La sécurité des réseaux et des systèmes d’information (NIS) : Un pilier de la cybersécurité en Europe

La sécurité des réseaux et des systèmes d’information (NIS) : Un pilier de la cybersécurité en Europe

La sécurité des réseaux et des systèmes d’information (NIS) : Un pilier de la cybersécurité en Europe

À l’ère du numérique, la sécurité des réseaux et des systèmes d’information est devenue une priorité incontournable pour les entreprises, les administrations et les citoyens. Les cyberattaques se multiplient, ciblant des infrastructures critiques et compromettant des données sensibles. Face à cette menace croissante, l’Union européenne a mis en place des directives visant à renforcer la cybersécurité sur l’ensemble du continent. Parmi celles-ci, la directive NIS (Network and Information Security) occupe une place centrale. Cet article propose une analyse détaillée de la directive NIS, de son évolution vers NIS 2, de ses implications pour les acteurs concernés et des stratégies à adopter pour assurer une conformité efficace.

1 – Historique et contexte de la Directive NIS

1.1 – Origines de la Directive NIS

La directive NIS trouve son origine dans la prise de conscience, au début des années 2010, de la vulnérabilité des infrastructures numériques européennes face aux cybermenaces. En 2016, l’Union européenne adopte la première version de la directive NIS, avec pour objectif d’établir un cadre commun pour la sécurité des réseaux et des systèmes d’information au sein des États membres. Cette initiative visait à harmoniser les efforts nationaux en matière de cybersécurité et à renforcer la coopération transfrontalière.

1.2 – Objectifs principaux

Les objectifs fondamentaux de la directive NIS sont les suivants :

  • Renforcement de la Sécurité : Imposer aux opérateurs de services essentiels (OSE) et aux fournisseurs de services numériques (FSN) la mise en place de mesures de sécurité appropriées pour protéger leurs infrastructures contre les cyberattaques.

  • Notification des Incidents : Obliger ces acteurs à notifier aux autorités compétentes tout incident de sécurité ayant un impact significatif sur la continuité des services.

  • Coopération entre États Membres : Encourager le partage d’informations et la collaboration entre les États membres pour une réponse coordonnée aux cybermenaces.

2 – Évolution vers la Directive NIS 2

2.1 – Nécessité d’une Mise à Jour

Depuis l’adoption de la première directive NIS, le paysage numérique a évolué de manière exponentielle. Les cyberattaques sont devenues plus sophistiquées, ciblant un éventail plus large de secteurs. De plus, la dépendance accrue aux technologies numériques, exacerbée par des événements mondiaux tels que la pandémie de COVID-19, a mis en évidence des lacunes dans le cadre réglementaire existant. Ces facteurs ont conduit à la nécessité de réviser la directive initiale.

2.2 – Adoption de la Directive NIS 2

En réponse à ces défis, l’Union européenne a adopté la directive (UE) 2022/2555, connue sous le nom de NIS 2, entrée en vigueur le 16 janvier 2023. Cette nouvelle directive vise à renforcer et à élargir le cadre établi par la première directive NIS, en tenant compte des évolutions technologiques et des nouvelles menaces.

2.3 – Principales Innovations de NIS 2

  • Élargissement du Champ d’Application : NIS 2 s’applique désormais à un plus grand nombre de secteurs, incluant non seulement les opérateurs de services essentiels traditionnels, mais aussi des secteurs tels que la santé, les services postaux, l’alimentation, et les administrations publiques. En France, cela concerne environ 30 000 entreprises et collectivités locales, contre 300 sous la précédente directive.

  • Renforcement des Obligations de Sécurité : Les entités concernées doivent mettre en place des mesures techniques et organisationnelles robustes pour gérer les risques de cybersécurité, incluant la désignation d’un responsable de la sécurité des systèmes d’information (RSSI) et la réalisation de tests réguliers de cybersécurité.

  • Sanctions Accrues en Cas de Non-Conformité : Les amendes peuvent atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, et 7 millions d’euros ou 1,4 % du chiffre d’affaires pour les entités importantes. De plus, la responsabilité personnelle des dirigeants peut être engagée en cas de manquement.

