Ce que la brèche mondiale de CDK peut apprendre aux éditeurs de logiciels Windows

Le 18 juin 2024, CDK Global, un fournisseur SaaS qui propose à près de 15 000 concessionnaires automobiles nord-américains des logiciels de vente, de service, de financement et d'assurance, a subi une cyberattaque massive exécutée par le gang de ransomware BlackSuit qui a crypté des fichiers et des systèmes critiques. BlackSuit a demandé une rançon à CDK Global en échange des données clients cryptées.

Le¹⁹ juin, CDK Global a fermé ses systèmes informatiques et a entrepris de se remettre de l'attaque. Au cours de ces efforts, BlackSuit a lancé une deuxième attaque contre CDK Global.

La fermeture de CDK a paralysé ses clients concessionnaires automobiles, qui n'ont pas pu prendre de rendez-vous pour les ventes et le service après-vente, enregistrer les entrées et sorties des clients du service après-vente, et vendre et financer des voitures à l'aide des systèmes de CDK. Les concessionnaires ont été contraints de passer à des systèmes sur papier pendant près de deux semaines pour pouvoir mener à bien leurs activités.

Le²¹ juin, CDK Global a versé environ 25 millions de dollars en bitcoins à BlackSuit pour reprendre le contrôle des fichiers et des systèmes cryptés, mais il a fallu attendre le⁴ juillet pour que tous les concessionnaires automobiles soient à nouveau opérationnels.

Outre le paiement d'une rançon de 25 millions de dollars, CDK Global fait l'objet d'au moins huit actions en justice de la part de concessionnaires automobiles qui réclament des dommages et intérêts à la suite de l'attaque.

Nous ne saurons peut-être jamais exactement comment BlackSuit a pu pénétrer dans les systèmes de CDK Global, mais de nombreuses entreprises de cybersécurité ont décrit dans des articles de blog le scénario d'attaque le plus probable.

Scénario d'attaque probable de BlackSuit

Selon les experts en cybersécurité, les attaquants exploitent le plus souvent les vulnérabilités des systèmes informatiques des entreprises en procédant par étapes.

1. Tromper les employés en utilisant l'hameçonnage ou l'ingénierie sociale pour qu'ils installent des logiciels malveillants sur leur ordinateur ou qu'ils révèlent leurs informations d'identification afin que les attaquants puissent prendre pied dans le système de l'entreprise ciblée.
2. Une fois dans le système, les attaquants étendent leur emprise pour se déplacer latéralement dans le système en utilisant des techniques telles que le "credential dumping" (vol des informations d'identification de l'utilisateur à partir d'un système d'exploitation ou d'un logiciel) et l'exploitation de permissions faibles (par exemple, lorsqu'un utilisateur à faible privilège est autorisé à modifier les configurations de service) pour accéder à d'autres systèmes/serveurs et obtenir des données sensibles ou des systèmes critiques pour lesquels il vaut la peine de payer une rançon.
3. D'autres techniques de déplacement latéral comprennent l'exploitation des vulnérabilités du système, comme les logiciels non corrigés et les infrastructures vulnérables, afin d'accéder à des données précieuses.

BlackSuit a coordonné ses efforts pour exploiter les vulnérabilités de CDK, aidé par une compréhension technique sophistiquée du type de systèmes qu'ils allaient rencontrer au cours de l'attaque, et des opportunités d'attaque trop communes créées lorsqu'une entreprise ne se concentre pas sur la cybersécurité. L'expérience et l'expertise des attaquants de BlackSuit leur ont permis de reconnaître et d'exploiter instantanément les opportunités cachées dans les systèmes et l'infrastructure de CDK.

{{CTAEMBED_IDENTIFIER}}

Quelles leçons les éditeurs de logiciels Windows peuvent-ils tirer de la brèche mondiale de CDK ?

En plus d'être un désastre financier pour CDK Global, la violation a provoqué des perturbations nationales dans le secteur de la vente et du service de voitures et constitue une mise en garde pour toute société de logiciels fournissant des applications à des clients en utilisant un modèle SaaS. Bien que les mesures de protection suivantes en matière de cybersécurité fassent partie des meilleures pratiques habituelles, elles méritent d'être répétées.

Formation des employés: la première étape de la plupart des attaques par ransomware consiste à envoyer des courriels d'hameçonnage aux employés pour les inciter à révéler leurs informations d'identification. Organisez des formations périodiques pour sensibiliser les employés aux risques d'hameçonnage afin de réduire le risque qu'un pirate prenne pied dans vos systèmes à la suite d'une erreur commise par un employé.

