Comment de petites vulnérabilités deviennent la recette d'un désastre

Article de blog 9 avril 2021 par Max van der Linden, analyste en sécurité au Bureau Veritas Cybersecurity.

Comme vous l'avez peut-être entendu, la municipalité Ransomware a récemment été victime d'une attaque de ransomware, ce qui a entraîné un arrêt quasi complet des activités. Une attaque de Ransomware brise ou verrouille essentiellement des fichiers importants et ne les restaure que lorsqu'une importante somme d'argent est payée.

Adobe Stock 157071653

NFIR a mené une enquête judiciaire sur cette affaire, dont le rapport publié* a servi de base à ce blog. Ce blog a pour but de fournir une vue d'ensemble des événements qui ont conduit à l'attaque et de montrer que des vulnérabilités qui peuvent sembler insignifiantes à première vue peuvent avoir un impact énorme lorsqu'elles sont enchaînées.

Le9novembre 2020, les pirates ont obtenu un accès initial en forçant brutalement l'accès au bureau à distance (RDP) d'un serveur FTP. Cela peut sembler complexe, mais les pirates ont trouvé un ordinateur qui stocke des fichiers/documents. Cet ordinateur offrait la possibilité de se connecter et de contrôler le système à distance. Les pirates ont donc commencé à deviner le nom d'utilisateur et le mot de passe en essayant de se connecter des millions de fois avec des noms d'utilisateur et des mots de passe différents, jusqu'à ce qu'ils finissent par trouver le compte "testadmin" avec le mot de passe "Welkom2020" et puissent se connecter. Le "test" dans "testadmin" implique qu'il s'agit d'un compte créé à des fins de test.

Commande et contrôle

Le compte "testadmin" disposait du niveau d'accès le plus élevé au sein de l'organisation, ce qui a permis aux pirates de se déplacer librement sur le réseau et d'exécuter leurs actions malveillantes. Les pirates ont accédé à neuf serveurs au total, dont quatre ont été utilisés pour établir une connexion avec leur propre serveur de commande et de contrôle. Le serveur de commande et de contrôle est essentiellement un système contrôlé par les pirates qui envoie des ordres aux quatre serveurs du réseau Hof van Twente, lesquels peuvent désormais être "commandés" pour exécuter des attaques de l'intérieur.

Comme les pirates disposaient désormais d'un moyen de "commander et contrôler" quatre systèmes du réseau, ils ont supprimé l'accès RDP du serveur FTP. En d'autres termes, les pirates ont fermé et verrouillé la porte dérobée qu'ils avaient utilisée pour obtenir l'accès initial, car laisser la porte ouverte pouvait éveiller les soupçons ou permettre à d'autres personnes d'obtenir le même accès.

Adobe Stock 252116838 copy

C'est l'heure du spectacle : Exécution de l'attaque

Maintenant que les pirates ont eu accès au réseau interne et qu'ils ont effacé leur voie d'entrée initiale, il est temps d'exécuter l'attaque du Ransomware. À 22 heures, alors que les pirates pensaient qu'il n'y avait personne au bureau pour intervenir, ils ont commencé à verrouiller les systèmes et à supprimer 89 serveurs virtuels jusqu'à ce qu'il ne reste plus que les systèmes nécessaires pour faire fonctionner techniquement le réseau. Prenez le temps d'imaginer ce que cela signifierait dans votre organisation : en substance, tout ce qui est stocké dans la salle des serveurs a disparu.

Les pirates ont laissé une indication qu'il ne s'agissait pas seulement d'une défaillance technique. Lorsque les employés sont entrés dans les bureaux, ils ont remarqué des notes de rançon imprimées sur certaines imprimantes. En outre, les pirates ont laissé des copies digitales de ces notes de rançon sur les systèmes affectés. Les notes de rançon contiennent généralement des instructions sur ce qu'une entreprise doit faire pour récupérer ses données et ses systèmes, ce qui se résume en général à : "Payez beaucoup d'argent et nous vous donnerons les clés pour tout déverrouiller à nouveau".

