Après que le collectif de hackers ShinyHunters a profité de configurations « trop permissives » des utilisateurs invités de Salesforce pour accéder aux données de près de 400 organisations, comment les entreprises peuvent-elles renforcer leur résilience ?
Par Kate O'Flaherty
En mars, Salesforce a publié un avertissement aux clients que le Collectif de hackers ShinyHunters Il profitait des erreurs de configuration sur les sites Experience Cloud accessibles au public pour accéder à des données sensibles et prendre des entreprises en otage.
Les attaquants ont apparemment utilisé comme arme une version modifiée d'un outil open-source AuraInspecteur, initialement développé par Mandiant, pour effectuer des analyses de masse et trouver des failles de configuration afin d'attaquer jusqu'à 400 organisations.
Dans le cadre du framework Salesforce Aura, conçu pour identifier les erreurs de configuration de sécurité sur les sites Experience Cloud, les attaquants ont créé une version de l'outil « capable d'aller au-delà de la simple identification et d'extraire des données », a averti Salesforce dans un communiqué. consultatif.
« Voici le mode opératoire des attaquants modernes », explique Dean Garvey-North, directeur technique de Microlise. « Utiliser des outils légitimes, cibler les faiblesses de configuration plutôt que les vulnérabilités de la plateforme et opérer à l’échelle d’Internet. »
Salesforce n'était pas responsable de l'incident, car des adversaires ont exploité les failles de sécurité des clients ayant des paramètres d'utilisateur invité trop permissifs. Cet incident illustre parfaitement comment la configuration du cloud, l'exposition des identités et les modèles de responsabilité partagée créent des zones de risque nouvelles et souvent mal comprises.
Comment les organisations peuvent-elles réduire leur exposition et renforcer leur résilience dans les environnements cloud où le risque réside souvent dans l'écart entre les capacités de la plateforme et la configuration du client ?
Erreurs de configuration
Comme le démontre l'incident Salesforce, les erreurs de configuration, notamment en ce qui concerne l'accès invité et les autorisations d'identité, restent une source persistante d'exposition des données.
Les erreurs de configuration persistent car les organisations privilégient souvent la facilité d'utilisation et le déploiement numérique rapide au détriment de la sécurité. Cela confère involontairement à des utilisateurs externes non authentifiés de larges autorisations d'accès aux données internes, au lieu d'appliquer strictement une politique de sécurité. modèle d’accès « moindre privilège », déclare Dray Agha, responsable principal des opérations de sécurité chez Huntress.
Selon Garvey-North de Microlise, l'ergonomie et la sécurité sont intrinsèquement liées, et les décisions de configuration prises lors de la mise en œuvre sont rarement réexaminées. « Les portails Salesforce Experience Cloud utilisent un profil utilisateur invité dédié qui permet aux visiteurs non authentifiés de consulter des pages publiques ou de soumettre des formulaires sans se connecter. Lorsqu'un profil est mal configuré avec des autorisations excessives, des données non destinées à être publiques deviennent directement accessibles, sans qu'aucune authentification ne soit requise. »
Le problème est structurel, explique Garvey-North. « Les plateformes sont livrées avec des paramètres par défaut permissifs afin de faciliter l'intégration des nouveaux clients. Les équipes de mise en œuvre optimisent le processus pour que tout fonctionne correctement. Les audits de sécurité sont effectués ponctuellement. »
Mais la configuration du cloud n'est pas statique : « Chaque nouveau portail, intégration ou déploiement de fonctionnalité représente une nouvelle surface d'exposition potentielle », souligne Garvey-North. « Sans surveillance continue de la configuration, vous partez du principe que rien n'a évolué depuis votre dernier audit. »
À qui la faute?
Salesforce est un exemple de la façon dont les fonctionnalités conçues pour faciliter l'utilisation, telles que les portails publics, les API et l'accès invité, introduisent des risques de sécurité nouveaux et souvent sous-estimés.
Ces fonctionnalités modifient souvent les hypothèses de sécurité traditionnelles, explique Dana Simberkoff, responsable des risques, de la confidentialité et de la sécurité de l'information chez AvePoint. « Une conception axée sur l'ergonomie transfère souvent le risque, discrètement, de la plateforme au client. »
Il peut alors s'avérer difficile de déterminer où se situe la responsabilité entre les fournisseurs de services cloud et les clients, surtout lorsque les incidents proviennent de problèmes de configuration plutôt que de vulnérabilités de la plateforme elle-même.
Les auteurs de l'attaque ont affirmé qu'une « limitation de Salesforce » était à l'origine de l'incident. Pourtant, Salesforce a été clair : il ne s'agit pas d'une vulnérabilité de la plateforme, mais d'un problème de configuration des autorisations des utilisateurs invités par les clients, explique Garvey-North.
Fournisseurs de cloud La plateforme est sécurisée, mais la configuration (identité, autorisations et exposition des données) incombe aux clients. « C’est là que la plupart des organisations échouent », explique Stew Parkin, directeur technique mondial d’Assured Data Protection. « Elles finissent par se fier à des audits ponctuels dans des environnements en constante évolution. »
« Le modèle de responsabilité partagée est bien établi en théorie, mais constamment mal compris en pratique », ajoute Garvey-North de Microlise. « Les fournisseurs de cloud sécurisent l'infrastructure et la plateforme. Les clients sont responsables des données qu'ils y déposent, de la configuration des accès et de la gouvernance de cette infrastructure. Le problème, et le principal point faible aujourd'hui, réside dans la couche de configuration. »
Automatisation des attaques
Dans le même temps, les attaquants développent leurs compétences, utilisant l'automatisation et des outils légitimes pour identifier et exploiter simultanément les failles de sécurité de centaines d'organisations. Le directeur technique de Mandiant confirmé Shiny Hunters utilisait AuraInspector pour automatiser les analyses de vulnérabilité à grande échelle dans les environnements Salesforce.
