• Plus de 56 % des routeurs qu'ESET a achetés auprès de fournisseurs du marché d’occasion contenaient une foule de données sensibles : informations d'identification d'entreprise, détails VPN, clés cryptographiques, etc.
• Dans de mauvaises mains, ces données peuvent déclencher une cyberattaque conduisant à une violation de données qui met en danger l'entreprise, ses partenaires et ses clients.
• Ces recherches montrent que les entreprises ne suivent pas suffisamment les protocoles et processus de sécurité lors du démantèlement de leur matériel.
• Certaines organisations concernées n'ont pas répondu aux divulgations et communications d'ESET.
SAN DIEGO, le 21 avril 2023 — ESET, un leader mondial en sécurité numérique, a dévoilé les résultats de recherches sur des appareils d'entreprise qui ont été éliminés et vendus sur le marché de l’occasion. Après avoir examiné les données de configuration de 16 routeurs, ESET a découvert que plus de 56 % - 9 routeurs- contenaient des données sensibles de l'entreprise.
Des neuf routeurs pour lesquels des données de configuration complètes étaient disponibles :
- 22 % contenaient des données client
- 33 % de données exposées permettaient des connexions tierces au réseau
- 44 % disposaient d'informations d'identification pour se connecter à d'autres réseaux en tant que partie de confiance
- 89 % des détails de connexion détaillés étaient disponibles pour des applications spécifiques
- 89 % contenaient des clés d'authentification de routeur à routeur
- 100 % contenaient une ou plusieurs informations d'identification IPsec ou VPN, ou mots de passe racine hachés
- 100 % contenaient assez de données pour identifier de manière fiable l'ancien propriétaire ou exploitant.
"L'impact potentiel de ces découvertes est extrêmement préoccupant et devrait être un signal d'alarme", a déclaré Cameron Camp, le chercheur en sécurité d'ESET qui a dirigé le projet. "Nous nous attendrions à ce que les entreprises - de taille moyenne à grande- aient des processus de sécurité strict pour mettre hors service les appareils, mais nous avons constaté le contraire. Les organisations doivent être bien plus conscientes de ce qui reste sur les appareils dont elles se séparent, car la majorité de ceux que nous avons achetés sur le marché d’occasion contenaient un plan numérique de l'entreprise impliquée, y compris, mais sans s'y limiter, des informations réseau de base, des données d'applis, des informations d'identification de l'entreprise et des informations sur les partenaires, les fournisseurs et les clients. »
Les organisations recyclent souvent les technologies vieillissantes par le biais de sociétés tierces chargées de la destruction ou du recyclage sécurisés des équipements numériques et de l'élimination des données qu'ils contiennent. Qu'il s'agisse d'une erreur d'une entreprise de gestion de déchets électroniques ou de processus d'élimination propres à l'entreprise, une série de données a été trouvée sur les routeurs, notamment :
• Données tierces : comme dans des cyberattaques réelles, la violation d’un réseau d'entreprise peut toucher ses clients, partenaires et autres entreprises avec lesquelles elle a des liens.
• Parties de confiance : les parties de confiance (qui peuvent se faire passer pour un vecteur d'attaque secondaire) accepteraient les certificats et les jetons cryptographiques trouvés sur ces appareils, permettant ainsi une attaque très convaincante d'adversaire au milieu (AitM) avec des informations d'identification de confiance - capables d’extraire les secrets d'entreprise - avec des victimes inconscientes pendant de longues périodes.
• Données client : dans certains cas, les routeurs pointent vers des magasins d'informations internes et/ou externes contenant des informations spécifiques sur les clients, parfois stockées sur site, ce qui expose les clients à des problèmes de sécurité si un adversaire est en mesure d'obtenir des informations spécifiques à leur sujet.
• Applis spécifiques : des cartes complètes des principales plates-formes d'applis utilisées par des organisations spécifiques, hébergées localement et dans le cloud, étaient largement dispersées dans les configurations de ces appareils. Ces applis vont de la messagerie d'entreprise aux tunnels de confiance pour les clients, en passant par la sécurité physique des bâtiments, les fournisseurs et les topologies spécifiques pour les cartes d'accès de proximité et les réseaux de caméras de surveillance, ainsi que les plates-formes des fournisseurs, des ventes et des clients, pour n'en citer que quelques-unes. De plus, les chercheurs d'ESET ont déterminé sur quels ports et à partir de quels hôtes ces applis communiquent, celles auxquelles elles font confiance et celles auxquelles elles ne font pas confiance. En raison de la granularité des applis et des versions utilisées dans certains cas, des vulnérabilités connues pourraient être exploitées sur la topologie du réseau qu'un attaquant aurait déjà cartographié.