  • Amélioration de la Coopération : NIS 2 prévoit une meilleure coordination entre les États membres, notamment à travers la création de réseaux de coopération et le partage d’informations sur les menaces et les incidents.

3 – Implications pour les acteurs concernés

3.1 – Identification des Entités Concernées

La directive NIS 2 distingue deux catégories principales d’entités :

  • Entités Essentielles (EE) : Incluent des secteurs tels que l’énergie, les transports, la santé, l’eau potable, les infrastructures numériques, les services financiers, et les administrations publiques. Ces entités jouent un rôle crucial dans le fonctionnement de la société et de l’économie.

  • Entités Importantes (EI) : Comprennent des secteurs comme les services postaux, la gestion des déchets, la fabrication de produits critiques, la production alimentaire, et certains services numériques. Bien que leur impact soit moins critique que celui des EE, leur compromission peut néanmoins entrainer des conséquences significatives.

3.2 – Obligations spécifiques

Les obligations imposées par la directive NIS 2 aux entités concernées sont multiples :

  • Gestion des Risques de Sécurité : Mise en place de politiques de gestion des risques, incluant l’analyse des menaces, la protection des systèmes, la détection des incidents, la réponse et la récupération.

  • Notification des Incidents : Obligation de signaler aux autorités compétentes tout incident ayant un impact significatif sur la fourniture des services, dans des délais stricts.

  • Mesures de Gouvernance : Désignation d’un RSSI, élaboration de plans de continuité d’activité, et formation régulière du personnel aux enjeux de la cybersécurité.

  • Audit et Conformité : Réalisation d’audits réguliers pour évaluer l’efficacité des mesures de sécurité mises en place et assurer la conformité aux exigences de la directive.

4 – Stratégies pour assurer la conformité

4.1 – Évaluation initiale

La première étape pour les entités concernées consiste à réaliser une évaluation approfondie de leur posture de cybersécurité actuelle. Cette analyse doit identifier les actifs critiques, évaluer les vulnérabilités, et déterminer les écarts par rapport aux exigences de la directive NIS 2.

4.2 – Élaboration d’un plan d’action

Sur la base de l’évaluation initiale, un plan d’action détaillé doit être élaboré. Ce plan doit inclure :

  • Mise en oeuvre de mesures techniques : Adoption de solutions de sécurité adaptées, telles que des pare-feu, des systèmes de détection d’intrusion, et des mécanismes de chiffrement.

  • Renforcement des politiques organisationnelles : Développement de politiques de sécurité claires, procédures de gestion des incidents, et protocoles de communication interne et externe.

  • Formation et sensibilisation : Programmes de formation réguliers pour le personnel, afin de promouvoir une culture de la cybersécurité au sein de l’organisation.

4.3 – Collaboration avec les autorités et les partenaires

La directive NIS 2 encourage une approche collaborative de la cybersécurité, impliquant non seulement les entités concernées mais aussi les autorités nationales et les partenaires privés. Pour assurer une conformité optimale et une réponse efficace aux incidents, plusieurs actions peuvent être mises en place :

  • Travailler en étroite collaboration avec les autorités compétentes : En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) joue un rôle clé dans l’application de la directive. Elle fournit des orientations, effectue des audits et peut assister les entités en cas de cyberincident.

  • Participer aux groupes de travail sectoriels : De nombreuses industries disposent de forums de collaboration sur la cybersécurité, permettant de partager des informations sur les menaces et les bonnes pratiques.

  • Mettre en place des mécanismes de signalement efficaces : La notification rapide et précise des incidents permet aux autorités de mieux coordonner les réponses et d’atténuer les impacts des cyberattaques.

5 – Technologies et bonnes pratiques pour renforcer la sécurité

5.1 – Sécurité des réseaux et des systèmes d’information

  • Segmentation des réseaux : Minimiser la propagation d’une attaque en isolant les systèmes critiques.

  • Authentification multi-facteur (MFA) : Ajouter des couches de protection pour l’accès aux systèmes sensibles.

