En 2018, le vol des identifiants persiste mais évolue !

La récente révélation d’Uber, sur le vol des données personnelles de 57 millions de ses clients, vient s’ajouter à une longue liste de cyberattaques auxquelles les entreprises ont encore fait face cette année. Les techniques des pirates informatiques étant chaque fois plus sophistiquées, 2018 s’annonce tout aussi menaçante pour les organisations qui ne sont pas préparées. Les innovations technologiques, qui permettent aux entreprises d’améliorer et de varier leurs stratégies, offrent les mêmes opportunités aux individus malveillants. 2018 promet ainsi une utilisation accrue de l'automatisation et de l'expansion des environnements hybrides cloud et DevOps. Ces derniers créeront un terrain fertile pour les attaquants, du fait d’un nombre croissant de comptes à privilèges, associés à des utilisateurs humains ou non. Ces droits d’accès concernent des employés, des fournisseurs distants, des comptes de service, des clés d'accès, des machines, des clés SSH (Secure Shell), ou encore des mots de passe intégrés.  

Selon Lavi Lazarovitz, Cyber Security Research Team Leader, chez CyberArk, les attaques et exploitations basées sur le vol des identifiants vont s’accélérer pour dominer les cybermenaces en 2018, en particulier pour trois raisons :

1 Les pirates informatiques cachés derrière des identités machine

Les identités fédérées, soit le fait de lier tous les droits d’accès d’une personne à un identifiant unique, tendent à augmenter pour simplifier l’expérience utilisateur. Or d’un point de vue sécuritaire, cette simplification accroit les vulnérabilités, les identifiants devenant alors identiques. De plus, l’adoption croissante d'environnements basés sur les services augmente automatiquement le nombre d'identités ; il en découle une surface d'attaques étendue, dans laquelle les pirates informatiques ne ciblent plus en priorité les identifiants de l'administrateur de domaine. Les équipes de sécurité doivent donc être préparées à déterminer quels utilisateurs et quelles machines sont dignes de confiance. En volant les identités des machines, les pirates peuvent en effet faire profil bas sur le réseau, tout en utilisant les droits d’accès associés pour contrôler les procédures et règles de sécurité. Les outils d’intégration et de livraison continues peuvent devenir alors les atouts les plus sensibles du réseau : lorsque leurs identifiants sont exploités par une personne malveillante, cette dernière peut en effet prendre le contrôle de l'intégralité du workflow DevOps, et y intégrer du code ou des configurations nuisibles.

2 Le chaos des clés SSH, source de conséquences inattendues

Les clés SSH sont souvent utilisées pour accéder aux ressources cloud, ce qui signifie que le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Seulement, beaucoup d’entreprises ne déploient pas les infrastructures nécessaires pour sécuriser les environnements DevOps. Cette absence de gestion engendre un "chaos de clés", et augmente le risque qu’elles soient exposées et compromises via des erreurs simples ou humaines. Les équipes de sécurité doivent donc améliorer la supervision pour éviter que ces clés ne deviennent des cibles faciles pour les attaquants. Les principales préoccupations associées concernent la multiplication des identifiants de machines et d’humains, qui offrent des opportunités de vols de privilèges. Par exemple, un utilisateur, ayant accès à un rôle assigné à une machine et doté de privilèges, pourrait dérober l'identité de cette machine et nuire au compte cloud associé. De plus, les jetons d'authentification temporaires, employés en complément ou à la place d'un mot de passe pour prouver l’identité de l’utilisateur, se révèlent parfois être une arme à double tranchant. En effet, bien qu’ils constituent une amélioration par rapport aux clés statiques, qu’ils expirent généralement après un certain temps et qu’ils offrent des privilèges dynamiques, ils ne fournissent une meilleure sécurité que s'ils sont gérés correctement et surveillés en continu.

3 Security as a Target (SaaT) : l'authentification dans la ligne de mire des attaquants

Le cloud pousse au renforcement de l'identité à mesure que nous utilisons davantage de services, et moins de technologie brute ; cela entraine plus de possibilités pour les hackers d’effectuer des mouvements latéraux entre les services, et une compromission plus facile au niveau de l'authentification, ce qui signifie une perte totale de l'identité pour l’entreprise. Les méthodes actuelles d'authentification, telles que celle à deux facteurs et SSO (Single Sign On, soit une authentification unique), doivent alors s'adapter pour se protéger contre les menaces émergentes et afin de ne pas devenir des cibles. Car si ces outils sont compromis, ils permettent aux attaquants une flexibilité sans précédent, et leur offrent la capacité de compromettre les réseaux en profondeur. D'un point de vue défensif, la technologie blockchain pourrait être adoptée pour supprimer le seul point de confiance et d'échec qui favorise les techniques d’attaques Golden Ticket et SAML. Elle pourrait en effet être utilisée pour déplacer la "confiance absolue" de l'Active Directory, par exemple, vers l'ensemble du réseau. Les pirates seraient alors forcés de compromettre une quantité significative d'actifs avant de pouvoir s'authentifier.

Les cyberattaques dont nous avons été témoins en 2017, telles que WannaCry et NotPetya, et celles des années précédentes, sont souvent liées à une adoption trop rapide de technologies qui ne sont pas complètement sécurisées. L’intégration de toute innovation doit en effet s’aligner à des stratégies de gestion des risques. Pour de nombreuses organisations, le défi réside donc dans le fait que les nouvelles technologies n’ont pas le niveau de maturité en matière de sécurité que celles plus anciennes. Les entreprises se retrouvent par conséquent vulnérables aux attaques, en particulier celles qui visent les comptes administrateurs, voie royale des hackers vers leurs systèmes et leurs données. Le risque est donc bien réel, avec pour conséquence des milliards d’identifiants clients disponibles sur le Dark Web. En mai 2018, le Règlement Général de la Protection des Données (RGPD) entrera en vigueur en Europe et obligera les organisations à se conformer à un certain nombre de règles strictes en matière de cybersécurité. Bien que contraignant au premier abord, il permettra aux entreprises de mieux appréhender la gestion de leurs données et la protection de leurs systèmes pour lutter contre les cyberattaques, toujours plus agressives et vouées à se développer au rythme des innovations technologiques.

Lavi Lazarovitz, Cyber Security Research Team Leader, chez CyberArk