En cybersécurité, une porte dérobée est un moyen de contourner les systèmes de sécurité existants d'une organisation. Bien qu'une entreprise puisse avoir mis en place diverses solutions de sécurité, il peut exister des mécanismes qui permettent à un utilisateur légitime ou à un pirate de les contourner. Si un pirate peut identifier ces portes dérobées et y accéder, il peut pénétrer dans les systèmes de l'entreprise sans être détecté.
Chaque système informatique dispose d'un moyen officiel par lequel les utilisateurs sont censés y accéder. Il s'agit souvent d'un système d'authentification dans lequel l'utilisateur fournit un mot de passe ou un autre type de justificatif pour prouver son identité. Si l'utilisateur s'authentifie avec succès, il se voit accorder l'accès au système avec des autorisations limitées à celles attribuées à son compte particulier.
While this authentication system provides security, it can also be inconvenient for some users, both legitimate and illegitimate. A system administrator may need to gain remote access to a system that is not designed to allow it. An attacker may want to access a company’s database server despite lacking the credentials to do so. The manufacturer of a system may include a default account to simplify configuration, testing, and deployment of updates to a system.
Dans ce cas, une porte dérobée peut être insérée dans un système. Par exemple, un administrateur système peut mettre en place un shell web sur un serveur. Lorsqu'ils veulent accéder au serveur, ils se rendent sur le site approprié et peuvent envoyer des commandes directement au serveur sans avoir à s'authentifier ou à configurer les politiques de sécurité de l'entreprise pour accepter un protocole d'accès à distance sécurisé tel que SSH.
Une porte dérobée permet d'accéder à un système en contournant les mécanismes d'authentification normaux d'une organisation. Les cybercriminels, qui n'ont théoriquement pas accès aux comptes légitimes sur les systèmes d'une organisation, peuvent l'utiliser pour accéder à distance aux systèmes de l'entreprise. Grâce à cet accès à distance, ils peuvent voler des données sensibles, déployer des logiciel rançonneur, logiciel espionou d'autres logiciel malveillantet entreprendre d'autres actions malveillantes sur le système.
Souvent, les portes dérobées sont utilisées pour fournir à un attaquant un accès initial à l'environnement d'une organisation. Si un administrateur système ou un autre utilisateur légitime a créé une porte dérobée sur le système, un attaquant qui découvre cette porte dérobée peut l'utiliser à ses propres fins. Par ailleurs, si un attaquant identifie une vulnérabilité qui lui permettrait de déployer sa propre porte dérobée sur un système, il peut alors utiliser cette porte dérobée pour étendre son accès et ses capacités sur le système.
Les portes dérobées peuvent se présenter sous différentes formes. Voici quelques-uns des types les plus courants :
Voici quelques bonnes pratiques pour se protéger contre l'exploitation des portes dérobées :
Les portes dérobées permettent aux attaquants d'accéder sans autorisation aux systèmes d'une organisation. Pour en savoir plus sur cette menace et d'autres cybermenaces importantes, consultez le site de Check Point. 2023 Cyber Security Report.
Check Point Harmony Endpoint assure la prévention des menaces et la détection de nombreux types de logiciels malveillants, y compris les portes dérobées. Pour en savoir plus sur les capacités d'Harmony Endpoint, cliquez sur les liens suivants s'inscrire à un démo gratuit aujourd'hui.