  • Chiffrement des données : Assurer la confidentialité et l’intégrité des informations stockées et transmises.

5.2 – Surveillance et détection des menaces

  • Implémentation de SIEM (Security Information and Event Management) : Un système qui centralise et analyse les logs de sécurité en temps réel.

  • Déploiement de systèmes de détection d’intrusions (IDS) et de prévention (IPS) : Identifier et bloquer les menaces potentielles.

5.3 – Gestion des incidents et plans de continuité

  • Mise en place d’un SOC (Security Operations Center) : Une équipe dédiée à la surveillance, la détection et la réponse aux incidents.

  • Élaboration de plans de réponse aux incidents : Définir des procédures claires pour réagir aux cyberattaques.

  • Tests réguliers et simulations : S’assurer que les équipes sont préparées à répondre efficacement à une cyberattaque.

6 – Sanctions et conséquences en cas de non-conformité

Le non-respect des obligations imposées par la directive NIS 2 peut entraîner des sanctions financières et administratives sévères. Comme mentionné précédemment, les amendes peuvent atteindre plusieurs millions d’euros. De plus, les dirigeants des entreprises concernées peuvent être tenus personnellement responsables en cas de négligence grave.

Les autorités de régulation disposent également de pouvoirs étendus pour imposer des mesures correctives, telles que :

  • Des audits obligatoires pour évaluer la conformité.

  • L’imposition de correctifs immédiats en cas de vulnérabilités critiques.

  • La suspension des activités en cas de risques majeurs.

7 – L’impact de la directive NIS 2 sur l’écosystème numérique européen

L’entrée en vigueur de la directive NIS 2 marque une étape importante dans le renforcement de la cybersécurité en Europe. Ses effets se font sentir à plusieurs niveaux :

  • Amélioration de la résilience globale : Les entreprises et les institutions publiques sont mieux préparées à faire face aux cybermenaces.

  • Harmonisation des normes de cybersécurité : La directive établit un cadre commun qui réduit les écarts entre les États membres.

  • Accélération des investissements en cybersécurité : Les organisations sont incitées à renforcer leurs infrastructures et leurs compétences.

Toutefois, certains défis subsistent, notamment en ce qui concerne l’application uniforme des réglementations dans tous les pays de l’UE et la capacité des petites et moyennes entreprises à se conformer aux exigences strictes de la directive.

Conclusion

La directive NIS et sa nouvelle version NIS 2 représentent une avancée majeure dans la protection des infrastructures critiques en Europe. En imposant des exigences renforcées aux entreprises et aux administrations publiques, elle contribue à une cybersécurité plus robuste et mieux coordonnée. Cependant, la mise en conformité nécessite un effort significatif en matière de gouvernance, de technologie et de formation. Pour les organisations concernées, l’adoption d’une approche proactive et la collaboration avec les autorités et les partenaires du secteur sont essentielles pour garantir une sécurité efficace et durable.

Ainsi, la cybersécurité ne doit plus être considérée comme une contrainte réglementaire, mais comme un élément fondamental de la stratégie d’entreprise, garantissant non seulement la protection des actifs numériques, mais aussi la confiance des utilisateurs et la continuité des opérations.

NIS 2 en résumé dans cette inforgraphie

infographie NIS2
La Cybersécurité : Enjeux, Menaces et Bonnes pratiques

La Cybersécurité : Enjeux, Menaces et Bonnes pratiques

La cybersécurité : Enjeux, menaces et bonnes pratiques

Dans un monde de plus en plus numérique, la cybersécurité est devenue un enjeu majeur pour les entreprises. Avec la multiplication des cyberattaques et la sophistication croissante des techniques employées par les cybercriminels, il est crucial de comprendre les menaces existantes et d’adopter des pratiques de protection efficaces. Cet article vise à démocratiser la cybersécurité en expliquant ses principaux enjeux, les types d’attaques les plus courants et les bonnes pratiques à adopter pour assurer une sécurité optimale.

