Je suis allé lire un rapport de Sezaneh Seymour et Daniel Woods, sur le site Lawfare. Il est très instructif et permet de prendre du recul sur des idées parfois un peu reçues.

On pense en effet souvent que l'angle d'attaque principal exploité lors des attaques est liée à des failles de sécurité non corrigées (le plus souvent, des mises à jour qui ne sont pas faites dans les temps). Sauf que non !

La majorité des attaques qui ciblent les PME et TPE portent aujourd'hui sur l'exploitation de problèmes de configuration.

Qu'est-ce qu'un problème de configuration ?

Un problème de configuration peut prendre plusieurs formes :

• Un serveur VPN (ou autre accès distant) mal configuré
• Des comptes exposés (comprendre : volés)
• Des mots de passe faibles
• Des mots de passe par défaut jamais changés
• L'absence d'authentification à 2 facteurs
• Des comptes d'anciens utilisateurs ou partenaires jamais désactivés
• Des installations de logiciels avec des options par défaut
• Des changements de configuration temporaires ... devenus définitifs
• Des systèmes de filtrage trop permissifs parce que ce jour là on manquait de temps pour configurer finement.
• Des services visibles depuis internet qui ne devraient pas l'être (par erreur, ou par facilité, là encore).
• ...

Tout un ensemble de choses qu'il est possible de corriger assez facilement, mais qui nécessite une très bonne hygiène informatique. Et du temps qui fait défaut à des structures qui ont souvent mieux à faire que se perdre dans ces "détails".

Sauf que ces mêmes détails viennent augmenter ce qu'on appelle la "surface d'attaque", la partie de votre système informatique qui est la plus visible et exposée.

Le rapport "Cyber Threat Index 2025" ne dit pas autre chose :

• La majorité des attaques de ransomware (58 %) a commencé avec la compromission d'équipements de sécurité (un comble, je sais) ou en utilisant un protocole de bureau distant (18%).
• Le vol de comptes (utilisateurs et mots de passe) pèse pour 47% des causes de piratage.
• 5 millions de solutions de gestion à distance exposées sur Internet et des dizaines de milliers de pages de connexion exposées ont été détectées sur Internet.

Et les rapports de suivent et se ressemblent pour dire la même chose (exemple avec Sophos ici) : la mauvaise sécurisation des comptes des utilisateurs associé à un problème de configuration est la première cause des problèmes.

Quoi faire ?

Avant toute chose, commencez par mettre en place une bonne hygiène concernant les mots de passe :

• Pas de réutilisation (on voit encore trop de mots de passe pro qui sont utilisés sur des comptes perso en parallèle).
• Une complexité suffisante
• Mise en place de double authentification
• Suppression des comptes inactifs

Ensuite, n'exposez sur internet que le strict nécessaire !

Et quand bien même c'est nécessaire, posez-vous sérieusement la question de le faire en mettant en place des solutions de sécurisation en amont. Les outils ne manquent pas et il est dangereux de prendre des raccourcis pour gagner du temps.

Je ne crains rien puisque je reste discret => Faux !

Petite visite en coulisse : pour garder la forme, j'expose volontairement sur internet des services qui n'ont aucune autre vocation que d'attirer ceux qui sont en recherche permanente de cibles.

Ne faites pas ça chez vous !

Voici un rapide bilan des 4 dernières semaines :

• Plus de 2200 tentatives de connexion sur les services exposés
• Plus de 150 IP d'origines différentes (les pays de l'est sont majoritaires, mais pas seuls)
• Plus de 2000 scans de ports détectés
• Plus de 500 couples utilisateur/mot de passe en provenance de dictionnaires de configuration par défaut.
• Plus de 5400 tentatives d'accès à des adresses de portails de connexion ou pages d'administration par défaut (qu'ils existent ou pas)
• Sans compter tout ce que je n'ai PAS détecté ... (un sujet qui vaut un article entier)

En gros, la pauvre machine qui héberge tout cela est en permanence en train de se faire inspecter pour essayer d'y trouver la moindre faille exploitable. En mode "premier arrivé, premier servi".

Tout cela sur une machine qui n'est associée à aucun domaine, et référencée nul part. Juste une adresse parmi d'autres. Pourtant la première attaque est arrivée moins de 15 minutes après la mise en ligne !

Et donc ?

Ce n'est pas différent pour vous. Si vous avez un service visible sur internet, alors vous êtes exactement dans le même cas.

Chaque service en ligne est sondé en quasi permanence. Et tout ce que vous exposez à l'extérieur aussi. La moindre adresse, le moindre port, le moindre service, la moindre machine.

Ne croyez donc pas que ça n'arrive qu'à des gens plus gros que vous. Toute cible est bonne à prendre, peu importe sa taille ou son activité.

Il est donc urgent de se pencher sur le sujet des mots de passe et de la configuration chez vous aussi. Sans attendre !

Contactez-moi pour échanger sur ce sujet.