Contexte
L’ANSSI, autorité nationale en matière de sécurité et de défense des systèmes d’information, effectue régulièrement des campagnes de signalement auprès des entités exposant un équipement vulnérable sur Internet dans le but de les aider à se prémunir d’une possible exploitation par un attaquant.Ces campagnes sont lancées lorsqu’une vulnérabilité est considérée comme critique, lorsqu’elle affecte un produit particulièrement répandu ou encore lorsqu’une exploitation est imminente voire déjà en cours. Afin d’identifier les équipements vulnérables sur son périmètre, l’ANSSI peut s'appuyer sur ses partenaires ainsi que sur des informations communiquées par des chercheurs en sécurité, grâce notamment aux dispositions de l’article 47 de la loi pour une république numérique n°2016-1321 du 7 octobre 2016 [1].
L’Agence dispose également d’une infrastructure de « scan réseau » lui permettant d’effectuer une recherche active par ses propres moyens [2]. Ces « scans » sont exécutés ponctuellement et dans le but d’identifier des équipements potentiellement vulnérables. En conséquence, certaines entités peuvent occasionnellement recevoir un signalement bien que leurs équipements ne soient pas vulnérables. L’inquiétude inutile générée par ce type de signalement est regrettable, mais ses conséquences sont bien moins importantes qu'un incident de sécurité faute de signalement.
Constats et recommandations
Prise de contact
A partir des informations techniques obtenues sur les équipements vulnérables, une étape d’identification des entités propriétaires est réalisée afin de les avertir de la situation. L’Agence dispose de différentes sources d’informations publiques pour y parvenir : nom de domaine DNS résolvant l’adresse IP, noms de domaine issus d’un certificat x509 associé au service scanné, base de registre du RIPE, etc.Toutefois, les informations à la disposition de l’ANSSI ne permettent pas toujours d’avertir efficacement les propriétaires de ces adresses IP. Pour y parvenir, plusieurs conditions sont nécessaires :
- les informations d’enregistrement des noms de domaine doivent être maintenues à jour auprès du registraire ;
- les certificats x509 utilisés doivent mentionner les bonnes informations concernant le propriétaire (il est déconseillé d’utiliser des certificats auto-signés tout comme les certificats proposés par défaut lors de l’installation du logiciel ou du matériel) ;
- les adresses de contact doivent être consultées régulièrement par leurs propriétaires ;
- le destinataire doit être à même de juger de l’importance de la communication.
Il est notamment fortement recommandé de ne pas déclarer de contact nominatif, mais de privilégier des adresses de messagerie fonctionnelles ou des adresses d’équipe qui resteront pérennes malgré les mouvements de personnels au sein de l’entité.
Les entités qui bénéficient des services de l’ANSSI sont également encouragées à transmettre à l’agence la liste de leurs adresses IP publiques ou plages d’adresses IP publiques. Merci de contacter l’adresse cert-fr.cossi@ssi.gouv.fr pour les modalités relatives à la transmission de ces informations.
Prise en compte du signalement
Afin de se protéger contre la vulnérabilité signalée par l’ANSSI, l’entité contactée doit vérifier le signalement et appliquer les actions correctives appropriées, qui lui sont détaillées par l’Agence. Deux situations principales sont rencontrées :- Les entités ayant mis en place un système de gestion de la sécurité (équipe opérationnelle de sécurité, CSIRT, …) prennent en compte le signalement en fonction de leur propre analyse de risques. Lorsque le signalement concerne des équipements exposés sur Internet, le plan d’actions est rapidement défini et est même parfois déjà en cours pour les équipes les plus réactives.
- Les entités ayant sous-traité l’infogérance et la gestion de la sécurité de ses systèmes informatiques sont fortement tributaires des prestations souscrites. Dans bien des cas, les clauses établissant les prestations de maintien en condition de sécurité ne sont pas suffisamment claires et le plan d’actions est difficile à mettre en œuvre.
Le point de contact, en mesure de piloter le maintien en conditions de sécurité est considéré comme un relais essentiel dans la sécurisation des systèmes d’information.
Exemple
Le 17 décembre 2019, l’éditeur Citrix a publié un avis de sécurité concernant la vulnérabilité CVE-2019-19781 qui permet à un attaquant non authentifié de réaliser une exécution de code arbitraire sur certains produits de l’éditeur. La situation s’est rapidement dégradée pour devenir critique avec la publication de code d’exploitation le 11 janvier 2020 (/alerte/CERTFR-2020-ALE-002/).Le 3 janvier 2020, l’ANSSI avait pu identifier 870 adresses IP vulnérables à la CVE-2019-19781 affectant certains produits Citrix.
En janvier 2021, 134 adresses IP étaient encore vulnérables à la CVE-2019-19781.
En 2020, l’ANSSI a pu constater 15 incidents de sécurité affectant des entités publiques et privées importantes dont l’origine était attribuée à la vulnérabilité CVE-2019-19781.