« Lorsque les spécialistes de la défense réfléchissent aux risques liés au cloud, ils ont encore tendance à raisonner en termes d'incidents individuels », explique Garvey-North.
Mais les attaquants raisonnent en termes de surface d'attaque. « Toute faille de configuration présente dans des milliers d'organisations peut être exploitée à grande échelle grâce à une simple campagne automatisée », explique Garvey-North.
Parallèlement, des tactiques telles que les fuites orchestrées et les campagnes de vishing amplifient l'impact de ce type d'incidents.
ShinyHunters a fixé un ultimatum public, avertissant que les données volées seraient divulguées si les victimes ne cédaient pas aux demandes d'extorsion.
Le groupe a mené des opérations de vishing parallèles, se faisant passer pour du personnel informatique et dirigeant les employés vers des sites de collecte d'identifiants pour capturer les identifiants d'authentification unique et authentification multifacteur (MFA) codes. Cette combinaison est délibérée, explique Garvey-North : « Voler des données via une mauvaise configuration, récupérer des identifiants par ingénierie sociale, puis extorquer en utilisant les deux. »
Cette situation survient dans un contexte de renforcement des exigences réglementaires en matière de protection des données, de contrôle d'accès et de responsabilité. Avec l'adoption de lois sur la protection des données dans de nombreux pays et la multiplication des recours collectifs, la prévention de la divulgation des données est désormais souvent le principal facteur motivant le paiement des demandes d'extorsion.
« Bien que cela soit clairement déconseillé, il est souvent moins coûteux de payer pour empêcher la divulgation des données que de faire face aux amendes et aux frais juridiques qui découlent de cette divulgation », explique Tony Gee, consultant principal en cybersécurité chez 3B Data Security.
Combler le fossé de visibilité
Des incidents tels que les attaques contre Salesforce mettent en lumière un défi persistant : les organisations dépendent de plus en plus des plateformes cloud, mais la responsabilité en matière de sécurité est distribuée et pas toujours clairement comprise.
Les entreprises doivent dépasser l'idée que la sécurité des plateformes cloud est suffisante et adopter une approche plus continue et systémique de la gestion de la configuration, de la gouvernance des identités et de l'assurance.
La sécurité traditionnelle repose en grande partie sur des audits statiques et ponctuels qui « passent complètement à côté des dérives de configuration subtiles et continues et des expositions d'API qui caractérisent les risques du cloud moderne », explique Agha de Huntress.
Cela crée « un dangereux manque de visibilité où des fonctionnalités légitimes sont discrètement détournées », prévient-il.
Dans cette optique, les responsables de la sécurité et de la conformité devraient prendre certaines mesures pratiques pour améliorer la visibilité et le contrôle des paramètres d'identité, d'accès et de configuration.
Les dirigeants doivent adopter une posture de sécurité « privée par défaut » en auditant activement les autorisations des profils invités externes, en désactivant l'accès API public non authentifié sauf en cas de stricte nécessité et en mettant en œuvre une surveillance continue des journaux d'événements pour détecter les requêtes de données anormales, selon Agha.
« Soyez extrêmement vigilant quant à l’infrastructure utilisée et partez du principe que le fournisseur n’a pas mis en place de mesures de sécurité par défaut », conseille-t-il. « Examinez les options de sécurité disponibles dans la configuration des outils tiers. »
Selon Gee de 3B Data Security, une vigilance accrue à l'égard des fournisseurs et une gestion continue des risques liés aux tiers constituent un levier de défense essentiel. Il recommande le principe du moindre privilège en matière de partage de données, en ne communiquant au tiers que les données nécessaires.
Garvey-North de Microlise conseille de poser aux fournisseurs les questions que vous poseriez à votre propre infrastructure : « Quelles sont vos configurations de sécurité par défaut, comment détectez-vous les accès anormaux au niveau de la plateforme et à quoi ressemble votre processus de divulgation lorsqu’un problème survient ? »
Par ailleurs, selon Gee, disposer d'un processus de réponse efficace est essentiel pour limiter les risques d'amendes et de poursuites judiciaires. « Démontrer une forte résilience cybernétique s'avère être un facteur déterminant dans le montant des amendes. Ne rien faire et se fier aux arguments marketing attrayants de tiers ne constitue pas une défense valable et conduit souvent à des amendes plus importantes et à des recours collectifs faciles à gagner. »
Parallèlement, des cadres tels que ISO 27001 Selon Agha, cela permet de transformer la sécurité du cloud, d'une simple option à cocher une fois pour toutes, en un processus continu qui aligne les environnements complexes sur des normes de résilience.
Dans les environnements numériques complexes, la norme ISO 27001 apporte une réelle valeur ajoutée en clarifiant les enjeux organisationnels : qui est responsable de chaque contrôle, à quoi ressemble un risque acceptable et comment les incidents sont-ils gérés et comment en tirer des enseignements ? explique Garvey-North. « Cette structure de gouvernance fait le lien entre vos compétences en ingénierie de sécurité et votre appétit pour le risque au niveau de la direction. Sans elle, vous disposez d’outils sans responsabilisation. »
Élargissez vos connaissances
Webinaire (anglais seulement): La puissance des normes ISO 27017 et 27018 : sécuriser votre environnement cloud
