Cyberattaque sur Snowflake : les derniers enseignements

Snowflake Crowdstrike

Les conclusions de Crowdstrike, additionnées à celles de Mandiant, donnent un éclairage sur la campagne de cyberattaques au cœur de laquelle se trouve Snowflake.

Mêmes authentifiants pour le dev et la prod ? Cela semble être – ou tout au moins avoir été – une pratique chez Snowflake.

Les conclusions de Crowdstrike le suggèrent, en tout cas.
L’entreprise américaine a enquêté – comme Mandiant – sur la campagne d’attaques au cœur de laquelle se trouve Snowflake. Une synthèse de ses découvertes vient d’être publiée. Nous en retranscrivons ici les points saillants, en restant au plus proche des tournures employées.

Un compte Gmail perso dans l’histoire

La première trace d’activité malveillante remonte au 17 avril 2024. L’attaquant s’est connecté à plusieurs comptes Snowflake liés à un environnement de démo. Il a utilisé les authentifiants d’un ancien employé, récupérés par l’intermédiaire d’un infostealer. Il n’y avait ni MFA ni SSO.

Crowdstrike n’a pas trouvé trace d’un infostealer sur le laptop pro de cet employé. Celui-ci avait néanmoins utilisé l’appareil pour se connecter sur un compte Gmail perso dans Chrome. Auparavant, il avait, sur ce même appareil, utilisé la fonction de synchronisation des mots de passe…

Le nom d’hôte du système impacté par l’infostealer ne correspond pas au laptop en question. Cela indique que les authentifiants ont été obtenus depuis un actif n’appartenant pas à Snowflake, assure Crowdstrike.

L’éditeur affirme ne pas avoir de preuve de latéralisation depuis l’environnement de démo : pas d’accès à des environnements de prod ou corporate, ni à des comptes de clients Snowflake.
Vu les contrôles de sécurité en place (dont le MFA et les appareils de confiance), le nom d’utilisateur et le mot de passe de l’employé « ne pouvaient pas être utilisés pour se connecter à tous ces environnements sans un facteur d’authentification supplémentaire ». Crowdstrike dit avoir établit ce constat à partir d’un test reposant sur un compte provisionné avec le même niveau d’accès et de permissions que celui concerné.

Sur les comptes auxquels il a eu accès, l’attaquant a réalisé des opérations de découverte et d’extraction.
La synthèse ne livre pas davantage d’informations à ce sujet. Elle précise que la dernière trace d’activité date du 24 mai. Ce jour-là, Snowflake avait finalement désactivé le compte problématique.

Vers du MFA obligatoire ? Snowflake y tend doucement

Dans le rapport que Mandiant a rendu public voilà quelques semaines, pas de mention du laptop qu’évoque Crowdstrike. Il y a néanmoins d’autres détails. Il est notamment question d’authentifiants obtenus, à partir de 2020, via des infostealers, parfois sur des postes sous-traitants mutualisés entre clients voire utilisés pour des activités personnelles… dont des téléchargements illégaux.

Au-delà du MFA, le rapport de Mandiant met en avant l’absence de filtrage réseau sur les instances ciblées. Il contient par ailleurs un bilan chiffré : « environ 165 organisations » potentiellement touchées.

Du côté de Snowflake, on n’a pas décidé d’imposer le MFA, mais de favoriser sa mise en place. Parmi les leviers, une invite qui apparaîtra lors de la connexion d’un utilisateur à Snowsight. Si ce dernier choisit de l’ignorer, lle réapparaîtra trois jours plus tard.

Les admins ont quant à eux une nouvelle option qui leur permet d’exiger le MFA pour tous (avec la possibilité d’englober les utilisateurs SSO en plus des locaux). Ils peuvent aussi gérer l’activation au niveau des utilisateurs, ce qui permet en particulier d’exclure les comptes de services. Snowflake dit travailler sur un nouveau type d’objet qui facilitera cette exclusion à l’échelle.

En parallèle, deux packages associés au Trust Center passent en disponibilité générale. L’un, activé par défaut sans surcoût sur toutes les éditions, vérifie la conformité MFA et l’usage de politiques réseau. L’autre évalue les comptes sur la base du benchmark CIS de Snowflake. Il détecte par exemple les entités disposant de trop de privilèges et les comptes sans login depuis plus de 90 jours.

Snowflake ajoute que le MFA sera « bientôt » obligatoire pour tout utilisateur humain sur les nouveaux comptes.

Illustration © Tada Images – Adobe Stock