Recherche

Man in the Cloud (MitC) : quatre parades contre une nouvelle génération de cyberattaques

Ce nouveau type d'attaque vise à accéder aux comptes des victimes sans avoir à obtenir au préalable des informations d'identité compromises, les rendant virtuellement indécelables par les moyens classiques.

Publié par le - mis à jour à
Lecture
6 min
  • Imprimer
Man in the Cloud (MitC) : quatre parades contre une nouvelle génération de cyberattaques

C'est un fait?: la popularité du cloud a considérablement augmenté ces dernières années. Un nombre croissant d'entreprises tire parti de ces nouvelles possibilités d'accès aux données à tout moment et en tout lieu pour améliorer leur productivité et leur fonctionnement au quotidien.

Cependant, la croissance des services Cloud n'est pas passée inaperçue par des entités malveillantes, donnant lieu à une nouvelle génération de cyberattaques.

Une tactique malveillante qui est devenue assez répandue ces dernières années est connue sous le nom d'attaque Man in the Cloud (MitC). Ce nouveau type d'attaque vise à accéder aux comptes des victimes sans avoir à obtenir au préalable des informations d'identité compromises, les rendant virtuellement indécelables par les moyens classiques. Or c'est là que réside le danger. Cet article détaille l'anatomie des attaques MitC et propose des conseils pratiques pour se défendre.

Pour accéder aux comptes cloud de leurs victimes, les attaques Man in the Cloud (MitC) tirent parti du mécanisme de jeton OAuth utilisé par les applications cloud, pourtant préconisé et réputé pour pour assurer un niveau de sécurité convenable. De fait, la majorité des services Cloud courants (Dropbox, Microsoft OneDrive, Google Drive, etc.) sauvegardent l'un de ces jetons sur le terminal de l'utilisateur une fois l'authentification initiale finalisée.

Ceci est fait pour en simplifier l'accès?: les utilisateurs n'ont ainsi pas l'obligation de saisir leur mot de passe chaque fois qu'ils tentent d'accéder à une application s'ils disposent déjà d'un jeton OAuthvalide.

Cependant, la nature des services cloud, lesquels sont accessibles à tout moment et en tout lieu signifie que le même jeton peut accorder un accès autorisé depuis n'importe quel appareil.

En tant que tel, si un attaquant peut accéder à un jeton et le copier, il peut infiltrer le cloud de la victime à distance, et ce de manière réelle et en contournant les mesures de sécurité.

Selon Minerva, l'équipe de recherche qui a découvert les attaques MitC, le moyen le plus simple d'accéder à un jeton consiste à recourir à l'ingénierie sociale. Cela implique d'inciter la victime à exécuter des outils malveillants spécialement conçus, tels que Switcher, généralement envoyés par voie de courrier électronique.

Une fois exécuté sur l'appareil de la victime, ce logiciel malveillant installé un nouveau jeton (appartenant à un nouveau compte créé par l'attaquant) et déplace le véritable jeton de la victime dans un dossier de synchronisation dans le cloud.

Ensuite, lors de la prochaine synchronisation de l'appareil de la victime, les données de la victime sont synchronisées sur le compte de l'attaquant. En outre, le jeton du compte d'origine est révélé à l'attaquant. À ce stade, le logiciel malveillant copie le jeton de compte d'origine sur la machine de la victime et efface le code malveillant, en supprimant toute trace de la faille de sécurité et en laissant à l'attaquant un accès complet au compte de la victime et ce depuis n'importe quel périphérique.

La nature de l'attaque MitC rend très difficile la prévention avec des mesures de sécurité conventionnelles telles que la protection des terminaux et du périmètre du système d'information. Cependant, les entreprises peuvent adopter plusieurs mesures pour réduire considérablement (voire même éliminer) les chances de devenir victime d'une attaque MitC.

L'une des mesures de sécurité les plus efficaces est aussi l'une des plus simples. Comme mentionné ci-dessus, les attaques MitC reposent sur l'ingénierie sociale pour réussir.

Heureusement, un employé vigilant bien formé est beaucoup moins susceptible de cliquer sur un lien malveillant ou une pièce jointe suspecte dans un e-mail de phishing.

Les organisations soucieuses de la sécurité doivent organiser régulièrement des formations avec tous leurs employés afin de garder la sécurité à l'esprit et de s'assurer qu'elles connaissent les signes avant-coureurs d'une tentative d'attaque.

Bien que le chiffrement ne puisse empêcher la survenue d'une attaque MitC, il peut empêcher les atteintes à la sécurité des données. À condition que les clés de chiffrement ne soient pas également stockées dans le service cloud ciblé, toutes les données accessibles via une attaque MitC resteraient chiffrées pour l'attaquant.

Cela signifie que les informations volées seraient indéchiffrables et inutilisables pour l'attaquant.

L'authentification multi-facteurs (MFA) est un autre moyen simple mais efficace de réduire le risque d'attaques MitC. Cette fonctionnalité d'authentification est disponible auprès des principaux services cloud (tels qu'Office 365) ainsi que depuis des solutions de sécurité spécialisées conçues pour vérifier l'identité des utilisateurs sur l'ensemble des ressources cloud de l'entreprise.

La MFA ajoute une couche de sécurité supplémentaire qui peut facilement contrecarrer un attaquant MitC qui n'a pas la capacité de s'authentifier au-delà d'un jeton OAuth.

L'un des moyens les plus complets de se protéger contre des menaces telles que les attaques MitC consiste à déployer un CASB (Cloud Security Access Broker). Les CASB sont l'équivalent d'un serveur proxy et voient passer tout le trafic entre les applications cloud et les différents terminaux que les employées utilisent pour accéder à leurs données : ils remplacent automatiquement les jetons OAuth de chaque application par des jetons chiffrés avant de les transmettre aux ordinateurs des utilisateurs.

Lorsqu'un appareil tente d'accéder à une application cloud, le jeton chiffré unique est présenté au CASB, qui le déchiffre et le transmet à l'application.

Par conséquent, si le jeton d'un utilisateur devait être remplacé par un pirate, le jeton malveillant échouerait dans la validation et le déchiffrement au niveau du proxy, en refusant l'accès au compte de la victime et en empêchant la tentative d'attaque.

La popularité du cloud continue de croître à un rythme sans précédent. Et comme avec de nombreuses nouvelles technologies, cette popularité croissante comporte des risques nouveaux. Les attaques MitC exploitent l'accès aux données dans le Cloud lesquelles sont par nature disponibles à tout moment et en tout lieu.

Ces attaques MitC sont conçues pour donner aux pirates un accès non autorisé à des informations sensibles. Compte tenu du mode d'attaque basé sur le détournement du jeton d'authentification, la détection de ces menaces avec des outils de sécurité conventionnels est pratiquement impossible.

Mais cela ne signifie pas que les entreprises sont sans défense. Les formations régulières des salariés, combinées à des mesures de sécurité telles que le chiffrement, l'authentification à deux facteurs et le déploiement d'un CASB, peuvent constituer une défense extrêmement robuste contre les attaques MitC et d'innombrables autres menaces.

Dans le monde des affaires moderne hyperconnecté en permanence, une sécurité efficace n'est pas un luxe, c'est une nécessité. Toute organisation qui ne s'y prépare pas risque de subir inévitablement une compromission de ses données

Anurag Kahol, CTO et co-fondateur - Bitglass.

Livres Blancs

Voir tous les livres blancs
S'abonner
au magazine
Se connecter
Retour haut de page