La semaine dernière, le célèbre gang de hackers ShinyHunters a envoyé une onde de choc à travers le monde en pillant prétendument 1,3 téraoctets de données de 560 millions d’utilisateurs de Ticketmaster. Cette violation colossale, d’un coût de 500 000 $, pourrait révéler les informations personnelles d’une grande partie de la clientèle de la société d’événements en direct, déclenchant une tempête d’inquiétude et d’indignation.
Une violation massive des données
Passons en revue les faits. Live Nation a officiellement confirmé la violation dans un dossier 8-K auprès de la SEC. Selon le document publié le 20 mai, la société « a identifié une activité non autorisée au sein d’un environnement de base de données cloud tiers contenant des données de la société », principalement de la filiale Ticketmaster. Le dossier affirme que Live Nation a lancé une enquête et coopère avec les forces de l’ordre. Pour l’instant, l’entreprise ne pense pas que cette violation aura un impact significatif sur ses opérations commerciales.
Il convient de noter que le même groupe de pirates informatiques propose également des données prétendument provenant de Santander. Selon ces allégations, les données volées contiennent des informations confidentielles appartenant à des millions d’employés et de clients de Santander. La banque a confirmé qu’« une base de données hébergée par un fournisseur tiers » avait été consultée, entraînant des fuites de données pour des clients au Chili, en Espagne et en Uruguay, ainsi que pour tous les employés actuels et certains anciens de Santander.
La connexion cloud
Ce qui pourrait relier ces deux violations est la société de données cloud Snowflake, qui compte parmi ses utilisateurs Santander et Live Nation/Ticketmaster. Ticketmaster a confirmé que la base de données volée était hébergée par Snowflake.
Snowflake a publié un avertissement avec CISA, indiquant une « augmentation récente des activités de cybermenace ciblant les comptes clients sur sa plate-forme de données cloud ». Snowflake a recommandé aux utilisateurs d’interroger les journaux de la base de données pour détecter toute activité inhabituelle et d’effectuer une analyse plus approfondie pour empêcher tout accès non autorisé aux utilisateurs.
Dans un communiqué séparé, le RSSI de Snowflake, Brad Jones, a clairement indiqué que le système Snowflake lui-même n’avait pas été violé. Selon Jones, « il semble s’agir d’une campagne ciblée destinée aux utilisateurs disposant d’une authentification à un seul facteur », et les acteurs malveillants ont exploité les informations d’identification précédemment obtenues par diverses méthodes.
Snowflake a également répertorié quelques recommandations pour tous les clients, comme l’application de l’authentification multifacteur (MFA) sur tous les comptes, la configuration de règles de politique réseau pour autoriser l’accès à l’environnement cloud uniquement à partir d’emplacements de confiance prédéfinis, et la réinitialisation et la rotation des informations d’identification Snowflake.
Simplifier la cybersécurité
Nous avons tendance à idéaliser la cybersécurité – et il s’agit d’une discipline informatique incroyablement difficile et complexe. Cependant, tous les défis en matière de cybersécurité ne sont pas aussi difficiles. Les conseils proposés par Snowflake soulignent vraiment ce point : la MFA est indispensable. Il s’agit d’un outil incroyablement efficace contre toute une série de cyberattaques, notamment bourrage d’informations d’identification.
Recherche effectuée par la société de sécurité cloud Mitiga affirme que les incidents Snowflake font partie d’une campagne dans laquelle un acteur malveillant utilise les informations d’identification client volées pour cibler les organisations utilisant les bases de données Snowflake. Selon l’étude publiée, « l’auteur de la menace a principalement exploité des environnements dépourvus d’authentification à deux facteurs » et les attaques provenaient généralement d’adresses IP VPN commerciales.