Aujourd’hui, les entreprises stockent une quantité massive de données numériques, et la dépendance aux technologies informatiques ne cesse de croître. La cybersécurité ne concerne plus uniquement les grandes entreprises, mais aussi les PME, qui sont de plus en plus ciblés par des attaques malveillantes.

1 – Les enjeux de la cybersécurité

1.1 – Protection des données personnelles et sensibles

Les données sont aujourd’hui l’or noir du numérique. La protection des informations sensibles, qu’elles concernent les entreprises ou les particuliers, est une priorité absolue. Une fuite de données peut entraîner de graves conséquences, telles que le vol d’identité, la perte de compétitivité ou encore des sanctions réglementaires.

Il est essentiel d’adopter des stratégies de gestion des données afin de limiter les risques d’exposition. Cela inclut le chiffrement des informations sensibles, l’utilisation de réseaux sécurisés et la restriction des accès aux seules personnes autorisées.

1.2 – Résilience des infrastructures informatiques

Les systèmes informatiques sont au cœur de toutes les activités modernes. Une attaque réussie peut paralyser une entreprise, interrompre des services critiques et causer des pertes financières importantes. La résilience des infrastructures est donc essentielle pour garantir la continuité des opérations.

Les organisations doivent mettre en place des stratégies de redondance, des solutions de sauvegarde et des plans de reprise après sinistre pour minimiser les impacts d’une attaque. L’utilisation d’architectures informatiques adaptatives et le recours au cloud computing sécurisé permettent d’améliorer la capacité de résilience face aux cybermenaces.

1.3 – Conformité aux réglementations

Avec l’apparition de réglementations telles que le RGPD (Règlement Général sur la Protection des Données), les entreprises sont tenues de garantir un niveau de sécurité suffisant pour protéger les données personnelles. Le non-respect de ces réglementations peut entraîner des sanctions financières et une atteinte à la réputation.

2 – Les principales menaces en cybersécurité

2.1 – Le phishing

Le phishing est l’une des menaces les plus courantes en cybersécurité. Il s’agit d’une technique frauduleuse visant à tromper les utilisateurs pour leur soutirer des informations sensibles, telles que des mots de passe, des données bancaires ou des informations personnelles. Les cybercriminels utilisent souvent des e-mails, des messages instantanés ou des pages web falsifiées imitant des institutions de confiance (banques, entreprises, services gouvernementaux) afin d’inciter les victimes à divulguer leurs données.

Les attaques de phishing ont évolué avec le temps, devenant de plus en plus sophistiquées. L’utilisation de l’intelligence artificielle permet aujourd’hui de créer des e-mails hautement convaincants, rendant la distinction entre un message légitime et une tentative d’escroquerie plus difficile. De plus, certaines campagnes de phishing exploitent les événements d’actualité pour piéger les utilisateurs, comme les crises sanitaires ou les campagnes de remboursement frauduleuses.

Pour se protéger du phishing, il est essentiel de ne jamais cliquer sur des liens suspects, de vérifier l’authenticité des expéditeurs et d’utiliser des solutions de filtrage avancées. Les entreprises doivent également mettre en place des campagnes de sensibilisation afin de former leurs employés à reconnaître ces tentatives de fraude.

2.2 – Les ransomwares

Les ransomwares représentent une autre menace majeure en cybersécurité. Ces logiciels malveillants chiffrent les données d’un utilisateur ou d’une entreprise et exigent une rançon en échange de la clé de déchiffrement. Les attaques de ransomwares peuvent avoir des conséquences désastreuses, notamment la perte irréversible de données, des interruptions d’activité prolongées et des coûts financiers élevés.

Les cybercriminels utilisent divers moyens pour propager ces attaques, notamment les e-mails piégés, les failles de sécurité dans les logiciels ou les attaques par force brute contre les systèmes mal protégés. Certains ransomwares, comme WannaCry ou Ryuk, ont causé des milliards de dollars de dommages à l’échelle mondiale.

