L’année 2023 a été marquée par son lot de cyberattaques, mais il existe un vecteur d’attaque qui s’avère plus important que d’autres : l’accès non humain. Avec 11 attaques très médiatisées en 13 mois et une surface d’attaque non gouvernée de plus en plus grande, les identités non humaines constituent le nouveau périmètre, et 2023 n’est que le début.
Pourquoi l’accès non humain est le paradis des cybercriminels
Les gens recherchent toujours le moyen le plus simple d’obtenir ce qu’ils veulent, et cela vaut également pour la cybercriminalité. Les acteurs de la menace recherchent la voie de moindre résistance, et il semble qu’en 2023, cette voie consistait en des informations d’identification non utilisateur (clés API, jetons, comptes de service et secrets).
« 50 % des jetons d’accès actifs connectant Salesforce et les applications tierces sont inutilisés. Dans GitHub et GCP, les chiffres atteignent 33 %. »
Ces informations d’identification d’accès non utilisateur sont utilisées pour connecter des applications et des ressources à d’autres services cloud. Ce qui en fait un véritable rêve pour les pirates informatiques, c’est qu’ils n’ont aucune mesure de sécurité comme le font les informations d’identification des utilisateurs (MFA, SSO ou autres politiques IAM), ils sont pour la plupart trop permissifs, non gouvernés et jamais révoqués. En fait, 50 % des jetons d’accès actifs connectant Salesforce et les applications tierces sont inutilisés. Dans GitHub et GCP, les chiffres atteignent 33 %*.
Alors, comment les cybercriminels exploitent-ils ces identifiants d’accès non humains ? Pour comprendre les chemins d’attaque, nous devons d’abord comprendre les types d’accès et d’identités non humains. Généralement, il existe deux types d’accès non humains : externe et interne.
L’accès externe non humain est créé par les employés connectant des outils et des services tiers aux principaux environnements commerciaux et d’ingénierie tels que Salesforce, Microsoft365, Slack, GitHub et AWS – pour rationaliser les processus et accroître l’agilité. Ces connexions s’effectuent via des clés API, des comptes de service, des jetons OAuth et des webhooks, qui appartiennent à l’application ou au service tiers (l’identité non humaine). Avec la tendance croissante à l’adoption de logiciels ascendants et de services cloud freemium, bon nombre de ces connexions sont régulièrement établies par différents employés sans aucune gouvernance de sécurité et, pire encore, à partir de sources non vérifiées. Une étude d’Astrix montre que 90 % des applications connectées aux environnements Google Workspace ne sont pas des applications de marché, ce qui signifie qu’elles n’ont pas été approuvées par une boutique d’applications officielle. Dans Slack, les chiffres atteignent 77 %, tandis que dans Github, ils atteignent 50 %.*
« 74 % des jetons d’accès personnels dans les environnements GitHub n’ont pas d’expiration. »
L’accès interne non humain est similaire, cependant, il est créé avec identifiants d’accès internes – également connu sous le nom de « secrets ». Les équipes R&D génèrent régulièrement des secrets qui connectent différentes ressources et services. Ces secrets sont souvent dispersés entre plusieurs gestionnaires de secrets (coffres), sans aucune visibilité pour l’équipe de sécurité sur l’endroit où ils se trouvent, s’ils sont exposés, à quoi ils autorisent l’accès et s’ils sont mal configurés. En fait, 74 % des jetons d’accès personnels dans les environnements GitHub n’ont pas d’expiration. De même, 59 % des webhooks de GitHub sont mal configurés, ce qui signifie qu’ils ne sont ni chiffrés ni attribués.*
Planifiez une démo en direct d’Astrix – un leader en matière de sécurité des identités non humaines
Attaques très médiatisées de 2023 exploitant l’accès non humain
Cette menace est tout sauf théorique. En 2023, certaines grandes marques ont été victimes d’exploits d’accès non humains, affectant des milliers de clients. Dans de telles attaques, les attaquants profitent des identifiants d’accès exposés ou volés pour pénétrer dans les systèmes centraux les plus sensibles des organisations et, dans le cas d’un accès externe, pour atteindre les environnements de leurs clients (attaques de la chaîne d’approvisionnement). Certaines de ces attaques très médiatisées incluent :
- Okta (Octobre 2023) : les attaquants ont utilisé un compte de service divulgué pour accéder au système de gestion des dossiers d’assistance d’Okta. Cela a permis aux attaquants de visualiser les fichiers téléchargés par un certain nombre de clients Okta dans le cadre de récents cas de support.
