{"id":1146877,"date":"2024-02-13T10:45:27","date_gmt":"2024-02-13T12:45:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/incidents-de-cybersecurite-a-minuit-blizzard-et-cloudflare-atlassian-ce-quil-faut-savoir\/"},"modified":"2024-02-13T10:45:32","modified_gmt":"2024-02-13T12:45:32","slug":"incidents-de-cybersecurite-a-minuit-blizzard-et-cloudflare-atlassian-ce-quil-faut-savoir","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/incidents-de-cybersecurite-a-minuit-blizzard-et-cloudflare-atlassian-ce-quil-faut-savoir\/","title":{"rendered":"Incidents de cybers\u00e9curit\u00e9 \u00e0 minuit Blizzard et Cloudflare-Atlassian\u00a0: ce qu&#8217;il faut savoir"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">L&#8217;actualit\u00e9 des hackers<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 SaaS \/ Violation de donn\u00e9es<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Incidents-de-cybersecurite-a-minuit-Blizzard-et-Cloudflare-Atlassian-ce-quil.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les incidents de cybers\u00e9curit\u00e9 de Midnight Blizzard et Cloudflare-Atlassian ont sonn\u00e9 l&#8217;alarme sur les vuln\u00e9rabilit\u00e9s inh\u00e9rentes aux principales plateformes SaaS.  Ces incidents illustrent les enjeux li\u00e9s aux violations SaaS : prot\u00e9ger l\u2019int\u00e9grit\u00e9 des applications SaaS et de leurs donn\u00e9es sensibles est essentiel mais n\u2019est pas facile.  Les vecteurs de menaces courants tels que le spear phishing sophistiqu\u00e9, les erreurs de configuration et les vuln\u00e9rabilit\u00e9s dans les int\u00e9grations d&#8217;applications tierces d\u00e9montrent les d\u00e9fis de s\u00e9curit\u00e9 complexes auxquels sont confront\u00e9s les syst\u00e8mes informatiques.<\/p>\n<p>Dans le cas de Midnight Blizzard, la pulv\u00e9risation de mots de passe sur un environnement de test \u00e9tait le vecteur d&#8217;attaque initial.  Pour Cloudflare-Atlassian, les auteurs de la menace ont lanc\u00e9 l&#8217;attaque via des <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/blog_post\/oauth-token-what-it-is-how-it-works-and-its-vulnerabilities\/?utm_campaign=Midnight%20Blizzard%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=02.13.14%20Article&amp;utm_content=text\" target=\"_blank\">Jetons OAuth<\/a> suite \u00e0 une violation ant\u00e9rieure chez Okta, un fournisseur de s\u00e9curit\u00e9 d&#8217;identit\u00e9 SaaS. <\/p>\n<h2>Qu&#8217;est-il exactement arriv\u00e9?<\/h2>\n<h3>Violation de Microsoft Midnight Blizzard<\/h3>\n<p>Microsoft a \u00e9t\u00e9 la cible des hackers russes \u00ab Midnight Blizzard \u00bb (\u00e9galement connus sous les noms de Nobelium, APT29 ou Cozy Bear) li\u00e9s au SVR, l&#8217;unit\u00e9 des services de renseignement ext\u00e9rieurs du Kremlin.<\/p>\n<p>Dans la faille Microsoft, les acteurs de la menace\u00a0:<\/p>\n<ol>\n<li>Utilisation d&#8217;une strat\u00e9gie de pulv\u00e9risation de mot de passe sur un compte existant et des comptes de test historiques pour lesquels l&#8217;authentification multifacteur (MFA) n&#8217;\u00e9tait pas activ\u00e9e.  Selon <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/01\/25\/midnight-blizzard-guidance-for-responders-on-nation-state-attack\/\" target=\"_blank\">Microsoft<\/a>les acteurs de la menace&#8221;[used] un faible nombre de tentatives pour \u00e9chapper \u00e0 la d\u00e9tection et \u00e9viter les blocages de compte en fonction du volume d&#8217;\u00e9checs. <\/li>\n<li>Exploitation de l&#8217;ancien compte compromis comme point d&#8217;entr\u00e9e initial pour ensuite d\u00e9tourner une ancienne application de test OAuth.  