En tant que partenaire des clients gouvernementaux gérant pour leur compte des demandes de visas du monde entier, la sécurité des données est une composante essentielle de notre travail quotidien. Face aux cybermenaces en constante évolution, nous avons fait d’importants investissements pour protéger nos systèmes informatiques et les données des demandeurs de visa. Dans cet article, le premier d’une série, notre responsable de la cybersécurité, Opeyemi Ore, explique les mesures que nous avons prises récemment avec la découverte de ‘PrintNightMare’ (« Cauchemar d’impression » en français), une nouvelle vulnérabilité liée à la fonction d’impression sur tous les systèmes informatiques fonctionnant sous Windows.
Les chercheurs en cybersécurité ont souvent la capacité d’attribuer des noms « qui donnent des frissons » à de graves faiblesses du système informatique, connues sous le nom de vulnérabilités dans le jargon informatique. En tant que professionnel de la sécurité, j’en ai rencontré d’intéressants, tels que Heartbleed (Saignement du cœur), Shellshock (Choc des coquilles), EternalBlue (Bleu éternel) et Meltdown (Fondre). Chacun d’entre eux fournit aux pirates informatiques des mécanismes pour accéder aux systèmes d’entreprise essentiels à des fins malveillantes.
La faiblesse informatique qui fait sans doute le plus froid dans le dos s’appelle “PrintNightMare”. Comme son nom l’indique, elle concerne la fonctionnalité d’impression des systèmes Windows. La facilité avec laquelle cette vulnérabilité peut être mise en place, et les dommages potentiels qui en résultent, me font littéralement faire des cauchemars. Je trouve extraordinaire qu’un service mis en place pour permettre aux utilisateurs d’imprimer des documents soit devenu la méthode de prédilection des attaquants. Cette fonctionnalité de base peut donner aux hackers (pirates informatiques en français) situés à des milliers de kilomètres la possibilité d’accéder à un système à des fins malveillantes. Ce qui est effrayant, c’est que chaque organisation est vulnérable si elle utilise les versions impactées des systèmes d’exploitation Windows. Même si vous externalisez toutes vos technologies, vous n’êtes pas à l’abri que vos fournisseurs utilisent ces mêmes services impactés de Windows.
Réactivité rapide face à la menace « PrintNightMare »
C’est à partir de juillet 2021 que l’information sur cette vulnérabilité s’est répandue comme une traînée de poudre et tout le monde s’est mis à l’œuvre. Les hackers ont commencé à chercher des moyens pour tirer parti de la situation. Les fournisseurs de produits de sécurité informatique ont utilisé un ton alarmiste, comme à leur habitude, afin de vendre plus de produits. Microsoft a commencé à travailler sur un correctif. Les équipes de cybersécurité du monde entier ont commencé à chercher sans relâche un moyen de protéger leurs systèmes.
Chez TLScontact, nous étions également préoccupés par les conséquences potentielles pour notre entreprise. Notre activité quotidienne nous amène à traiter de grandes quantités de données personnelles et sensibles sur nos demandeurs de visa : leurs données biométriques, les informations de leur passeport, les détails de paiement, leurs antécédents financiers, leur casier judiciaire, etc. Imaginez l’exposition de ces données sensibles par un pirate informatique et l’impact négatif que cela aurait sur notre entreprise, nos clients gouvernementaux et les demandeurs.
Cela a constitué un véritable test pour notre équipe de cybersécurité. Malgré les limitations dues au COVID-19, nous avons fait des efforts considérables ces dernières années pour moderniser nos capacités de cybersécurité. Grâce aux investissements dans les solutions anti-malware (tout type de logiciel malveillant, provenant de l’anglais « malicious software ») de nouvelle génération, migration vers le cloud (solutions de stockage distant, « nuage » en français), filtrage de contenu Web, segmentation du réseau, sécurité des terminaux et solutions de sécurité de la messagerie, nous ont permis, depuis notre ancien système, de nous adapter à ce nouveau monde. Notre nouveau Centre des Opérations de Sécurité (Security Operations Centre) de classe mondiale nous a également permis d’exploiter ces nouvelles technologies de sécurité au maximum de leurs possibilités. Nous disposons désormais d’informations avancées en temps réel sur les nouvelles menaces potentielles, ainsi que des mécanismes proactifs pour bloquer les attaques.
Lorsque la vulnérabilité ‘PrintNightMare’ a été découverte, nous avons pu analyser notre environnement en quelques secondes, et déterminer qu’environ 30% de nos serveurs pourraient être à risque. Ce faible nombre de systèmes vulnérables témoigne de nos efforts de « durcissement » : une pratique de sécurité qui consiste à désactiver tous les services non requis sur les systèmes pour réduire la « surface d’attaque » disponible pour de mauvaises intentions. En attendant que Microsoft publie un correctif, nous avons mis en place notre processus de réponse aux incidents pour gérer le déploiement immédiat de nouvelles politiques de sécurité sur les systèmes touchés. Cela nous a permis de désactiver la fonctionnalité d’impression sur tous ces systèmes dans les 24 heures suivantes. Nous avons également passé en revue nos outils de détection et d’intervention des points de terminaison afin de détecter toute indication d’accès non autorisé, et nous avons renforcé nos capacités de surveillance. Nous nous sommes particulièrement concentrés sur toute connexion à distance depuis l’internet visant l’un des systèmes de nos centres de visa, de l’environnement cloud ou de nos centres de données. Heureusement, aucun événement suspect n’a été détecté.
Lorsque Microsoft a publié un correctif quelques jours plus tard, nous avons rapidement testé et déployé celui-ci sur tous nos systèmes, et pas seulement ceux où la vulnérabilité était présente. Nous avons ainsi obtenu une couverture complète de tous nos environnements de traitement.
Investir dans la cybersécurité pour protéger nos systèmes et les données des demandeurs de visa
Les investissements dans la cybersécurité peuvent être difficiles à justifier auprès des chefs d’entreprise et autres parties prenantes, qui ne reconnaissent peut-être pas la protection « invisible » qui en découle. Des incidents comme celui-ci contribuent à démontrer l’importance – et la valeur – de ces protections. Il a été particulièrement satisfaisant pour moi, en tant que professionnel de la sécurité, de voir comment les ressources et les efforts que nous avons engagés au cours de l’année écoulée nous ont permis de déployer une réponse efficace à cette menace en un temps record, protégeant ainsi notre entreprise et les données de nos demandeurs de visa.
Malheureusement, le chemin de la cybersécurité n’est jamais terminé. En fait, peu de temps après avoir terminé l’exercice décrit dans cet article, une nouvelle version de « PrintNightMare », heureusement moins virulente, a été annoncée. Dans le monde de la cybersécurité, l’ensemble des cybermenaces est en constante évolution. Nos mécanismes de protection doivent donc évoluer en permanence pour faire face aux menaces de demain.
Article écrit par Opeyemi Ore
Responsable de la cybersécurité