Pour limiter les risques, il est crucial d’adopter des mesures préventives : maintenir les systèmes à jour, utiliser des solutions de sauvegarde régulières et éviter de télécharger des fichiers provenant de sources inconnues. De plus, les entreprises doivent implémenter des politiques de sécurité strictes et sensibiliser leurs employés aux risques des ransomwares.

2.3 – Les attaques par déni de service (DDoS)

Les attaques par déni de service (DDoS) consistent à saturer un serveur ou un réseau en lui envoyant un nombre massif de requêtes simultanément. Ces attaques peuvent rendre un site internet ou un service en ligne inaccessible pendant une période prolongée, ce qui peut engendrer des pertes financières et nuire à la réputation d’une entreprise.

Les attaques DDoS exploitent souvent des réseaux de botnets, composés d’ordinateurs infectés à l’insu de leurs propriétaires. Ces machines zombis sont alors utilisées pour générer un trafic artificiel massif. Certains groupes cybercriminels utilisent ces attaques comme moyen de chantage, exigeant une rançon pour cesser l’attaque.

Pour se protéger contre les DDoS, il est important d’utiliser des services de protection spécialisés, d’avoir une architecture réseau résiliente et de surveiller le trafic en temps réel afin de détecter toute activité suspecte.

3 – Les bonnes pratiques en cybersécurité

3.1 – Mettre en place des sauvegardes régulières

La sauvegarde des données est l’ultime protection contre les ransomwares et les pertes de données. Une attaque réussie peut bloquer l’accès aux fichiers critiques, mais une sauvegarde bien gérée permet de restaurer rapidement le système sans céder au chantage des cybercriminels.

Pour garantir une protection efficace :

  • Sauvegarder régulièrement les données sur des supports distincts (serveurs externes, solutions cloud sécurisées, disques durs physiques non connectés).

  • Adopter la règle du 3-2-1 : 3 copies des données sur 2 supports différents, dont 1 hors site.

  • Tester fréquemment la restauration des sauvegardes pour s’assurer de leur bon fonctionnement en cas de crise.

3.2 – Sécuriser le réseau avec un pare-feu (firewall)

Un pare-feu (firewall) joue un rôle essentiel dans la protection du réseau contre les intrusions malveillantes. Il agit comme une barrière filtrante entre un réseau interne et Internet, bloquant les connexions suspectes et limitant les risques d’attaques.

Les entreprises doivent :

  • Mettre en place un pare-feu performant pour surveiller et contrôler le trafic entrant et sortant.

  • Restreindre les accès aux services critiques uniquement aux utilisateurs autorisés.

  • Surveiller les journaux du pare-feu pour détecter d’éventuelles tentatives d’intrusion.

3.3 – Protéger les terminaux avec une solution EDR

Les postes de travail et les serveurs sont souvent les points d’entrée privilégiés des cybercriminels. Une protection avancée comme un EDR (Endpoint Detection & Response) permet de détecter et répondre aux menaces en temps réel. Contrairement aux antivirus traditionnels, un EDR analyse en profondeur les comportements suspects et bloque les attaques avant qu’elles ne causent des dommages.

Les avantages d’un EDR :

  • Surveillance en temps réel pour détecter les activités anormales.

  • Réponse automatique aux menaces pour limiter la propagation des infections.

  • Analyse approfondie des attaques pour améliorer la posture de sécurité de l’entreprise.

3.4 – Utiliser un gestionnaire de mots de passe pour une sécurité optimale

Les mots de passe constituent la première ligne de défense contre les cyberattaques, mais beaucoup d’utilisateurs continuent d’adopter des mots de passe faibles et réutilisés, compromettant ainsi leur sécurité. Plutôt que d’essayer de créer et de mémoriser des mots de passe complexes pour chaque service, il est fortement recommandé d’utiliser un gestionnaire de mots de passe.

Un gestionnaire de mots de passe permet de générer, stocker et récupérer des identifiants sécurisés sans effort. Ces outils créent des mots de passe robustes, incluant des lettres majuscules et minuscules, des chiffres et des caractères spéciaux, sans que l’utilisateur ait besoin de les retenir. Il suffit de mémoriser un seul mot de passe maître pour accéder à l’ensemble des identifiants enregistrés.

