Les incidents de cybersécurité de Midnight Blizzard et Cloudflare-Atlassian ont sonné l’alarme sur les vulnérabilités inhérentes aux principales plateformes SaaS. Ces incidents illustrent les enjeux liés aux violations SaaS : protéger l’intégrité des applications SaaS et de leurs données sensibles est essentiel mais n’est pas facile. Les vecteurs de menaces courants tels que le spear phishing sophistiqué, les erreurs de configuration et les vulnérabilités dans les intégrations d’applications tierces démontrent les défis de sécurité complexes auxquels sont confrontés les systèmes informatiques.
Dans le cas de Midnight Blizzard, la pulvérisation de mots de passe sur un environnement de test était le vecteur d’attaque initial. Pour Cloudflare-Atlassian, les auteurs de la menace ont lancé l’attaque via des Jetons OAuth suite à une violation antérieure chez Okta, un fournisseur de sécurité d’identité SaaS.
Qu’est-il exactement arrivé?
Violation de Microsoft Midnight Blizzard
Microsoft a été la cible des hackers russes « Midnight Blizzard » (également connus sous les noms de Nobelium, APT29 ou Cozy Bear) liés au SVR, l’unité des services de renseignement extérieurs du Kremlin.
Dans la faille Microsoft, les acteurs de la menace :
- Utilisation d’une stratégie de pulvérisation de mot de passe sur un compte existant et des comptes de test historiques pour lesquels l’authentification multifacteur (MFA) n’était pas activée. Selon Microsoftles acteurs de la menace”[used] un faible nombre de tentatives pour échapper à la détection et éviter les blocages de compte en fonction du volume d’échecs.
- Exploitation de l’ancien compte compromis comme point d’entrée initial pour ensuite détourner une ancienne application de test OAuth. Cette ancienne application OAuth disposait d’autorisations de haut niveau pour accéder à l’environnement d’entreprise de Microsoft.
- Création d’applications OAuth malveillantes en exploitant les autorisations de l’ancienne application OAuth. Étant donné que les auteurs de la menace contrôlaient l’ancienne application OAuth, ils pouvaient conserver l’accès aux applications même s’ils perdaient l’accès au compte initialement compromis.
- Accordé des autorisations Exchange et des informations d’identification d’administrateur à eux-mêmes.
- Augmentation des privilèges d’OAuth vers un nouvel utilisateur, qu’ils contrôlaient.
- Consentement aux applications OAuth malveillantes en utilisant leur compte utilisateur nouvellement créé.
- Augmentation de l’accès à l’application existante en lui accordant un accès complet aux boîtes aux lettres M365 Exchange Online. Grâce à cet accès, Midnight Blizzard pourrait consulter les comptes de messagerie M365 appartenant aux cadres supérieurs et exfiltrer les e-mails et pièces jointes de l’entreprise.
![]() |
| Recréation de l’illustration par Amitai Cohen |
Brèche Cloudflare-Atlassian
Le jour de Thanksgiving, le 23 novembre 2023, Les systèmes Atlassian de Cloudflare ont également été compromises par une attaque de l’État-nation.
- Cette violation, qui a débuté le 15 novembre 2023, a été rendue possible grâce à l’utilisation d’identifiants compromis qui n’avaient pas été modifiés suite à une précédente violation chez Okta en octobre 2023.
- Les attaquants ont accédé au wiki interne et à la base de données de bogues de Cloudflare, ce qui leur a permis d’afficher 120 référentiels de code dans l’instance Atlassian de Cloudflare.
- 76 référentiels de codes sources liés à des technologies opérationnelles clés ont été potentiellement exfiltrés.
- Cloudflare a détecté l’auteur de la menace le 23 novembre, car celui-ci a connecté un compte de service Smartsheet à un groupe d’administrateurs dans Atlassian.
Votre équipe de sécurité peut-elle surveiller les applications tierces ? 60 % des équipes ne peuvent pas
Vous pensez que votre sécurité SaaS est de premier ordre ? Appomni a interrogé plus de 600 praticiens de la sécurité mondiale, et 79 % des professionnels ont le même sentiment – et pourtant, ils ont été confrontés à des incidents de cybersécurité ! Plongez dans les informations du rapport AppOmni 2023.
Les acteurs de la menace ciblent de plus en plus le SaaS
Ces violations font partie d’un schéma plus large d’acteurs étatiques ciblant les fournisseurs de services SaaS, y compris, mais sans s’y limiter, l’espionnage et la collecte de renseignements. Midnight Blizzard s’est déjà engagé dans d’importantes cyberopérations, notamment l’attaque SolarWinds de 2021.
Ces incidents soulignent l’importance d’une surveillance continue de vos environnements SaaS et le risque continu posé par des cyber-adversaires sophistiqués ciblant les infrastructures critiques et la pile technologique opérationnelle. Ils mettent également en évidence des vulnérabilités importantes liées à la gestion des identités SaaS et la nécessité de pratiques strictes de gestion des risques liés aux applications tierces.
Les attaquants utilisent des tactiques, techniques et procédures (TTP) courantes pour pirater les fournisseurs SaaS via la kill chain suivante :
- Accès initial: Spray de mot de passe, détournement d’OAuth
- Persistance: usurpe l’identité de l’administrateur, crée un OAuth supplémentaire
- Évasion de la défense: OAuth hautement privilégié, pas de MFA
- Mouvement latéral: Compromis plus large des applications connectées
- Exfiltration de données: Récupérez les données privilégiées et sensibles des applications
Briser la chaîne de destruction SaaS
Un moyen efficace de rompre rapidement la chaîne de destruction consiste à effectuer une surveillance continue, une application granulaire des politiques et une gestion proactive du cycle de vie sur vos environnements SaaS. UN Plateforme SaaS de gestion de la posture de sécurité (SSPM) comme AppOmni peut aider à détecter et à alerter sur :
- Accès initial : Règles prêtes à l’emploi pour détecter la compromission des informations d’identification, notamment la pulvérisation de mots de passe, les attaques par force brute et les politiques MFA non appliquées.
- Persistance: Analysez et identifiez les autorisations OAuth et détectez le piratage OAuth
- Évasion de la défense: Vérifie la politique d’accès, détecte si un nouveau fournisseur d’identité (IdP) est créé, détecte les modifications d’autorisation.
- Mouvement latéral: Surveillez les connexions et les accès privilégiés, détectez les combinaisons toxiques et comprenez le rayon d’action d’un compte potentiellement compromis.
Remarque : Cet article rédigé par des experts est rédigé par Beverly Nevalga, AppOmni.