• Informations étendues sur routage de base: des routes du réseau central à l'appairage BGP, OSPF, RIP et autres, ESET a trouvé des dispositions complètes du fonctionnement interne de diverses organisations. Elles fourniraient des informations étendues sur la topologie du réseau pour une exploitation ultérieure, si les appareils tombaient entre les mains d'un adversaire. Les configurations récupérées contenaient également les emplacements proches et internationaux de nombreux bureaux et opérateurs distants, y compris leur relation avec le siège social - davantage de données qui seraient très précieuses pour les adversaires potentiels. La tunnellisation IPsec peut être utilisée pour connecter des routeurs de confiance, ce qui peut être un composant d'arrangements d'appairage de routeurs WAN, etc.
• Opérateurs de confiance : les appareils étaient chargés d'identifiants d'entreprise pouvant être craqués ou directement réutilisables - y compris des identifiants d'administrateur, des détails VPN et des clés cryptographiques - qui permettent aux acteurs malveillants de devenir, de manière transparente, des entités de confiance et d'accéder à tout le réseau.
« Il y a des processus bien documentés pour mettre du matériel hors service et cette recherche montre que de nombreuses organisations ne les suivent pas rigoureusement lors de la préparation des appareils pour le marché d’occasion », a déclaré Tony Anscombe, Chief Security Evangelist chez ESET. « L'exploitation d'une vulnérabilité ou le harponnage pour les identifiants est un travail potentiellement difficile. Mais nos recherches démontrent qu'il existe un moyen bien plus simple de mettre la main sur ces données. Nous exhortons les organisations impliquées dans l'élimination des appareils, dans la destruction des données et la revente d'appareils, à examiner attentivement leurs processus et à s'assurer qu'ils sont conformes aux dernières normes NIST en matière de nettoyage des supports ».
Les routeurs de cette recherche proviennent d’entreprises de taille moyenne jusqu’aux entreprises mondiales dans une variété de secteurs (centres de données, cabinets d'avocats, fournisseurs de technologie tiers, entreprises de fabrication et de technologie, entreprises créatives et développeurs de logiciels). Dans le cadre de cette recherche et dans la mesure du possible, ESET a divulgué les résultats à chaque organisation identifiée - dont plusieurs grands noms - pour s'assurer qu'elles sont au courant des manquements commis par d'autres dans la chaîne de propriété des appareils.
Certaines organisations dont les informations étaient compromises étaient totalement insensibles aux tentatives répétées d'ESET de se connecter, tandis que d'autres ont fait preuve de compétence, traitant l'événement comme une violation de sécurité à part entière.
On a rappelé aux organisations de vérifier qu'elles font appel à un tiers de confiance compétent pour éliminer les appareils, ou qu'elles prennent les précautions nécessaires si elles gèrent elles-mêmes le démantèlement. Cela devrait s'étendre au-delà des routeurs et des disques durs à tout appareil faisant partie du réseau. De nombreuses organisations ayant participé à cette recherche ont probablement eu le sentiment de passer des contrats avec des fournisseurs réputés, mais leurs données ont malgré tout été divulguées. Il est donc recommandé aux organisations de suivre les directives du fabricant pour supprimer toutes les données d'un appareil avant qu'il ne quitte physiquement leurs locaux. C’est une étape simple que de nombreux membres du personnel informatique peuvent gérer.
On rappelle aux organisations de traiter les notifications de divulgation avec sérieux. Agir autrement peut les rendre vulnérables à une violation de données coûteuse et à une atteinte importante à leur réputation.
Au RSA 2023, le 24 avril 2023 à 9 h 40, heure du Pacifique, Camp et Anscombe présenteront cette recherche dans leur présentation “We (could have) cracked open the network for less than $100" («Nous aurions pu craquer le réseau pour moins de 100 $»)
Pour lire le livre blanc, qui comprend des ressources sur l'élimination sécurisée des appareils, visitez
www.welivesecurity.com
A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez
www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et
https://www.eset.com/be-fr/