- Dépendabot GitHub (septembre 2023) : des pirates ont volé des jetons d’accès personnels (PAT) GitHub. Ces jetons ont ensuite été utilisés pour effectuer des validations non autorisées en tant que Dependabot dans les référentiels GitHub publics et privés.
- Clé SAS Microsoft (septembre 2023) : un jeton SAS publié par les chercheurs en IA de Microsoft accordait en fait un accès complet à l’intégralité du compte de stockage sur lequel il avait été créé, entraînant une fuite de plus de 38 To d’informations extrêmement sensibles. Ces autorisations étaient disponibles pour les attaquants pendant plus de 2 ans (!).
- Dépôts Slack GitHub (janvier 2023) : les acteurs malveillants ont eu accès aux référentiels GitHub hébergés en externe de Slack via un nombre « limité » de jetons d’employés Slack volés. À partir de là, ils ont pu télécharger des référentiels de codes privés.
- CercleCI (Janvier 2023) : L’ordinateur d’un employé d’ingénierie a été compromis par un logiciel malveillant qui a contourné leur solution antivirus. La machine compromise a permis aux acteurs malveillants d’accéder aux jetons de session et de les voler. Les jetons de session volés donnent aux acteurs malveillants le même accès que le propriétaire du compte, même lorsque les comptes sont protégés par une authentification à deux facteurs.
L’impact de l’accès à GenAI
« 32 % des applications GenAI connectées aux environnements Google Workspace disposent d’autorisations d’accès très larges (lecture, écriture, suppression). »
Comme on pouvait s’y attendre, l’adoption généralisée des outils et services GenAI exacerbe le problème de l’accès non humain. GenAI a acquis une énorme popularité en 2023, et elle ne fera probablement que croître. Avec ChatGPT devient l’application à la croissance la plus rapide de l’histoireet les applications basées sur l’IA en cours de téléchargement 1506% de plus que l’année dernière, les risques de sécurité liés à l’utilisation et à la connexion d’applications GenAI, souvent non vérifiées, aux systèmes centraux de l’entreprise provoquent déjà des nuits blanches pour les responsables de la sécurité. Les chiffres d’Astrix Research fournissent un autre témoignage de cette surface d’attaque : 32 % des applications GenAI connectées aux environnements Google Workspace disposent d’autorisations d’accès très étendues (lecture, écriture, suppression).*
Les risques liés à l’accès à GenAI se font sentir à l’échelle de l’industrie. Dans un récent rapport intitulé « Technologies émergentes : les 4 principaux risques de sécurité de GenAI« , Gartner explique les risques liés à l’utilisation répandue des outils et technologies GenAI. Selon le rapport, » L’utilisation de grands modèles de langage (LLM) et d’interfaces de chat génératifs (GenAI), en particulier connectés à des solutions tierces extérieures le pare-feu de l’organisation, représentent un élargissement des surfaces d’attaque et des menaces de sécurité pour les entreprises.
La sécurité doit être un catalyseur
Étant donné que l’accès non humain est le résultat direct de l’adoption et de l’automatisation du cloud – deux tendances bienvenues contribuant à la croissance et à l’efficacité – la sécurité doit le soutenir. Alors que les responsables de la sécurité s’efforcent continuellement de faciliter plutôt que de bloquer, une approche visant à sécuriser les identités non humaines et leurs identifiants d’accès n’est plus une option.
Un accès non humain mal sécurisé, tant externe qu’interne, augmente considérablement la probabilité d’attaques de la chaîne d’approvisionnement, de violations de données et de violations de conformité. Les politiques de sécurité, ainsi que les outils automatiques pour les appliquer, sont indispensables pour ceux qui cherchent à sécuriser cette surface d’attaque volatile tout en permettant à l’entreprise de bénéficier des avantages de l’automatisation et de l’hyper-connectivité.
Planifiez une démo en direct d’Astrix – un leader en matière de sécurité des identités non humaines
*Selon les données d’Astrix Research, collectées dans les environnements d’entreprise d’organisations comptant entre 1 000 et 10 000 employés.