Disposer d'un plan: élaborer un plan d'intervention en cas d'incident et le réviser chaque année. Organisez des "exercices d'évacuation" plusieurs fois par an pour préparer le personnel et la direction en cas d'incident. N'oubliez pas non plus d'inclure un plan de communication avec les clients afin de pouvoir gérer leurs attentes pendant et après une attaque.

Contrôler l'accès des employés: maintenir des contrôles stricts sur l'accès des utilisateurs autorisés aux systèmes internes. Limitez l'accès de chaque employé au strict minimum dont il a besoin pour faire son travail. Pour les employés qui ont besoin d'accéder aux systèmes internes, veillez à ce qu'ils utilisent des mots de passe robustes et une authentification multifactorielle. En outre, vérifiez régulièrement les comptes d'utilisateurs et fermez les anciens comptes qui ne sont plus utilisés - plus le compte est ancien, plus il y a de chances qu'il ait un mot de passe facile à deviner et qu'il ne soit pas sécurisé par une authentification multifactorielle.

Protocoles de sécurité renforcés: mise à jour et correctifs réguliers des systèmes logiciels afin de combler les failles connues et d'empêcher les exploits. 

Sauvegarde régulière des données: sauvegardez régulièrement les données et les systèmes critiques et stockez les sauvegardes en toute sécurité hors site afin de pouvoir les récupérer en cas d'attaque. Votre plan d'intervention en cas d'incident doit prévoir la procédure à suivre pour récupérer rapidement les sauvegardes afin d'éviter de laisser vos clients "dans l'eau" pendant longtemps.

Restreindre l'utilisation du protocole Microsoft Remote Desktop (RDP): Selon Sophos, une société de cybersécurité britannique, dans 77 % des 2023 attaques qu'elle a recensées, le protocole Microsoft® Remote Desktop (RDP) a été utilisé pour exploiter des informations d'identification compromises afin d'obtenir un accès interne ou un déplacement latéral au sein du système. Sophos estime que le protocole RDP reste "l'un des outils les plus utilisés" car il est préinstallé sur la plupart des systèmes d'exploitation Windows® et, avant Windows 11, il n'était pas configuré avec une protection contre la force brute.

Pour réduire les risques, Sophos conseille aux entreprises qui utilisent RDP (y compris les éditeurs de logiciels Windows qui utilisent Microsoft RDS pour fournir des applications à leurs clients) de limiter fortement son utilisation. Comment ? Premièrement, assurez-vous que les clients utilisant Windows 11 n'ont pas désactivé la Politique de verrouillage des comptes ; deuxièmement, assurez-vous que les clients utilisant Windows 10 et 8.1 activent la Politique de verrouillage des comptes sur leurs machines. Vous pouvez également demander à vos clients de désactiver RDP entre les sessions de bureau à distance.

Ou... Arrêter d'utiliser RDP et RDS.

Si vous utilisez RDS et RDP pour fournir votre application Windows à vos clients et que vous souhaitez éliminer les risques élevés associés à l'utilisation de RDP sans avoir à dicter les paramètres Windows sur les machines Windows de vos clients, arrêtez d'utiliser RDS et RDP.

Arrêter d'utiliser RDS et RDP ? Comment ?

Il existe une solution pour fournir des applications Windows à des clients situés n'importe où, qui élimine la nécessité d'utiliser RDS et RDP.

GO-Global® fournit des remplacements complets pour la fonctionnalité multi-session de Microsoft, les services de bureau à distance et le protocole de bureau à distance. GO-Global remplace RDP par RapidX Protocol (RXP), un protocole propriétaire à faible bande passante. Comme RXP est une source fermée, il offre une défense supplémentaire contre les attaquants, par rapport au protocole à source ouverte de RDP.

Pour plus de sécurité, GO-Global inclut 2FA, qui rend inutiles les recherches de mots de passe par force brute et par dictionnaire. Et GO-Global + SSO prend en charge OpenID Connect, ce qui permet aux organisations d'utiliser des fournisseurs d'identité modernes pour permettre l'authentification unique dans les hôtes Windows de GO-Global.

Pour demander une démonstration de GO-Global, cliquez ici; pour un essai gratuit de GO-Global pendant 30 jours, cliquez ici.