En entreprise, l’utilisation d’un gestionnaire de mots de passe peut considérablement réduire les risques liés aux mots de passe faibles ou réutilisés. Il permet également de faciliter l’application des politiques de sécurité, comme le renouvellement automatique des mots de passe et l’interdiction de leur réutilisation.

Enfin, il est essentiel de sensibiliser les employés et les particuliers à l’importance des mots de passe uniques et sécurisés pour chaque service utilisé. Avec un gestionnaire de mots de passe, la sécurité est renforcée sans sacrifier la simplicité d’utilisation.

3.5 – Activer l’authentification à deux facteurs (2FA)

L’authentification à deux facteurs (2FA) est une mesure de sécurité essentielle pour les petites et moyennes entreprises (PME), qui sont souvent des cibles privilégiées des cyberattaques en raison de ressources limitées en cybersécurité. La 2FA permet d’ajouter une seconde étape d’authentification après la saisie d’un mot de passe, réduisant ainsi considérablement les risques d’accès non autorisés aux systèmes et aux données sensibles.

Pour une PME, la mise en place de la 2FA est relativement simple et peu coûteuse. Elle peut se faire via plusieurs méthodes :

  • Applications d’authentification : Google Authenticator, Microsoft Authenticator ou Authy génèrent des codes temporaires qui sont nécessaires pour se connecter.

  • SMS et e-mails : Un code unique est envoyé sur le téléphone ou l’adresse e-mail de l’utilisateur.

  • Clés de sécurité physiques : Des dispositifs comme YubiKey offrent un niveau de protection encore plus élevé contre les attaques de phishing avancées.

Les PME doivent impérativement activer la 2FA sur les services critiques, tels que les boîtes e-mails professionnelles, les plateformes de gestion de projet, les logiciels de comptabilité et les accès aux serveurs. De plus, sensibiliser les employés à l’importance de cette mesure et leur fournir des instructions claires pour l’activer est une étape clé dans la protection des ressources numériques de l’entreprise.

Enfin, la mise en place d’une politique de cybersécurité incluant l’obligation d’utiliser la 2FA pour tous les comptes sensibles permet de renforcer la posture de sécurité globale des PME, limitant ainsi les risques de compromission et de vol de données.

3.6 – Sensibiliser et former les employés

Les erreurs humaines sont l’une des principales causes des failles de cybersécurité. Il est donc essentiel de sensibiliser et de former les employés aux bonnes pratiques et aux risques encourus. Une formation continue et adaptée permet de réduire les comportements risqués, comme l’ouverture de pièces jointes malveillantes ou le partage d’informations sensibles.

Les entreprises doivent organiser des sessions de formation régulières, incluant des simulations d’attaques de phishing et des exercices pratiques. L’objectif est de rendre chaque employé acteur de la cybersécurité et de développer une culture de vigilance. De plus, la mise en place d’une charte de sécurité détaillant les règles et comportements à adopter renforce la sensibilisation.

Enfin, il est crucial d’établir un canal de communication interne pour signaler rapidement toute tentative d’attaque. En développant une véritable culture de la cybersécurité, les entreprises peuvent considérablement réduire les risques liés aux erreurs humaines et améliorer la protection de leurs données.

Récapitulatif des bonnes en cybersécurité

infographie cybersécurité

Conclusion

La cybersécurité est un enjeu crucial qui nécessite une vigilance constante. Face à des menaces en perpétuelle évolution, il est impératif d’adopter des mesures de protection rigoureuses. L’utilisation de mots de passe forts, l’activation de l’authentification à deux facteurs et la sensibilisation des utilisateurs sont des mesures essentielles pour réduire les risques.

Les entreprises ont un rôle primordial à jouer dans la protection des données et des systèmes informatiques. En investissant dans la sécurité et en mettant en place des politiques adaptées, elles contribuent à un environnement numérique plus sûr et fiable. La cybersécurité est l’affaire de tous et chacun doit y apporter sa contribution pour préserver la confiance dans les technologies de l’information.

