{"id":1196139,"date":"2024-06-12T11:25:58","date_gmt":"2024-06-12T13:25:58","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lecons-de-la-violation-ticketmaster-snowflake\/"},"modified":"2024-06-12T11:26:02","modified_gmt":"2024-06-12T13:26:02","slug":"lecons-de-la-violation-ticketmaster-snowflake","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lecons-de-la-violation-ticketmaster-snowflake\/","title":{"rendered":"Le\u00e7ons de la violation Ticketmaster-Snowflake"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Lecons-de-la-violation-Ticketmaster-Snowflake.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La semaine derni\u00e8re, le c\u00e9l\u00e8bre gang de hackers ShinyHunters a envoy\u00e9 une onde de choc \u00e0 travers le monde en pillant pr\u00e9tendument 1,3 t\u00e9raoctets de donn\u00e9es de 560 millions d&#8217;utilisateurs de Ticketmaster.  Cette violation colossale, d&#8217;un co\u00fbt de 500 000 $, pourrait r\u00e9v\u00e9ler les informations personnelles d&#8217;une grande partie de la client\u00e8le de la soci\u00e9t\u00e9 d&#8217;\u00e9v\u00e9nements en direct, d\u00e9clenchant une temp\u00eate d&#8217;inqui\u00e9tude et d&#8217;indignation. <\/p>\n<h2 style=\"text-align: left;\">Une violation massive des donn\u00e9es <\/h2>\n<p>Passons en revue les faits.  Live Nation a officiellement confirm\u00e9 la violation dans un dossier 8-K aupr\u00e8s de la SEC.  Selon le <a rel=\"nofollow noopener\" href=\"https:\/\/www.sec.gov\/Archives\/edgar\/data\/1335258\/000133525824000081\/lyv-20240520.htm\" target=\"_blank\">document<\/a> publi\u00e9 le 20 mai, la soci\u00e9t\u00e9 \u00ab a identifi\u00e9 une activit\u00e9 non autoris\u00e9e au sein d&#8217;un environnement de base de donn\u00e9es cloud tiers contenant des donn\u00e9es de la soci\u00e9t\u00e9 \u00bb, principalement de la filiale Ticketmaster.  Le dossier affirme que Live Nation a lanc\u00e9 une enqu\u00eate et coop\u00e8re avec les forces de l&#8217;ordre.  Pour l\u2019instant, l\u2019entreprise ne pense pas que cette violation aura un impact significatif sur ses op\u00e9rations commerciales. <\/p>\n<p>Il convient de noter que le m\u00eame groupe de pirates informatiques propose \u00e9galement des donn\u00e9es pr\u00e9tendument provenant de Santander.  Selon ces all\u00e9gations, les donn\u00e9es vol\u00e9es contiennent des informations confidentielles appartenant \u00e0 des millions d&#8217;employ\u00e9s et de clients de Santander.  La banque a confirm\u00e9 qu&#8217;\u00ab une base de donn\u00e9es h\u00e9berg\u00e9e par un fournisseur tiers \u00bb avait \u00e9t\u00e9 consult\u00e9e, entra\u00eenant des fuites de donn\u00e9es pour des clients au Chili, en Espagne et en Uruguay, ainsi que pour tous les employ\u00e9s actuels et certains anciens de Santander. <\/p>\n<h2 style=\"text-align: left;\">La connexion cloud <\/h2>\n<p>Ce qui pourrait relier ces deux violations est la soci\u00e9t\u00e9 de donn\u00e9es cloud Snowflake, qui compte parmi ses utilisateurs Santander et Live Nation\/Ticketmaster. <a rel=\"nofollow noopener\" href=\"https:\/\/techcrunch.com\/2024\/05\/31\/live-nation-confirms-ticketmaster-was-hacked-says-personal-information-stolen-in-data-breach\/\" target=\"_blank\">Ticketmaster a confirm\u00e9 que la base de donn\u00e9es vol\u00e9e \u00e9tait h\u00e9berg\u00e9e par Snowflake<\/a>. