateur.


Le client VPN doit adapter sa connection en fonction de là où on se trouve, WIFI, cybercafé...
Si ce n'est pas possible, mettre un client VPN central qui detecte dans quel environnement on est.

 

Coronavirus et télétravail, recommandations anti hackers :R21 Authentifier l'utilisateur et l'équipement d'accès dans le processus de connexion au SI nomadisme.


On peut mettre plusieurs couche d'authentification. L'idée c'est de démontrer que si certaine sociétés ne mettent qu'un mot de passe de 4 lettres ce n'est pas assez sécurisé.

Exemple, un attaquant peut attaquer le PDG d'une société et récolter un maximum d'informations.
D'abord le hacker se renseigne sur Facebook, Linkedin.
Le hacker crée un fichier texte dans lequel il renseigne les infos qui l'interesse. Par exemple, il enregistre toutes les dates qui sont mots de passes possibles. On ajoute à cette liste le prénom, le nom. Le hacker peut récupérer des informations grace à l'email de la victime. Si on utilise le script cupp.py common user password
L'attaquant va lancer cupp qui va mixer ce fichier texte, en joighant en paramètre la liste d'informations qu'il a créé.
cupp -w fichier.txt
cupp génère un nouveau fichier avec des données issues du 1er fichier. Exemple, avec des mots de passes utilisant les variantes des informations du 1er fichier.
Exemple, cupp concatène le prénom, le nom et des chiffres et des lettres. Car par exemple, on utilise souvent des mots de passes comme DUPONT9 ...
Le hacker simule une connection au réseau LAN du PDG de l'entreprise. On peut scanner avec NMAP et récupérer des IPS.
On connait l'IP de la machine sur laquelle le PDG se connecte en télétravail via le VPN.
Des fois les administrateurs ne mettent pas de sécurité sur le VPN.
Exemple, les administrateurs n'utilisent juste qu'e le PPTP.
Le hacker lance une commande sur le serveur avec en paramètre la liste générée par cupp.
thc-pptp-bruter -u utilisateur -l 999 -n 99 192.168.56.118
C'est une attaque par dictionnaire.
Une fois que l'on a renseigné les paramètres dans thc-pptp-bruter, ce script devine le mot de passe et se connecte au VPN automatiquement
cat fichier.cupp.txt |
pour teter le contenu du fichier sur l'accès VPN.
L'outil trouve un mot de passe exemple "Dupont2020" qui est la concaténation du nom du PDG avec notre année en cours.

Le hacker peut maintenant se connecter à la machine du PDG et exfiltrer les données

Donc il vaut mieux utiliser un VPN TLS ou IPSEC plutot qu'un VPN en PPTP.

 

Coronavirus et télétravail, recommandations anti hackers : R22 Mettre en place une authentification à double facteurs.

Avec une carte OTP par exemple...

 

 

Coronavirus et télétravail, recommandations anti hackers : R23 protéger les éléments secrets liés aux certificats nomades.

 

 

Si on a une PKI, on a une gestion clé propre avec un administrateur qui gère les clés et les distribue, et les redonne si un utilisateur nomade a perdu sa clé.
On peut utiliser Bitlocker avec la PKI, signer les scripts powershell...
Sur l'active directory, il y a un role "services de certificats Active Directory" qui se configure assez facilement.

 

Coronavirus et télétravail, recommandations anti hackers : R24 Configurer strictement l'autorité de certification légitime sur les équipements de nomadisme.

 


On doit avoir un protocole qui vérifie les certificats, avec CRL ou OTP. Pour éviter les erreurs de cerrtificats non valides, pour plusieurs raisons, soit périmé, autosigné... Ou qu'il y a un man in the middle, un hacker qui injecte un cetificat au milieu et qui récupère toutes les données qui transitent.

 

Coronavirus et télétravail, recommandations anti hackers : R26 Mettre en place des équipements physiquement dédiés au SI nomadisme dans une DMZ.