Alerte chaîne de vulnérabilités sur Zoom : le Zero-Click Zoom Bug qui permet d’exécuter un code malveillant à distance

Alerte chaîne de vulnérabilités sur Zoom : le Zero-Click Zoom Bug qui permet d’exécuter un code malveillant à distance

Ivan Fratic, chercheur en sécurité de l’équipe Google’s Project Zero a mis au jour une chaîne de vulnérabilités de sécurité majeure sur la solution de visioconférence Zoom.

Cette faille de sécurité affecte le chat et permet d’exécuter un code sur un poste distant par le simple envoi d’un message et ce sans aucune interaction de l’utilisateur.

Une chaîne de six vulnérabilités sur Zoom

Ivan Fratric a décrit un total de six vulnérabilités. Deux de ces failles, dénommées CVE-2022-25235 et CVE-2022-25236, affectent le module open source XML parser Expat.

Les vulnérabilités spécifiques à Zoom sont liés à une analyse XML incorrecte (CVE-2022-22784), au déclassement des paquets de mise à jour (CVE-2022-22786), à une validation insuffisante du nom d’hôte (CVE-2022-22787) et à des cookies de session mal définis (CVE-2022-22785).

CVE-2022-22786 affecte Zoom Client for Meetings pour Windows et Zoom Rooms for Conference Room pour Windows. Les autres affectent Zoom Client for Meetings sur toutes les plateformes de bureau et mobiles.

Une attaque de type Man In a middle

L’attaque MitM est réalisé par l’envoi d’un message spécial ce qui avec une version Zoom datant de mi-2019 permet la connexion de clients au serveur Man In a middle.

Une fois en position de Man In a middle l’assaillant pourra remplacer n’importe lequel des domaines par le sien, agissant comme un proxy inverse et interceptant les communications

Exploitation du process de mise à jour du client

L’étape d’après c’est l’exécution du code malveillant. Etant donné que les clients Zoom interrogent périodiquement le point de terminaison de mise à jour du serveur Web de Zoom pour voir s’il y a quelque chose de nouveau à installer.

« Puisque l’attaquant est déjà en position de MitM, il peut, bien sûr, remplacer ces points de terminaison et servir des données arbitraires », selon le chercheur.

Le chercheur en sécurité a cependant rencontré un problème : Le client télécharge deux fichiers dans le cadre du processus de mise à jour et vérifie leur légitimité – le fichier « Installer.exe » doit être signé par « Zoom Video Communications, Inc. » pour commencer ; une fois installé, il vérifie le hachage du second fichier .cab.

Cependant, il s’avère que les attaquants peuvent contourner ces obstacles grâce à une attaque par rétrogradation.

« J’ai servi Installer.exe et .cab de la version 4.4 de Zoom (de mi-2019) », explique Ivan Fratic. « L’installateur de cette version est toujours correctement signé ; cependant, il n’effectue aucun contrôle de sécurité sur le fichier .cab. »

Mises à jour du client Zoom

Au total il a été signalé un total de six vulnérabilités de sécurité, dont quatre problèmes spécifiques à Zoom corrigés dans la version 5.10.4 du client Zoom :

CVE-2022-22784 (analyse XML incorrecte)
CVE-2022-22786 (déclassement du paquet de mise à jour),
CVE-2022-22787 (validation insuffisante du nom d'hôte),
CVE-2022-22785 (cookies de session incorrectement contraints).

Il y a malheureusement aussi un problème de chaîne d’approvisionnement de logiciels à l’œuvre : Les deux autres (CVE-2022-25235, CVE-2022-25236) affectent le parseur Expat, qui est open source et utilisé dans de nombreuses autres applications. Ils sont corrigés dans la version 2.4.5 d’Expat.

« Certaines ou toutes les parties de la chaîne sont probablement applicables à d’autres plateformes », a déclaré Ivan Fratric.

Ces vulnérabilités ont été découverte en février. Zoom a corrigé ses problèmes côté serveur le même mois, puis publié des mises à jour le 24 avril.