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2024\/06\/03\/snowflake-recommends-customers-take-steps-prevent-unauthorized-access\" target=\"_blank\">Snowflake a publi\u00e9 un avertissement avec CISA<\/a>, indiquant une \u00ab augmentation r\u00e9cente des activit\u00e9s de cybermenace ciblant les comptes clients sur sa plate-forme de donn\u00e9es cloud \u00bb.  Snowflake a recommand\u00e9 aux utilisateurs d&#8217;interroger les journaux de la base de donn\u00e9es pour d\u00e9tecter toute activit\u00e9 inhabituelle et d&#8217;effectuer une analyse plus approfondie pour emp\u00eacher tout acc\u00e8s non autoris\u00e9 aux utilisateurs. <\/p>\n<p>Dans un communiqu\u00e9 s\u00e9par\u00e9, le RSSI de Snowflake, Brad Jones, a clairement indiqu\u00e9 que le syst\u00e8me Snowflake lui-m\u00eame n&#8217;avait pas \u00e9t\u00e9 viol\u00e9.  Selon Jones, &#8220;il semble s&#8217;agir d&#8217;une campagne cibl\u00e9e destin\u00e9e aux utilisateurs disposant d&#8217;une authentification \u00e0 un seul facteur&#8221;, et les acteurs malveillants ont exploit\u00e9 les informations d&#8217;identification pr\u00e9c\u00e9demment obtenues par diverses m\u00e9thodes. <\/p>\n<p>Snowflake a \u00e9galement r\u00e9pertori\u00e9 quelques recommandations pour tous les clients, comme l&#8217;application de l&#8217;authentification multifacteur (MFA) sur tous les comptes, la configuration de r\u00e8gles de politique r\u00e9seau pour autoriser l&#8217;acc\u00e8s \u00e0 l&#8217;environnement cloud uniquement \u00e0 partir d&#8217;emplacements de confiance pr\u00e9d\u00e9finis, et la r\u00e9initialisation et la rotation des informations d&#8217;identification Snowflake. <\/p>\n<h2 style=\"text-align: left;\">Simplifier la cybers\u00e9curit\u00e9 <\/h2>\n<p>Nous avons tendance \u00e0 id\u00e9aliser la cybers\u00e9curit\u00e9 \u2013 et il s\u2019agit d\u2019une discipline informatique incroyablement difficile et complexe.  Cependant, tous les d\u00e9fis en mati\u00e8re de cybers\u00e9curit\u00e9 ne sont pas aussi difficiles.  Les conseils propos\u00e9s par Snowflake soulignent vraiment ce point\u00a0: la MFA est indispensable.  Il s\u2019agit d\u2019un outil incroyablement efficace contre toute une s\u00e9rie de cyberattaques, notamment <a rel=\"nofollow noopener\" href=\"https:\/\/www.oneidentity.com\/learn\/what-is-credential-stuffing.aspx\" target=\"_blank\">bourrage d&#8217;informations d&#8217;identification<\/a>. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.mitiga.io\/blog\/tactical-guide-to-threat-hunting-in-snowflake-environments\" target=\"_blank\">Recherche effectu\u00e9e par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud Mitiga<\/a> affirme que les incidents Snowflake font partie d&#8217;une campagne dans laquelle un acteur malveillant utilise les informations d&#8217;identification client vol\u00e9es pour cibler les organisations utilisant les bases de donn\u00e9es Snowflake.  Selon l&#8217;\u00e9tude publi\u00e9e, \u00ab l&#8217;auteur de la menace a principalement exploit\u00e9 des environnements d\u00e9pourvus d&#8217;authentification \u00e0 deux facteurs \u00bb et les attaques provenaient g\u00e9n\u00e9ralement d&#8217;adresses IP VPN commerciales. <\/p>\n<p>Les politiques ne sont efficaces que dans la mesure o\u00f9 elles sont mises en \u0153uvre et appliqu\u00e9es.  Des technologies telles que l\u2019authentification unique d\u2019entreprise (SSO) et la MFA sont peut-\u00eatre en place, mais ne sont pas v\u00e9ritablement appliqu\u00e9es dans tous les environnements et utilisateurs.  Il ne devrait y avoir aucune possibilit\u00e9 que les utilisateurs puissent encore s&#8217;authentifier \u00e0 l&#8217;aide d&#8217;un nom d&#8217;utilisateur\/mot de passe en dehors du SSO pour acc\u00e9der \u00e0 une ressource de l&#8217;entreprise.  