I. Présentation

Le CERT-FR a récemment publié un rapport de menaces et incidents concernant l'intégration de logiciels non maîtrisés sur un SI et les problèmes de sécurité qu'ils peuvent poser.

À travers différents exemples réels, le CERT-FR nous expose des cas de figure dans lesquels des logiciels non maîtrisés se retrouvent être des vecteurs d'infection d'un système d'information. Les principaux cas de figure pris en exemple sont le cas de logiciels utilisés et imposés dans le cadre d'entreprises internationales souhaitant opérer en Chine. Les logiciels proposés par les fournisseurs ou clients chinois afin de payer les taxes en Chine comportaient en réalité du code malveillant les rendant utilisables comme des portes dérobées (backdoor), devenant alors de véritables vecteurs d'infection.

Le document proposé par l'ANSSI expose notamment les cas de GoldenSpy en 2020, porte dérobée intégrée au logiciel de gestion de TVA Aisino Intelligent Tax :

"Deux heures après l’installation du logiciel de gestion de TVA, des codes sont téléchargés puis exécutés de manière silencieuse. Ils disposent de mécanismes de persistance, communiquent à une fréquence aléatoire avec un serveur distant et permettent d’exécuter des codes arbitraires avec un niveau de privilèges d’administrateur système sans interaction de l’utilisateur. ".

II. Les recommandations de l'ANSSI :

À la suite de ces différents exemples récents, des recommandations sont proposées afin de limiter le déploiement de ce type de porte dérobée ou la propagation d'une infection au sein du système d'information par ce biais. Ces recommandations sont réparties sur différentes thématiques  :

Recommandations concernant l'infrastructure :

• Installer le logiciel dans une zone isolée
• Filtrer les flux réseau « depuis » et « vers » la zone isolée au juste besoin opérationnel
• Filtrer les flux avec un équipement pare-feu distinct de la machine sur laquelle le logiciel est installé
• Utiliser un compte Cloud dédié pour isoler la zone de moindre confiance
• Appliquer le principe de moindre privilège sur l’ensemble des services et équipements

Recommandations relatives à l'accès au logiciel :

• Désactiver le partage du presse-papier et la redirection de disque
• Configurer un partage de fichier dédié et isolé

Recommandations concernant le maintien en conditions de sécurité :

• Réaliser le maintien en condition de sécurité depuis Internet
• Éteindre le service lorsqu’il n’est pas utilisé

Recommandations concernant la détection :

• Mettre en place un collecteur de logs dédié dans la zone isolée
• Activer et configurer la journalisation

Je vous conseille donc vivement la lecture de ce document, notamment si vous travaillez dans des entreprises opérant à l'international : Illustration des problématiques liées à l’intégration de logiciels non maîtrisés. Sa lecture vous éclairera plus sur ce sujet et vous permettra d'avoir le détail des recommandations proposées.

N'hésitez pas à réagir et échanger sur ce sujet dans les commentaires ou sur notre serveur Discord : https://discord.com/invite/KMWN7TUQfm 

L'article Le CERT-FR et l’ANSSI alertent sur les logiciels non maîtrisés et leurs risques est disponible sur IT-Connect : IT-Connect.