Trouver et sécuriser des sites FTP avec Censys
Le protocole de transfert de fichiers (FTP) est l'une des méthodes traditionnelles les plus populaires pour déplacer des fichiers d'un ordinateur à l'autre. Si les sites FTP sont utiles à certaines entreprises pour envoyer et recevoir des fichiers, par exemple des dessins ou même des données clients, ils deviennent aussi rapidement une cible facile pour les adversaires. Les principaux problèmes de sécurité posés par les sites FTP sont l'utilisation d'identifiants de connexion en clair et les transferts de fichiers, ainsi que l'absence de contrôle de l'intégrité des fichiers. Les sites FTP peuvent servir de passerelles faciles pour les attaquants qui veulent pénétrer dans les systèmes d'entreprise.
Outre les problèmes courants de mauvaise configuration des sites FTP, les fichiers et les données partagés par leur intermédiaire ajoutent souvent aux risques de sécurité. Dans de nombreuses organisations, un grand nombre de services internes utilisent des sites FTP lorsqu'ils travaillent avec des prestataires extérieurs et d'autres tiers, sans que l'équipe de sécurité interne et/ou l'équipe informatique n'exercent une surveillance adéquate. Ces équipes partagent tous les types d'informations entre l'entreprise et les sous-traitants et tiers, avec des degrés de sensibilité variables - imaginez que votre organisation travaille avec un sous-traitant qui traite des données relatives aux ressources humaines ou même avec une équipe de conception qui partage des informations confidentielles sur les caractéristiques d'un produit avant son lancement. Bien que l'intention soit généralement assez innocente, ces sites FTP malveillants doivent être sécurisés aussi solidement que n'importe quel autre système au sein de votre organisation. La première étape consiste à les localiser.
Les attaquants utilisent de nombreux outils gratuits pour découvrir les sites FTP sur Internet et déterminer ceux qui utilisent des identifiants d'administrateur ou qui ne nécessitent pas d'identifiants de connexion en raison d'une mauvaise configuration. Pour ne pas braquer vos adversaires directement sur ces outils, nous nous en tiendrons là, mais la leçon à retenir est qu'il faut toujours avoir une longueur d'avance et que vous pouvez utiliser les grappes de bannières FTP pour trouver les sites associés à votre organisation afin de vous assurer qu'ils sont sécurisés par une authentification forte et configurés correctement.
Nous conseillons aux entreprises d'envisager sérieusement de passer à des services hébergés dans le nuage pour le partage de fichiers, qui intègrent des outils de sécurité - Box et Dropbox en sont des exemples typiques. Les produits hébergés dans le nuage offrent un cryptage puissant, des autorisations, une facilité de configuration et d'utilisation, et bien d'autres choses encore, le tout intégré. Outre les fonctions de sécurité qu'ils offrent, ces outils sont également très appréciés pour leur facilité d'utilisation pour les utilisateurs non techniques (sans doute plus facile que les sites FTP).
Attaques réelles liées aux serveurs FTP
En mars 2017, le FBI a publié un avertissement privé à l'intention du secteur de la santé concernant des attaques actives contre des sites FTP. Ces avertissements faisaient suite à des rapports faisant état d'attaques ciblant des serveurs FTP dans des organismes de soins de santé, en particulier, fonctionnant en mode anonyme. Malheureusement, malgré ces avertissements, toutes les organisations n'ont pas nommé les ressources nécessaires et n'ont pas mis en place les mesures de sécurité appropriées qui permettraient d'empêcher les attaques FTP.
Exemple concret : en mai 2018, plus d'un an après l'avertissement du FBI, un éditeur de logiciels de gestion de cabinet médical nommé MedEvolve a accidentellement exposé 205 000 dossiers de patients à cause d'un serveur FTP mal configuré. Dans ce cas, le site FTP ciblé ne nécessitait aucun identifiant de connexion. On peut donc se demander comment un site FTP peut être configuré sans qu'un administrateur ne doive se connecter. On pourrait arguer qu'il devrait au moins y avoir un nom d'utilisateur et un mot de passe par défaut, plutôt que de faire reposer la responsabilité de la sécurité entièrement sur l'utilisateur, mais en fin de compte, l'erreur de configuration a laissé MedEvolve avec une faille de sécurité béante que les attaquants ont exploitée.
