Le trafic non chiffré compromet toujours la sécurité Wi-Fi

Même les professionnels de la cybersécurité doivent améliorer leur posture de sécurité.

C'est la leçon de la conférence RSA de février, où le centre d'opérations de sécurité (SOC) géré par Cisco et NetWitness a capturé 55,525 2,210 mots de passe en clair provenant de XNUMX XNUMX comptes uniques, ont déclaré les sociétés dans un rapport publié la semaine dernière. Dans un cas enquêté par le SOC, un responsable de la sécurité des informations disposait d'un client de messagerie mal configuré qui envoyait des mots de passe et des SMS en clair, y compris des documents sensibles tels que le paiement d'une certification professionnelle.

Bien que le nombre de mots de passe en clair représente une amélioration par rapport aux 96,361 2020 mots de passe exposés en 100,000 et aux plus de 2019 XNUMX envoyés en clair en XNUMX, il reste encore place à l'amélioration, déclare Jessica Bair Oppenheimer, directrice des alliances techniques chez Cisco Secure.

« Comme la conférence RSA réunit principalement des professionnels de la cybersécurité et des rôles de soutien au sein du secteur de la sécurité, nous considérons généralement que ce groupe démographique représente davantage le niveau de sensibilisation à la sécurité dans le « meilleur des cas », » dit-elle. « Il est assez choquant de constater que le courrier électronique non crypté est toujours utilisé en 2022. »

La rapport annuel présente une vue de l'utilisation du réseau parmi un groupe d'utilisateurs axés sur la sécurité. Cisco et NetWitness ont souligné que le réseau sans fil de la conférence RSA n'est pas configuré de la manière la plus sécurisée, mais configuré pour être surveillé à des fins éducatives. Pour cette raison, le réseau a une architecture plate, permettant à n'importe quel appareil de contacter n'importe quel autre appareil du réseau. L'isolation de l'hôte, qui permet aux appareils d'accéder à Internet mais pas aux autres appareils du réseau, serait plus sécurisée mais moins intéressante.

Identifiants utilisateur menacés

Avec environ 19,900 2022 participants, la conférence RSA 2020 n'a compté qu'environ la moitié du nombre de personnes que la conférence précédente en XNUMX, mais à peu près le même nombre d'utilisateurs sur le réseau, indique le rapport.

Le problème majeur était l’incapacité d’utiliser le cryptage pour l’étape d’authentification lors de l’utilisation du courrier électronique et d’autres applications populaires. Près de 20 % de toutes les données transitaient par le réseau en clair, indique le rapport.

"Le chiffrement du trafic ne renforce pas nécessairement la sécurité, mais il empêche les individus de divulguer leurs informations d'identification et les organisations de divulguer en clair les informations sur les actifs de l'entreprise", indique le rapport.

Pourtant, la situation n’est pas aussi mauvaise qu’elle pourrait l’être. Étant donné que le réseau sans fil inclut le trafic provenant du salon, de nombreux noms d'utilisateur et mots de passe proviennent probablement de systèmes et d'environnements de démonstration, indique le rapport. De plus, la plupart des noms d'utilisateur et mots de passe en clair (près de 80 %) ont en réalité été divulgués par des appareils utilisant l'ancienne version du protocole SNMP (Simple Network Management Protocol). Les versions 1 et 2 du protocole sont considérées comme non sécurisées, tandis que SNMP v3 ajoute des fonctionnalités de sécurité significatives.

"Il ne s'agit pas nécessairement d'une menace de haute fidélité", indique le rapport. "[Cependant, il divulgue des informations sur l'appareil ainsi que sur l'organisation avec laquelle il essaie de communiquer."

Outre l'utilisation continue de noms d'utilisateur et de mots de passe en clair, le SOC a constaté que le nombre d'applications en ligne continue de croître rapidement, ce qui suggère que les participants s'appuient de plus en plus sur des appareils mobiles pour travailler. Le SOC, par exemple, a capturé le trafic non crypté des caméras vidéo se connectant aux systèmes de sécurité domestiques sur le port 80 et les données non cryptées utilisées pour établir des appels voix sur IP.

Erreur du RSSI

Pour l'essentiel, le trafic non crypté provient probablement d'utilisateurs de petites entreprises, ont indiqué les sociétés dans le rapport. "Il est difficile d'envoyer des e-mails en clair de nos jours, et l'analyse de ces incidents a révélé des similitudes", indique le rapport. « La majeure partie de ce trafic était vers et depuis des domaines hébergés. Cela signifie des services de messagerie sur des domaines qui sont des noms de famille ou de petites entreprises.

Pourtant, dans un cas, un responsable de la sécurité des informations avait mal configuré son client de messagerie et avait finalement exposé son nom d'utilisateur et son mot de passe de messagerie en envoyant les données en clair. Le SOC a découvert le problème lorsqu'il a trouvé un reçu de paiement CISSP envoyé en clair depuis un client de messagerie basé sur Android.

"La découverte a déclenché une enquête qui a confirmé que des dizaines de courriels provenant et vers la personne avaient été téléchargés sur le réseau ouvert selon un protocole non sécurisé", indique le rapport.

Les entreprises doivent vérifier que les technologies utilisées par les employés ont créé des connexions cryptées de bout en bout et appliquer les principes de confiance zéro pour vérifier, au moment opportun, que le cryptage est toujours appliqué.

« Nous avons trouvé des applications et des sites Web qui s'authentifient de manière cryptée, puis transmettent les données sans cryptage à travers les réseaux ouverts », explique Oppenheimer de Cisco Secure. « Alternativement, certains transmettront des informations d’identification non cryptées sur des réseaux ouverts, puis chiffreront les données. Les deux scénarios sont loin d’être idéaux.

Les réseaux privés virtuels ne sont pas une panacée mais peuvent renforcer la sécurité des applications non chiffrées. Enfin, les organisations devraient recourir à des formations en matière de cybersécurité et de sensibilisation pour enseigner à leurs travailleurs hybrides comment assurer leur sécurité lorsqu'ils travaillent à distance.