Les politiques ne sont efficaces que dans la mesure où elles sont mises en œuvre et appliquées. Des technologies telles que l’authentification unique d’entreprise (SSO) et la MFA sont peut-être en place, mais ne sont pas véritablement appliquées dans tous les environnements et utilisateurs. Il ne devrait y avoir aucune possibilité que les utilisateurs puissent encore s’authentifier à l’aide d’un nom d’utilisateur/mot de passe en dehors du SSO pour accéder à une ressource de l’entreprise. Il en va de même pour la MFA : au lieu de l’auto-inscription, elle devrait être obligatoire pour tous les utilisateurs sur tous les systèmes et tous les environnements, y compris les services cloud et tiers.
Avez-vous le contrôle total ?
Il n’y a pas de cloud, c’est juste l’ordinateur de quelqu’un d’autre, comme le dit le vieil adage. Et même si vous (et votre organisation) bénéficiez d’un large accès aux ressources de cet ordinateur, cet accès n’est finalement jamais complet, une limitation inhérente au cloud computing. Les technologies cloud multi-locataires permettent de réaliser des économies d’échelle en limitant ce qu’un seul client peut faire sur cet « ordinateur », et cela inclut parfois la possibilité de mettre en œuvre la sécurité.
Un bon exemple est la rotation automatique des mots de passe. Les outils modernes de gestion des accès privilégiés tels que One Identity Safeguard peuvent supprimer les mots de passe après utilisation. Cela les rend effectivement à usage unique et immunise l’environnement contre les attaques de credential stuffing, mais également contre les menaces plus sophistiquées comme les enregistreurs de frappe, qui ont été utilisés dans le hack LastPass. Cependant, l’API qui fournit cette fonctionnalité doit être présente. Snowflake fournit l’interface permettant de mettre à jour les mots de passe des utilisateurs. Il appartenait donc au client de l’utiliser et de faire pivoter les mots de passe en fonction de l’utilisation ou du temps.
Lorsque vous choisissez où héberger les données critiques pour votre entreprise, assurez-vous que la plateforme propose ces API via gestion des identités privilégiées et vous permet d’intégrer le nouvel environnement sous l’égide de la sécurité de votre entreprise. MFA, SSO, rotation des mots de passe et journalisation centralisée devraient tous être des exigences de base dans ce paysage de menaces, car ces fonctionnalités permettent au client de protéger les données de son côté.
L’identité non humaine
Un aspect unique de la technologie moderne est la identité non humaine. Par exemple, les outils RPA (automatisation des processus robotiques) ainsi que les comptes de service sont fiables pour effectuer certaines tâches sur la base de données. La protection de ces identités constitue un défi intéressant, car les mécanismes hors bande tels que les notifications push ou les jetons TOTP ne sont pas réalisables pour les cas d’utilisation de comptes de service.
Les comptes non humains sont des cibles précieuses pour les attaquants car ils disposent généralement d’autorisations très puissantes pour effectuer leurs tâches. La protection de leurs identifiants doit toujours être une priorité pour les équipes de sécurité. Snowflake utilise une multitude de comptes de service pour exploiter la solution, et développé une série d’articles de blog sur la façon de protéger ces comptes et leurs informations d’identification.
Tout est question de coût
Les cybercriminels ont une logique extrêmement simple : maximiser leurs profits en automatisant les attaques de masse et cibler de larges groupes de victimes avec des méthodes simples mais efficaces. Les attaques par credential stuffing, comme le type d’attaque utilisé contre les locataires de Snowflake, sont l’une des méthodes d’attaque les moins chères – l’équivalent en 2024 du spam par courrier électronique. Et compte tenu de son faible coût, il devrait être presque inefficace à 100 %. Le fait qu’au moins deux grandes organisations aient perdu une quantité importante de données critiques dresse un sombre tableau de l’état actuel de la cybersécurité mondiale.
Conclusion
En mettant en œuvre des contrôles simples comme le SSO, la MFA et la rotation des mots de passe, le coût des attaques à grande échelle devient prohibitif. Bien que cela ne signifie pas que les attaques ciblées ne réussiront pas ou que les attaques par des menaces persistantes avancées (APT) à but non lucratif seront complètement dissuadées, cela rend les attaques massives sur ce vecteur d’attaque irréalisables, rendant tout le monde un peu plus en sécurité.