Points clés
- Le rapport CISA 2023 sur les vulnérabilités couramment exploitées établit que les solutions d'accès distant (VPN, RDP, accès web) représentent plus de 50 % des vecteurs d'intrusion initiaux dans les incidents documentés — une proportion stable depuis 2020 malgré les alertes répétées sur ce vecteur.
- Ivanti Connect Secure (anciennement Pulse Secure) a fait l'objet de deux campagnes d'exploitation zero-day majeures en 2024 (CVE-2024-21887 et CVE-2024-21888), affectant des milliers d'organisations dont des agences gouvernementales des États-Unis et de l'UE — les solutions d'accès distant restent parmi les cibles les plus exploitées par les acteurs étatiques.
- L'ANSSI (France, 2023) a documenté que dans 65 % des cas d'intrusion via accès distants, les organisations concernées avaient reçu des notifications de correctifs critiques mais ne les avaient pas appliqués dans les délais recommandés — un retard de patching structurel sur les équipements d'accès distant.
Les accès distants — VPN, Bureau à Distance (RDP/RDS), accès web aux applications internes, solutions ZTNA (Zero Trust Network Access) — sont des composants critiques de l'infrastructure réseau moderne mais représentent simultanément la surface d'attaque la plus exposée : par définition, ces équipements sont accessibles depuis internet pour permettre le télétravail et la mobilité, et sont donc soumis à des tentatives d'attaque permanentes.
Risques spécifiques des accès distants
Les accès distants concentrent plusieurs risques spécifiques : (1) exposition permanente sur internet — les équipements d'accès distant sont accessibles 24h/24, 7j/7 et sont continuellement sondés par des scanners automatisés à la recherche de versions vulnérables et de credentials valides, (2) exploitation de vulnérabilités pré-authentification — les vulnérabilités dans les appliances VPN permettant l'exécution de code à distance sans authentification sont particulièrement critiques car elles ne nécessitent pas de credentials valides, (3) credential stuffing et force brute — les interfaces d'authentification VPN et RDP sont les cibles préférées des attaques de credential stuffing exploitant des bases de données d'identifiants compromis, (4) MFA bypasses — les techniques d'attaque par fatigue MFA, de SIM swapping et de phishing des codes OTP permettent à des attaquants de contourner le MFA déployé sur les accès distants.
Sécurisation des accès distants
La sécurisation des accès distants requiert plusieurs couches de contrôle : (1) authentification forte résistante au phishing (FIDO2, hardware tokens) plutôt que MFA basé sur SMS ou TOTP, (2) vérification de l'état du terminal (device compliance) avant d'accorder l'accès distant — seuls les terminaux gérés, patchés et conformes aux politiques peuvent se connecter, (3) accès minimum nécessaire — le VPN ne doit pas donner accès à l'ensemble du réseau interne mais uniquement aux ressources nécessaires à la mission de l'utilisateur, (4) surveillance et anomalies — détection des connexions depuis des localisations inhabituelles, à des horaires anormaux, ou avec des comportements post-connexion atypiques.
Migration vers le Zero Trust Network Access (ZTNA)
Le modèle ZTNA (Zero Trust Network Access) représente une évolution architecturale des accès distants traditionnels : plutôt que d'établir un tunnel VPN donnant accès à un segment réseau, ZTNA accorde un accès spécifique à une application ou un service précis, après vérification de l'identité, de l'état du terminal et du contexte de la demande. Ce modèle réduit considérablement la surface d'attaque en cas de compromission d'un identifiant — l'attaquant ne peut accéder qu'à l'application pour laquelle l'accès a été accordé, pas à l'ensemble du réseau interne.
Cas opérationnel : Colonial Pipeline — VPN sans MFA comme vecteur d'intrusion (États-Unis, 2021)
L'attaque ransomware contre Colonial Pipeline en mai 2021, qui a interrompu la fourniture de 45 % des carburants de la côte est américaine pendant six jours, a utilisé comme vecteur initial les identifiants d'un compte VPN inactif découverts dans un lot de données compromises sur le dark web. Ce compte VPN n'était pas protégé par le MFA que Colonial Pipeline avait déployé sur d'autres accès. La compromission a été réalisée avec un seul couple identifiant/mot de passe sans aucune barrière supplémentaire. Le CISA et le FBI ont publié une alerte conjointe utilisant cet incident pour documenter les meilleures pratiques de sécurisation des accès VPN, incluant l'obligation du MFA sur tous les accès distants sans exception.
Les deux vulnérabilités zero-day dans Ivanti Connect Secure (CVE-2024-21887 et CVE-2024-21888) ont été exploitées activement avant leur divulgation publique par un groupe étatique (UNC5221, attribué à la Chine). Le CISA a émis une directive d'urgence imposant une déconnexion temporaire des appliances Ivanti et une investigation forensique complète — la première fois qu'une telle mesure était imposée pour une solution d'accès distant, reflétant la criticité de ce vecteur d'attaque.
Le groupe Winnti (APT41, lié à la Chine) a conduit en 2022-2023 une campagne ciblant les organisations européennes des secteurs pharmaceutique et manufacturier via des vulnérabilités dans les solutions VPN Fortinet et Cisco. L'ENISA a publié un avertissement coordonné avec les CERT nationaux soulignant que les solutions VPN utilisées par les entreprises européennes constituent un vecteur d'attaque prioritaire pour les acteurs APT ciblant l'industrie européenne.
Les campagnes d'exploitation Exchange ProxyLogon et les attaques via RDP exposé ont conduit les CERT australien, singapourien et néo-zélandais à publier en 2021 des alertes conjointes sur la nécessité de désactiver RDP exposé sur internet et d'appliquer le MFA sur tous les accès distants. Ces alertes constituent une documentation régionale sur la prévalence des accès distants mal sécurisés comme vecteur d'entrée dominant dans les incidents cyber en Asie-Pacifique.