Sécurisation des solutions d’accès à distance aux systèmes d’information

Contexte

Ces derniers mois, les solutions d’accès à distance sont ciblées par les attaquants dans le but de compromettre les systèmes d’information des entreprises qui les ont mises en oeuvre. Les attaquants profitent soit de vulnérabilités graves telles que celles publiées récemment[1][2] (cf. section documentaire) et pour lesquelles des codes d’exploitation ont été diffusés, soit d’une faiblesse dans la politique d’authentification pour usurper l’identité d’utilisateurs.

Systèmes affectés

Tout système d’information (SI), qu’il s’agisse d’un SI interne ou d’un SI hébergé en nuage (Cloud public ou privé) disposant d’une solution d’accès à distance en mode ‘nomadisme’.

Recommandations

Dans un contexte d’accès à distance en mode nomadisme – c’est-à-dire d’un utilisateur se connectant depuis l’extérieur à des ressources métier de l’entité –, nous rappelons que l’usage de solutions reposant sur la technologie VPN (Virtual Private Network, réseau privé virtuel) reste à privilégier, et en particulier des solutions implémentant un VPN IPsec.

En effet, il n’est pas recommandé d’exposer directement sur Internet des passerelles de déport d’affichage comme Microsoft RD Gateway ou Citrix Gateway (ex Netscaler). Ces passerelles d’accès présentent une surface d’attaque plus importante qu’un concentrateur VPN. Il est donc préférable de n’autoriser l’accès à celles-ci qu’une fois l’authentification VPN réussie et le tunnel VPN monté entre le poste de travail utilisateur et le concentrateur VPN.

D’autre part, l’exposition sur Internet augmente les opportunités d’attaque visant à usurper l’identité d’un utilisateur nomade si le processus d’authentification n’est pas suffisamment robuste. La mise en oeuvre d’une authentification à double facteur permet de réduire ce risque.

Ces recommandations sont valables quel que soit le système d’information (SI) ciblé, que ce soit un SI interne de l’entité ou bien un SI hébergé en nuage (Cloud public ou privé).

Les bonnes pratiques et recommandations d’usage en situation nomadisme sont notamment explicitées dans le guide de l’ANSSI sur le sujet[3].

De même, le guide relatif à l’administration sécurisée[4] apporte également des éléments de sécurisation dans le cadre d’un accès à distance par les administrateurs d’une entité.

Enfin, le guide d’architecture des passerelles d’interconnexion à Internet[5] permet de définir les bons principes de cloisonnement pour les accès externes depuis Internet vers le SI de l’entité.

Documentation

Rappel des avis émis

Dans la période du 27 janvier au 02 février 2020, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :