Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La brèche d’Okta par Lapsus$ révèle que les organisations ne sont pas aussi matures qu’elles le pensent, dit MyCena

avril 2022 par MyCena Security Solutions

Début mars 2022, l’entreprise de sécurité d’authentification Okta a signalé une tentative de compromission en janvier d’un compte support client géré par l’entreprise Sitel, affirmant que l’incident avait fait l’objet d’une enquête et avait été contenu. David Bradbury, CSO d’Okta, a admis plus tard que jusqu’à 366 clients ont pu être compromis dans l’attaque, s’excusant de ne pas avoir informé les clients plus tôt.

Cette compromission est le travail du groupe de pirates informatiques Lapsus$, qui a gagné leur notoriété par une frénésie de cyberattaques en quatre mois, divulguant des données de sociétés technologiques de haut rang telles que Nvidia, Samsung, Ubisoft et même Microsoft.

Aucun des milliards de dollars dépensés jusqu’à présent en cybersécurité n’empêche les méthodes « low-tech » de vol d’accès utilisées par Lapsus$ : ingénierie sociale, hameçonnage de mots de passe ou simplement payer les employés pour leurs informations d’accès afin de réinitialiser les mots de passe et l’authentification multi-facteur (MFA).

Ce qui est plus préoccupant encore, c’est la facilité et la profondeur de la pénétration à partir d’un seul incident ; le groupe affirme avoir obtenu l’accès à 95% des 15 000 clients d’Okta. Dans son enquête, Mandiant a rapporté que le groupe avait accédé à un fichier sur le réseau interne de Sitel nommé « DomAdmins-LastPass.xlsx », suggérant une liste de mots de passe de comptes d’administrateur de domaine exportés à partir d’un gestionnaire de mots de passe LastPass.

Julia O’Toole, fondatrice et PDG de MyCena Security Solutions, estime que cette attaque expose l’immaturité des modèles de contrôle des accès et de cyber-résilience des entreprises.

« En donnant aux employés le droit de créer et de connaître leurs mots de passe au travail, les entreprises ont involontairement confié leur cybersécurité à leurs employés et se sont exposées à des erreurs humaines, à des vols potentiels et à des fraudes internes. Les criminels n’ont pas besoin de pirater, ils se connectent tout simplement, sachant que neuf violations sur dix utilisent un mot de passe légitime », explique O’Toole.

« L’utilisation courante de l’accès unique (SSO, IAM, PAM) exacerbe encore l’impact de toute brèche, en facilitant le passage d’une entreprise à l’autre dans une attaque de la chaîne d’approvisionnement, comme l’a illustré Lapsus$ en passant de Sitel à Okta aux clients d’Okta en quelques heures. Une fois à l’intérieur d’un réseau, les criminels peuvent analyser et exfiltrer les données les plus précieuses, détruire les sauvegardes et déployer un ransomware. Ce modèle de flux d’accès « sans obstacle » prive les entreprises de toute cyber-résilience. »

O’Toole estime que cette culture de transfert de la gestion des risques d’accès aux employés et de centralisation des accès en un seul point doit être reconnue comme extrêmement dangereuse pour la sécurité et interdite. « Avec tant d’infiltrations pas encore découvertes, vous ne saurez peut-être même pas que vous êtes en danger jusqu’à ce qu’il soit trop tard. Votre accès a peut-être déjà été compromis par quelqu’un d’autre qui ne sait pas non plus qu’il a été compromis.

« Dans le monde physique, les entreprises donnent des clés, des badges et des cartes aux employés pour accéder aux locaux physiques et les reprennent lorsque les employés quittent l’entreprise. Dans le monde numérique, contre tout bon sens, ce processus a été inversé, les employés apportant de fait leurs propres « clés » (mots de passe) pour accéder aux locaux numériques de l’entreprise. Cette perte auto-infligée du contrôle des accès a privé les entreprises de la cybersécurité, de la confidentialité et du contrôle des données les plus élémentaires.

« Pendant des années, les entreprises ont défendu leurs compromissions comme découlant d’attaques sophistiquées. Elles ont ainsi investi tout leur budget de cybersécurité à la périphérie, de la surveillance des menaces à la gestion post-crise, plutôt que d’investir dans l’amélioration de la sécurité et du contrôle des accès de l’intérieur. Ce groupe de pirates adolescents peu sophistiqué a finalement mis en lumière l’inefficacité des programmes de cybersécurité des entreprises. »

« Il est donc d’une importance vitale pour les entreprises de mettre le contrôle des accès et la segmentation au cœur de leur stratégie de sécurité. Les entreprises qui segmentent les accès de l’ensemble de leur infrastructure numérique et distribuent des mots de passe chiffrés uniques et forts à leurs employés éliminent les risques de partage non autorisé, de vol ou d’hameçonnage de mots de passe. Elles reprennent également la gestion des risques d’accès des mains de leurs employés, qui n’ont plus besoin de créer, de mémoriser ou de taper des mots de passe. »

« Grâce à la segmentation des accès et à des mots de passe forts uniques pour chaque porte numérique, si un système est compromis, par exemple lors d’une attaque de la chaîne d’approvisionnement, la brèche est contenue. Sans point de défaillance unique, le reste du réseau reste en sécurité, ce qui limite ce à quoi les criminels peuvent accéder et éloigne les risques de ransomware. »


Voir les articles précédents

    

Voir les articles suivants