Il en va de m\u00eame pour la MFA\u00a0: au lieu de l\u2019auto-inscription, elle devrait \u00eatre obligatoire pour tous les utilisateurs sur tous les syst\u00e8mes et tous les environnements, y compris les services cloud et tiers. <\/p>\n<h2 style=\"text-align: left;\">Avez-vous le contr\u00f4le total ? <\/h2>\n<p><em>Il n&#8217;y a pas de cloud, c&#8217;est juste l&#8217;ordinateur de quelqu&#8217;un d&#8217;autre<\/em>, comme le dit le vieil adage.  Et m\u00eame si vous (et votre organisation) b\u00e9n\u00e9ficiez d&#8217;un large acc\u00e8s aux ressources de cet ordinateur, cet acc\u00e8s n&#8217;est finalement jamais complet, une limitation inh\u00e9rente au cloud computing.  Les technologies cloud multi-locataires permettent de r\u00e9aliser des \u00e9conomies d&#8217;\u00e9chelle en limitant ce qu&#8217;un seul client peut faire sur cet \u00ab ordinateur \u00bb, et cela inclut parfois la possibilit\u00e9 de mettre en \u0153uvre la s\u00e9curit\u00e9. <\/p>\n<p>Un bon exemple est la rotation automatique des mots de passe.  Les outils modernes de gestion des acc\u00e8s privil\u00e9gi\u00e9s tels que One Identity Safeguard peuvent supprimer les mots de passe apr\u00e8s utilisation.  Cela les rend effectivement \u00e0 usage unique et immunise l\u2019environnement contre les attaques de credential stuffing, mais \u00e9galement contre les menaces plus sophistiqu\u00e9es comme les enregistreurs de frappe, qui ont \u00e9t\u00e9 utilis\u00e9s dans le hack LastPass.  Cependant, l&#8217;API qui fournit cette fonctionnalit\u00e9 doit \u00eatre pr\u00e9sente.  Snowflake fournit l&#8217;interface permettant de mettre \u00e0 jour les mots de passe des utilisateurs. Il appartenait donc au client de l&#8217;utiliser et de faire pivoter les mots de passe en fonction de l&#8217;utilisation ou du temps. <\/p>\n<p>Lorsque vous choisissez o\u00f9 h\u00e9berger les donn\u00e9es critiques pour votre entreprise, assurez-vous que la plateforme propose ces API via <a rel=\"nofollow noopener\" href=\"https:\/\/www.oneidentity.com\/what-is-privileged-identity-management\/\" target=\"_blank\">gestion des identit\u00e9s privil\u00e9gi\u00e9es<\/a> et vous permet d&#8217;int\u00e9grer le nouvel environnement sous l&#8217;\u00e9gide de la s\u00e9curit\u00e9 de votre entreprise.  MFA, SSO, rotation des mots de passe et journalisation centralis\u00e9e devraient tous \u00eatre des exigences de base dans ce paysage de menaces, car ces fonctionnalit\u00e9s permettent au client de prot\u00e9ger les donn\u00e9es de son c\u00f4t\u00e9. <\/p>\n<h2 style=\"text-align: left;\">L&#8217;identit\u00e9 non humaine <\/h2>\n<p>Un aspect unique de la technologie moderne est la <a rel=\"nofollow noopener\" href=\"https:\/\/www.oneidentity.com\/webcast-ondemand\/securing-and-managing-non-human-identities\/\" target=\"_blank\">identit\u00e9 non humaine<\/a>.  Par exemple, les outils RPA (automatisation des processus robotiques) ainsi que les comptes de service sont fiables pour effectuer certaines t\u00e2ches sur la base de donn\u00e9es.  La protection de ces identit\u00e9s constitue un d\u00e9fi int\u00e9ressant, car les m\u00e9canismes hors bande tels que les notifications push ou les jetons TOTP ne sont pas r\u00e9alisables pour les cas d&#8217;utilisation de comptes de service. <\/p>\n<p>Les comptes non humains sont des cibles pr\u00e9cieuses pour les attaquants car ils disposent g\u00e9n\u00e9ralement d\u2019autorisations tr\u00e8s puissantes pour effectuer leurs t\u00e2ches.  