L'entreprise a réagi de la manière la plus responsable possible aux attaques, en alertant les fournisseurs, les clients et les partenaires, mais, bien entendu, le mal était déjà fait. Alors, tirons au moins les leçons de leur expérience et assurons-nous de ne pas faire les gros titres la prochaine fois, n'est-ce pas ?
Comment utiliser les grappes de bannières FTP pour trouver des sites FTP commerciaux inconnus et/ou non sécurisés ?
Dans le cadre de ses analyses IPv4 globales, Censys recherche le port FTP (port TCP 21) depuis des années et fournit en même temps des informations sur la capture des bannières. Par principe, Censys n'essaie pas de se connecter, et nous ne capturons donc aucune liste de fichiers. Pour les utilisateurs, cela signifie qu'ils doivent se fier aux informations de la bannière sur le réseau hôte, ou à toute page web associée, pour rechercher des serveurs FTP intéressants.
La meilleure façon d'utiliser les grappes de bannières FTP pour trouver des sites FTP associés à votre entreprise est de rechercher l'index 21.ftp.banner. Voici quelques exemples de recherche de noms d'entreprises bien connues dans la bannière :
https://censys.io/ipv4?q=21.ftp.banner.banner%3A+ebay
https://censys.io/ipv4?q=21.ftp.banner.banner%3A+ikea
https://censys.io/ipv4?q=21.ftp.banner.banner%3A+netflix
À partir de cette recherche, vous pouvez choisir de filtrer les résultats en fonction d'autres critères figurant dans le menu de gauche, tels que les réseaux et les emplacements. L'affichage de l'option "carte" dans les résultats de la recherche vous permet de déterminer rapidement si des sites FTP liés à votre organisation se trouvent dans des endroits inattendus (où vous n'auriez pas de bureaux ou de travailleurs à distance), etc. Un serveur FTP qui utilise le nom de votre entreprise alors qu'il ne se trouve pas dans un endroit où vous exercez vos activités devrait vous mettre la puce à l'oreille.
Que faire si vous découvrez des sites FTP inconnus jusqu'alors ?
Si vous trouvez des sites FTP inattendus avec votre organisation dans leurs bannières, cherchez à déterminer si un employé ou une équipe interne a créé le site pour un projet.
Si le site FTP semble provenir de l'extérieur de votre organisation ou si quelque chose vous paraît suspect, consultez les informations WhoIS de chaque résultat de recherche pour déterminer si le site a été créé à des fins légitimes (un groupe tiers travaillant avec quelqu'un de votre organisation, par exemple).
Sécuriser les sites FTP de votre entreprise
Si vous découvrez dans les résultats de recherche des sites FTP appartenant à votre organisation, veillez à respecter les règles d'hygiène en matière de sécurité :
- Exiger des identifiants de connexion solides
- Renforcer l'authentification à deux facteurs
- Gestion des identifiants d'authentification et d'autorisation dans le cadre de votre programme IAM afin de garantir que les employés sont licenciés de manière appropriée.
- Enregistrement des tentatives d'authentification dans votre infrastructure de journalisation standard
- Restreindre l'accès au téléchargement et à la lecture des fichiers ; seuls les utilisateurs internes autorisés devraient pouvoir télécharger des fichiers à distribuer, et les fichiers téléchargés par des tiers ne devraient pas être accessibles à ces derniers.
- Isoler les sites FTP de sorte qu'en cas d'accès non autorisé, les attaquants ne puissent pas passer du site FTP à d'autres secteurs de l'entreprise (notamment les données des clients, les informations financières et les systèmes de paiement, etc.
N'oubliez pas que, dans l'idéal, vous devriez envisager d'autres options de partage de fichiers, plus sûres que les sites FTP traditionnels:
- Systèmes de transfert de fichiers gérés (MFT)
- Les solutions SaaS (Software as a Service) basées sur le web, comme Dropbox, Box, etc.
- Logiciel de transfert sécurisé de fichiers (SFTP)