Dans quelle mesure la gestion des identités dans le cloud étend-elle la surface d’attaque ?

Nous le savons tous : le recours à un fournisseur d’identité (IdP) cloud étend notre surface d’attaque. Néanmoins, après la compromission d’identifiants et de tokens de session client dont a été victime Okta lors d’une faille récente, une question se pose : dans quelle mesure cette approche étend-elle votre surface d’attaque ? Ce paramètre peut-il même être mesuré avec certitude ?

Pour paraphraser Michael Jordan, qui disait : « Acquiers d’abord les fondamentaux et le niveau de tout ce que tu feras s’élèvera », on pourrait dire que le moment est venu de reprendre les bases et de regarder en face les risques posés par la gestion des identités dans le cloud avant de pouvoir véritablement envisager l’avenir sereinement.

Les IdP cloud et votre surface d’attaque

Les fournisseurs d’identité (IdP) cloud stockent les informations d’identification pour l’accès réseau de vos utilisateurs sur des serveurs cloud. Voici ce que nous savons sur la façon dont cette approche étend votre surface d’attaque.

Imaginons la situation suivante : vous disposez de cinq clés permettant d’entrer chez vous, et vous les gardez toutes dans la poche : le risque qu’un inconnu réussisse à déverrouiller votre porte est plutôt faible, n’est-ce pas ? Il faudrait l’intervention d’un pickpocket ou entrer par effraction. Imaginons maintenant que vous confiiez quatre clés à des personnes différentes.

Immédiatement, le risque que quelqu’un entre chez vous à votre insu est démultiplié. Chaque personne dotée d’une clé peut laisser entrer quelqu’un, et chaque clé peut être volée ou dupliquée.

C’est en essence ce qui se produit lorsque vous avez recours à une solution de gestion des identités dans le cloud. Les cybercriminels ont simplement davantage d’occasions d’acquérir l’une des « clés » de votre système.

D’une part, vos identifiants ne sont plus totalement sous votre contrôle.

D’autre part, votre réseau est plus vulnérable à différents types d’attaques, comme les ransomwares. Non seulement vos propres utilisateurs risquent de cliquer sur un lien de phishing, mais les dizaines de milliers d’autres utilisateurs de la plateforme vous font également courir un risque.

Jusqu’où la surface d’attaque peut-elle s’étendre ?

Après la faille récente subie par Okta, nous savons désormais que la surface d’attaque est vraisemblablement plus grande qu’on l’imagine. Cette faille a exposé des vulnérabilités liées à la dépendance à des fournisseurs d’identité cloud tiers, dont aucun leader du monde de l’IT n’avait véritablement conscience.

Examinons de plus près ce qui s’est produit lors de la faille Okta et voyons plus précisément comment les jetons de session changent la donne en termes de gestion du risque.

Les jetons de session : une porte grande ouverte ?

Le 20 octobre 2023, Okta Security a identifié une activité malveillante utilisant des identifiants volés pour accéder au système de gestion des tickets d’assistance de l’entreprise. Après avoir accédé à ce système, le hacker s’est servi des jetons de session valides issus des tickets d’assistance récents pour accéder aux fichiers mis en ligne par les clients d’Okta.

Les vulnérabilités augmentent lorsque les jetons de session entrent en jeu : ce point d’accès distribué peut entraîner un grand nombre d’accès non autorisés lorsqu’il est exploité par un utilisateur malveillant.

Voici quelques exemples :

Le jeton de session lui-même : lors de cette attaque, les attaquants ont compromis le jeton de session d’un administrateur. Ainsi, ils ont non seulement piraté l’accès du compte au réseau, mais ils ont également pu accéder à toutes les applications métier intégrées en passant par la SSO SAML.

Accès étendu : les attaquants ont accédé à une multitude de réseaux et de données client en utilisant le jeton de session volé à un client.

Déplacement latéral : avec un seul jeton, les attaquants ont pu passer d’application en application au sein des différentes plateformes et propager facilement leur attaque vers d’autres zones du cloud.

Lorsque les attaquants exploitent différents mécanismes tels que les jetons de session ou l’association à une session administrateur, la compromission d’un seul compte utilisateur peut ouvrir une véritable boîte de Pandore en termes d’infiltration du réseau.

Quelle est la solution ?

Pour réduire la surface d’attaque de votre entreprise dans le cloud, la première étape consiste à admettre les risques et les vulnérabilités liés aux fournisseurs d’identité cloud.

Si vous avez recours à un IdP cloud, appliquez l’authentification multifacteur (MFA) en veillant à la transparence de l’association de l’authentification aux sessions administrateur, afin de renforcer la sécurité des jetons de session.

La mise en place de contrôles d’accès robustes, basés sur les rôles, peut également vous aider à bloquer les accès non autorisés, même si l’attaquant dispose d’identifiants valides.

Si vous n’utilisez actuellement pas de fournisseur d’identité, mais que votre entreprise prévoit de le faire, intégrez l’atténuation des risques à votre planification avant même d’effectuer la transition. Par exemple, vous pouvez choisir un fournisseur d’identité qui ne stocke pas les identifiants d’accès réseau de vos utilisateurs dans le cloud.

Pour certaines entreprises, la bonne solution consistera peut-être à proposer un accès sécurisé au cloud aux utilisateurs tout en maintenant la gestion des identités sur site.

Faut-il repenser la façon dont nous gérons les risques liés aux identités dans le cloud ?

Les leaders du secteur informatique doivent accepter cette réalité : il n’est pas possible de qualifier précisément l’étendue de votre surface d’attaque si vous utilisez des identités hébergées dans le cloud, et ce ne sera probablement jamais le cas. Ce manque de visibilité est important pour une raison essentielle : la gestion du risque. Difficile de gérer un risque dont on n’a pas conscience de l’existence.

Dans un contexte où les RSSI sont plus que jamais sous pression pour prouver la présence de mesures de sécurité à tous les points d’accès, le moment est peut-être venu de réévaluer l’appétence au risque de votre entreprise. Les fournisseurs d’identité cloud, s’ils offrent une gestion des accès évolutive, peuvent étendre de façon exponentielle la surface d’attaque des entreprises, en particulier lorsqu’ils utilisent des points d’accès distribués comme les jetons de session.

Devons-nous considérer ces failles comme un coup de semonce, un rappel à l’ordre que sommes peut-être allés trop vite pour adopter les identités cloud, sans bien en circonscrire les risques ?

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.