Cette ancienne application OAuth disposait d&#8217;autorisations de haut niveau pour acc\u00e9der \u00e0 l&#8217;environnement d&#8217;entreprise de Microsoft. <\/li>\n<li>Cr\u00e9ation d&#8217;applications OAuth malveillantes en exploitant les autorisations de l&#8217;ancienne application OAuth.  \u00c9tant donn\u00e9 que les auteurs de la menace contr\u00f4laient l&#8217;ancienne application OAuth, ils pouvaient conserver l&#8217;acc\u00e8s aux applications m\u00eame s&#8217;ils perdaient l&#8217;acc\u00e8s au compte initialement compromis.<\/li>\n<li>Accord\u00e9 des autorisations Exchange et des informations d&#8217;identification d&#8217;administrateur \u00e0 eux-m\u00eames.<\/li>\n<li>Augmentation des privil\u00e8ges d&#8217;OAuth vers un nouvel utilisateur, qu&#8217;ils contr\u00f4laient. <\/li>\n<li>Consentement aux applications OAuth malveillantes en utilisant leur compte utilisateur nouvellement cr\u00e9\u00e9.<\/li>\n<li>Augmentation de l&#8217;acc\u00e8s \u00e0 l&#8217;application existante en lui accordant un acc\u00e8s complet aux bo\u00eetes aux lettres M365 Exchange Online.  Gr\u00e2ce \u00e0 cet acc\u00e8s, Midnight Blizzard pourrait consulter les comptes de messagerie M365 appartenant aux cadres sup\u00e9rieurs et exfiltrer les e-mails et pi\u00e8ces jointes de l&#8217;entreprise. <\/li>\n<\/ol>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707828327_336_Incidents-de-cybersecurite-a-minuit-Blizzard-et-Cloudflare-Atlassian-ce-quil.jpg\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707828327_336_Incidents-de-cybersecurite-a-minuit-Blizzard-et-Cloudflare-Atlassian-ce-quil.jpg\" alt=\"Incidents de cybers\u00e9curit\u00e9 Cloudflare-Atlassian\" border=\"0\" data-original-height=\"1024\" data-original-width=\"2048\" title=\"Incidents de cybers\u00e9curit\u00e9 Cloudflare-Atlassian\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Recr\u00e9ation de l&#8217;illustration par Amitai Cohen<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Br\u00e8che Cloudflare-Atlassian<\/h3>\n<p>Le jour de Thanksgiving, le 23 novembre 2023, <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cloudflare.com\/thanksgiving-2023-security-incident\" target=\"_blank\">Les syst\u00e8mes Atlassian de Cloudflare<\/a> ont \u00e9galement \u00e9t\u00e9 compromises par une attaque de l\u2019\u00c9tat-nation.<\/p>\n<ol>\n<li>Cette violation, qui a d\u00e9but\u00e9 le 15 novembre 2023, a \u00e9t\u00e9 rendue possible gr\u00e2ce \u00e0 l&#8217;utilisation d&#8217;identifiants compromis qui n&#8217;avaient pas \u00e9t\u00e9 modifi\u00e9s suite \u00e0 une pr\u00e9c\u00e9dente violation chez Okta en octobre 2023. <\/li>\n<li>Les attaquants ont acc\u00e9d\u00e9 au wiki interne et \u00e0 la base de donn\u00e9es de bogues de Cloudflare, ce qui leur a permis d&#8217;afficher 120 r\u00e9f\u00e9rentiels de code dans l&#8217;instance Atlassian de Cloudflare.<\/li>\n<li>76 r\u00e9f\u00e9rentiels de codes sources li\u00e9s \u00e0 des technologies op\u00e9rationnelles cl\u00e9s ont \u00e9t\u00e9 potentiellement exfiltr\u00e9s.<\/li>\n<li>Cloudflare a d\u00e9tect\u00e9 l&#8217;auteur de la menace le 23 novembre, car celui-ci a connect\u00e9 un compte de service Smartsheet \u00e0 un groupe d&#8217;administrateurs dans Atlassian.<\/li>\n<\/ol>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">Guide de s\u00e9curit\u00e9 SaaS<\/span><a rel=\"nofollow noopener\" class=\"wn-head\" href=\"https:\/\/thn.news\/saas-security-report-2023\" target=\"_blank\"><\/p>\n<p>Votre \u00e9quipe de s\u00e9curit\u00e9 peut-elle surveiller les applications tierces\u00a0?  60\u00a0% des \u00e9quipes ne peuvent pas<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Vous pensez que votre s\u00e9curit\u00e9 SaaS est de premier ordre\u00a0?  Appomni a interrog\u00e9 plus de 600 praticiens de la s\u00e9curit\u00e9 mondiale, et 79 % des professionnels ont le m\u00eame sentiment \u2013 \u200b\u200bet pourtant, ils ont \u00e9t\u00e9 confront\u00e9s \u00e0 des incidents de cybers\u00e9curit\u00e9 !  Plongez dans les informations du rapport AppOmni 2023.<\/p>\n<p><a rel=\"nofollow noopener\" class=\"wn-button-2\" href=\"https:\/\/thn.news\/saas-security-report-2023\" target=\"_blank\">Apprenez comment vous pouvez<\/a><\/section>\n<h2>Les acteurs de la menace ciblent de plus en plus le SaaS <\/h2>\n<p>Ces violations font partie d&#8217;un sch\u00e9ma plus large d&#8217;acteurs \u00e9tatiques ciblant les fournisseurs de services SaaS, y compris, mais sans s&#8217;y limiter, l&#8217;espionnage et la collecte de renseignements.  Midnight Blizzard s&#8217;est d\u00e9j\u00e0 engag\u00e9 dans d&#8217;importantes cyberop\u00e9rations, notamment l&#8217;attaque SolarWinds de 2021. <\/p>\n<p>Ces incidents soulignent l&#8217;importance d&#8217;une surveillance continue de vos environnements SaaS et le risque continu pos\u00e9 par des cyber-adversaires sophistiqu\u00e9s ciblant les infrastructures critiques et la pile technologique op\u00e9rationnelle.  Ils mettent \u00e9galement en \u00e9vidence des vuln\u00e9rabilit\u00e9s importantes li\u00e9es \u00e0 la gestion des identit\u00e9s SaaS et la n\u00e9cessit\u00e9 de pratiques strictes de gestion des risques li\u00e9s aux applications tierces.<\/p>\n<p>Les attaquants utilisent des tactiques, techniques et proc\u00e9dures (TTP) courantes pour pirater les fournisseurs SaaS via la kill chain suivante\u00a0:<\/p>\n<ol>\n<li><strong>Acc\u00e8s initial<\/strong>:\u00a0Spray de mot de passe, d\u00e9tournement d&#8217;OAuth<\/li>\n<li><strong>Persistance<\/strong>:\u00a0usurpe l&#8217;identit\u00e9 de l&#8217;administrateur, cr\u00e9e un OAuth suppl\u00e9mentaire<\/li>\n<li><strong>\u00c9vasion de la d\u00e9fense<\/strong>: OAuth hautement privil\u00e9gi\u00e9, pas de MFA<\/li>\n<li><strong>Mouvement lat\u00e9ral<\/strong>: Compromis plus large des applications connect\u00e9es<\/li>\n<li><strong>Exfiltration de donn\u00e9es<\/strong>: R\u00e9cup\u00e9rez les donn\u00e9es privil\u00e9gi\u00e9es et sensibles des applications<\/li>\n<\/ol>\n<h2>Briser la cha\u00eene de destruction SaaS<\/h2>\n<p>Un moyen efficace de rompre rapidement la cha\u00eene de destruction consiste \u00e0 effectuer une surveillance continue, une application granulaire des politiques et une gestion proactive du cycle de vie sur vos environnements SaaS.  UN <a rel=\"nofollow noopener\" href=\"https:\/\/appomni.com\/what-is-saas-security-posture-management\/?utm_campaign=Midnight%20Blizzard%20Hacker%20News%20Article&amp;utm_source=The%20Hacker%20News&amp;utm_medium=02.13.14%20Article&amp;utm_content=text\" target=\"_blank\">Plateforme SaaS de gestion de la posture de s\u00e9curit\u00e9 (SSPM)<\/a> comme AppOmni peut aider \u00e0 d\u00e9tecter et \u00e0 alerter sur\u00a0:<\/p>\n<ul>\n<li><strong>Acc\u00e8s initial\u00a0: <\/strong>R\u00e8gles pr\u00eates \u00e0 l&#8217;emploi pour d\u00e9tecter la compromission des informations d&#8217;identification, notamment la pulv\u00e9risation de mots de passe, les attaques par force brute et les politiques MFA non appliqu\u00e9es.<\/li>\n<li><strong>Persistance<\/strong>:\u00a0Analysez et identifiez les autorisations OAuth et d\u00e9tectez le piratage OAuth<\/li>\n<li><strong>\u00c9vasion de la d\u00e9fense<\/strong>:\u00a0V\u00e9rifie la politique d&#8217;acc\u00e8s, d\u00e9tecte si un nouveau fournisseur d&#8217;identit\u00e9 (IdP) est cr\u00e9\u00e9, d\u00e9tecte les modifications d&#8217;autorisation.<\/li>\n<li><strong>Mouvement lat\u00e9ral:<\/strong> Surveillez les connexions et les acc\u00e8s privil\u00e9gi\u00e9s, d\u00e9tectez les combinaisons toxiques et comprenez le rayon d&#8217;action d&#8217;un compte potentiellement compromis.<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Incidents-de-cybersecurite-a-minuit-Blizzard-et-Cloudflare-Atlassian-ce-quil.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Incidents-de-cybersecurite-a-minuit-Blizzard-et-Cloudflare-Atlassian-ce-quil.png\" alt=\"Incidents de cybers\u00e9curit\u00e9 Cloudflare-Atlassian\" border=\"0\" data-original-height=\"681\" data-original-width=\"1311\" title=\"Incidents de cybers\u00e9curit\u00e9 Cloudflare-Atlassian\"\/><\/a><\/div>\n<p><i>Remarque\u00a0: Cet article r\u00e9dig\u00e9 par des experts est r\u00e9dig\u00e9 par Beverly Nevalga, AppOmni.<\/i><\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? <span class=\"\">Cet article est une contribution de l\u2019un de nos pr\u00e9cieux partenaires.<\/span> Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/midnight-blizzard-and-cloudflare.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 f\u00e9vrier 2024\ue804L&#8217;actualit\u00e9 des hackersS\u00e9curit\u00e9 SaaS \/ Violation de donn\u00e9es Les incidents de cybers\u00e9curit\u00e9 de Midnight Blizzard et Cloudflare-Atlassian ont sonn\u00e9 l&#8217;alarme sur les vuln\u00e9rabilit\u00e9s inh\u00e9rentes aux principales plateformes SaaS. Ces incidents illustrent les enjeux li\u00e9s aux violations SaaS : prot\u00e9ger l\u2019int\u00e9grit\u00e9 des applications SaaS et de leurs donn\u00e9es sensibles est essentiel mais n\u2019est pas [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1146878,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,12085,229721,4168,4165,4161,200267,6002,1144,14268,4159,4171,200271,55624,200268,200269,200270,495,5585,128318,4172,4169,4166,4164],"class_list":["post-1146877","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-blizzard","tag-cloudflareatlassian","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-cybersecurite","tag-faut","tag-incidents","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-minuit","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-quil","tag-savoir","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1146877","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1146877"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1146877\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1146878"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1146877"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1146877"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1146877"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}