Adobe Stock 270049183

À différents moments de la période de compromission, il aurait été possible de détecter l'attaque. Pour donner une idée de la chronologie, la première connexion réussie des pirates a eu lieu le 9 novembre. L'attaque proprement dite a été exécutée le 30 novembre. Cela laisse une fenêtre d'environ 20 jours pendant laquelle cette attaque aurait pu être stoppée. Par exemple, à un moment donné, les pirates ont installé un logiciel sur le serveur FTP pour envoyer des spams. Ce spam a été bloqué par le pare-feu. L'installation d'un logiciel et le blocage de ce spam auraient pu être un indicateur précoce que quelque chose n'allait pas dans le réseau.


Si les pirates de Hof van Twente avaient rédigé un rapport, ils y auraient probablement inclus les conclusions suivantes :

  • Risque moyen - Interfaces d'administration disponibles sur l'internet
  • Risque moyen - Manque de capacités de détection.
  • Risque moyen - Politique de mot de passe faible.
  • Risque moyen - Privilèges excessifs pour les comptes.
  • Risque moyen - Pas d'authentification multifactorielle sur les comptes d'utilisateurs.
  • Risque moyen - Absence de segmentation du réseau.
  • Risque faible - Comptes de test dans l'environnement de production.
  • Risque faible - Sauvegarde connectée au réseau.
  • Risque faible - Comptes non associés à des personnes spécifiques.


Vous remarquerez qu'il s'agit principalement de résultats à risque moyen ou faible, ce qui donne l'impression qu'une amélioration est nécessaire, mais qu'elle n'est pas si importante que cela. Cependant, en les enchaînant, on a abouti à une situation critique avec un arrêt quasi total de l'activité.

Les précieuses leçons tirées

Vous vous demandez peut-être que c'est une belle histoire d'horreur, mais comment faire pour que cela n'arrive pas à mon organisation ? Eh bien, si l'on considère ce scénario spécifique, quelques recommandations peuvent être faites :

  • Veillez à ce que les interfaces administratives ne soient pas accessibles depuis l'internet, sauf en cas d'absolue nécessité.
  • Mettez en œuvre des mécanismes de détection qui alertent l'organisation lorsque des "choses étranges" se produisent sur le réseau.
  • Mettez en œuvre une politique de mots de passe forts, avec une authentification à plusieurs facteurs.
  • Veillez à ce que les comptes ne disposent que des privilèges minimaux nécessaires à l'usage auquel ils sont destinés.
  • Les comptes utilisés dans un environnement d'acceptation ne devraient pas avoir accès à la production, car les deux environnements ont un niveau de sécurité différent.
  • Mettez en place une segmentation du réseau afin d'empêcher le passage d'un serveur à profil bas à un serveur à profil élevé.
  • Utilisez toujours des comptes d'utilisateurs nommés afin d'empêcher le partage des mots de passe et d'accroître la traçabilité.
  • Assurez-vous qu'il existe au moins une copie de sauvegarde qui n'est pas connectée au réseau.
Adobe Stock 167813129

La correction de l'une de ces vulnérabilités aurait brisé la chaîne et augmenté considérablement la difficulté de cette attaque.


Il est fortement conseillé de faire appel à une société de security testing telle que Secura pour tester ce type de vulnérabilités afin d'empêcher les attaquants de former une telle chaîne d'attaque.

Secura connaît les pièges les plus courants et peut fournir des conseils sur la manière de les trouver et de les atténuer. Augmenter le niveau de sécurité dans l'organisation dans un langage que les différents niveaux de compétences technologiques (du développement à la gestion) peuvent comprendre.


"La meilleure façon de se défendre contre les pirates informatiques est d'utiliser des pirates informatiques".

Vous souhaitez en savoir plus sur les attaques de Ransomware comme celle de Hof van Twente et sur leur déroulement dans le domaine public ? Apprenez-en plus sur les Ransomware, l'état d'esprit du hacker, comment prévenir ces attaques, et plus encore dans notre précédent webinaire sur les Ransomware ici.

Youtube banner template webinars Ransomware webinar example