La protection de leurs identifiants doit toujours \u00eatre une priorit\u00e9 pour les \u00e9quipes de s\u00e9curit\u00e9.  Snowflake utilise une multitude de comptes de service pour exploiter la solution, et <a rel=\"nofollow noopener\" href=\"https:\/\/www.snowflake.com\/blog\/snowflake-service-account-securitypart-1\/\" target=\"_blank\">d\u00e9velopp\u00e9 une s\u00e9rie d&#8217;articles de blog<\/a> sur la fa\u00e7on de prot\u00e9ger ces comptes et leurs informations d&#8217;identification. <\/p>\n<h2 style=\"text-align: left;\">Tout est question de co\u00fbt <\/h2>\n<p>Les cybercriminels ont une logique extr\u00eamement simple : maximiser leurs profits en automatisant les attaques de masse et cibler de larges groupes de victimes avec des m\u00e9thodes simples mais efficaces.  Les attaques par credential stuffing, comme le type d\u2019attaque utilis\u00e9 contre les locataires de Snowflake, sont l\u2019une des m\u00e9thodes d\u2019attaque les moins ch\u00e8res \u2013 l\u2019\u00e9quivalent en 2024 du spam par courrier \u00e9lectronique.  Et compte tenu de son faible co\u00fbt, il devrait \u00eatre presque inefficace \u00e0 100 %.  Le fait qu\u2019au moins deux grandes organisations aient perdu une quantit\u00e9 importante de donn\u00e9es critiques dresse un sombre tableau de l\u2019\u00e9tat actuel de la cybers\u00e9curit\u00e9 mondiale. <\/p>\n<h2 style=\"text-align: left;\">Conclusion <\/h2>\n<p>En mettant en \u0153uvre des contr\u00f4les simples comme le SSO, la MFA et la rotation des mots de passe, le co\u00fbt des attaques \u00e0 grande \u00e9chelle devient prohibitif.  Bien que cela ne signifie pas que les attaques cibl\u00e9es ne r\u00e9ussiront pas ou que les attaques par des menaces persistantes avanc\u00e9es (APT) \u00e0 but non lucratif seront compl\u00e8tement dissuad\u00e9es, cela rend les attaques massives sur ce vecteur d&#8217;attaque irr\u00e9alisables, rendant tout le monde un peu plus en s\u00e9curit\u00e9. <\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/lessons-from-ticketmaster-snowflake.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La semaine derni\u00e8re, le c\u00e9l\u00e8bre gang de hackers ShinyHunters a envoy\u00e9 une onde de choc \u00e0 travers le monde en pillant pr\u00e9tendument 1,3 t\u00e9raoctets de donn\u00e9es de 560 millions d&#8217;utilisateurs de Ticketmaster. Cette violation colossale, d&#8217;un co\u00fbt de 500 000 $, pourrait r\u00e9v\u00e9ler les informations personnelles d&#8217;une grande partie de la client\u00e8le de la soci\u00e9t\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1196140,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4168,4165,4161,200267,4159,4171,4696,200271,200268,200269,200270,128318,4172,4169,235539,899,4166,4164],"class_list":["post-1196139","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-lecons","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-ticketmastersnowflake","tag-violation","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1196139","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1196139"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1196139\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1196140"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1196139"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1196139"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1196139"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}