 

Mettre une DMZ, zone démilitarisée, de manière physique ou logique.

 

Coronavirus et télétravail, recommandations anti hackers : R27 Interdire tous les flux de communication directs entre les équipements d'accès nomade.


Pas de communication avec les postes de travail en direct avec les postes nomades des collègues pour partager des fichier, il faut cloisonner pour que ce soit notre SI qui filtre les connections.

 

Coronavirus et télétravail, recommandations anti hackers :R28 Ne pas exposer d'applications métiers du SI nomadisme directement sur internet.

 

Coronavirus et télétravail, recommandations anti hackers : R29 Interdire l'accès au cloud

 

Pareil pour le cloud, l'utilisateur doit passer par le SI pour filtrer.

 

Coronavirus et télétravail, recommandations anti hackers : R30 Réaliser un filtrage au sein du canal d'interconnextion VPN sur les applications autorisées pour un utilisateur nomade.

 

Filtrer pour maitriser l'info et les flux qui transitent.

 

Coronavirus et télétravail, recommandations anti hackers : R31, Rivilégier l'utilisation de protocoles chiffrés et authentifiés pour l'accès aux applications nomades au travers du tunnel VPN

 

Pas de http, telnet, ftp, mais HTTPS, SFTP, SSH.

 

Coronavirus et télétravail, recommandations anti hackers : R32, restreindre au struct nécéssaire l'utilisation de synchronisation de documents hots ligne pour les utilisateurs nomades.

 

Lilmimter au strict minimum la synchronisation des documents.

Les recommandations d'ordre général: guide d'hygiène qui peut devenir un référentiel.

 

Coronavirus et télétravail, recommandations anti hackers : R33 mettre en oeuvre des matériels et logiciels disposants d'un visa de sécurité de l'ANSSI.

 

C'est à dire que l'ANSSI met en avant des boites sérieuses françaises qui montrent patte blanches, comparé à certaines applications chinoises...

 

 

Coronavirus et télétravail, recommandations anti hackers : R35 intégrer une politique de MCO et MCS pour le SI nomadisme

 

Respcter le même niveau d'exigence au SI.

 

 

Coronavirus et télétravail, recommandations anti hackers : R36 prévoir une supervision de l'état du parc des équipements d'accès nomade.

 

Avoir des remontées de LOGS pour surveiller ce qu'il se passe sur le SI.

 

 

Coronavirus et télétravail, recommandations anti hackers : R37 MEttre en place une journalisation des éléments du SI

 


Prévoir des SOCs, SIEMS pour les remontées de logs et les corélations des journalisations pour ddetecter les intrusions

 

Coronavirus et télétravail, recommandations anti hackers : R39 mettre une sonde de detetion

comme par exemple SNORT...

 

Coronavirus et télétravail, recommandations anti hackers : R40 SI en "diffusion resteinte": respecter par exemple au mieux l'II 901.

 

Directives spécifique à l'Etat.

 

 

Voir le guide de recommandasion ANSSI, fichier Excel, audit de conformité sur le nomadisme.

https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/

Le PDF est téléchargeable ici:

https://www.ssi.gouv.fr/uploads/2018/10/guide_nomadisme_anssi_pa_054_v1.pdf

 

Surtout pour les OIV, organismes d'importance vitale, exemple: les hopitaux, etc, ou tout ce qui doit marcher en temps de guerre, qui ont des exigences très fortes

Pour conclure, chiffrement partout sur toutes les couches possibles, authentification partout, on cloisonne tout.
Les clients doivent passer par le SI et ne pas se connecter directement aux serveurs des applications.
Suivre les recommandations de l'ANSII.

en cas d'attaque, de cryptolocker, de ransomware, de données suspectes sur le système d'information, contacter cybermalveillance.gouv.fr

 

 

  

Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu. Vos commentaires/remarques sont les bienvenus: