Sécurité cloud : 9 cas d’attaques identifiés par Darktrace

Email « spoofing » dans Office 365, configuration bancale sur AWS, attaques d’initiés… Autant de menaces identifiées par la cyber IA de Darktrace.

Darktrace a publié un rapport* sur les menaces cloud qui ciblent les entreprises et leur écosystème.

Ce rapport met en exergue 9 cas d’attaques identifiés par la technologie de cyber intelligence artificielle (IA), proactive et en temps réel, de l’éditeur britannique.

Une solution de protection pour environnements complexes, hybrides et multicloud.

Voici 9 cas identifiés et déjoués par la cyber IA de Darktrace :

De l’hameçonnage à l’erreur critique de configuration

1. Email « spoofing » dans Office 365 >

La technique d’usurpation d’identité numérique (spoofing) vise à transmettre un message ayant l’apparence d’un courriel légitime pour infiltrer un réseau.

« Pendant des années, cette méthode a permis aux attaquants d’échapper aux contrôles traditionnels », a souligné Darktrace dans son rapport. Et c’est toujours le cas aujourd’hui. « Un domaine nouvellement enregistré trompe la vigilance du destinataire et contourne les solutions qui s’appuient sur des listes noires » d’adresses e-mail.

2. Menaces émanant d’initiés >

Un employé mécontent peut constituer un risque pour le système d’information et les réseaux d’une entreprise. Darktrace livre l’exemple d’un responsable informatique remercié par son employeur à la suite d’une restructuration. L’informaticien aurait tenté de télécharger des données clients à partir de la base de données de l’entreprise pour les transférer vers un serveur à domicile.

Cette activité illicite peut « facilement échapper » aux contrôles natifs mis en place par un fournisseur de services cloud, selon Darktrace. Mais pas d’une solution de détection basée sur l’IA capable de détecter le comportement menaçant « en quelques secondes ».

3. PII non chiffrées dans AWS >

Le fournisseur cite le cas d’une municipalité ayant sous-traité des bases de données à un service cloud tiers n’ayant pas correctement configuré ses protocoles. En conséquence, les coordonnées de citoyens de la ville concernée et d’autres informations personnelles identifiables (PII) auraient été téléchargées sur une base via des connexions non chiffrées.

« Là encore, les outils de sécurité traditionnels n’ont pas alerté », ont indiqué les auteurs du rapport. Darktrace dit avoir constaté qu’un attaquant pouvait accéder à des données sensibles et, à terme, « mener des attaques d’hameçonnage (phishing) ou par usurpation d’identité. »

4. Faille dans SharePoint >

Autre exemple : des pirates informatiques peuvent obtenir l’accès à un service SaaS, après avoir dérobé des identifiants de connexion. Ils peuvent ensuite utiliser des scripts pour identifier des fichiers contenant certains mots clés, comme « mot de passe ».

Darktrace dit avoir découvert un cas correspondant dans une banque européenne, où des attaquants ont trouvé un fichier Office 365 SharePoint avec des mots de passe non chiffrés.

5. Vulnérabilité zero day >

Les outils de sécurité qui recherchent des caractéristiques pré-identifiées de cyber-attaques ne peuvent pas détecter une faille inconnue (zero day) du fournisseur ou du développeur du programme ciblé.

En revanche, les outils auto-apprenants capables d’identifier des activités inhabituelles à travers différents réseaux seraient mieux armés pour prévenir une attaque s’appuyant sur une faille zero day.

6. Ingénierie sociale >

Outre l’utilisation de programmes malveillants qui passent au peigne fin le trafic à la recherche d’identifiants, les techniques d’ingénierie sociale permettent d’obtenir un accès à des données sensibles.

Darktrace dit l’avoir constaté lors de la découverte d’une faille dans un compte Office 365 d’une organisation internationale. Les contrôles de sécurité natifs et un autre outil Microsoft de sécurité ont été contournés. Seules les adresses malveillantes connues ayant été détectées par ces outils.

7. Configuration cloud déficiente >

Les erreurs de configuration d’environnements cloud se produisent aussi dans les secteurs hautement sécurisés. Dans un cas, une société de services financiers aurait laissé par erreur un serveur important exposé sur Internet, alors qu’il était censé être isolé derrière un pare-feu.

Soit la migration a été trop « rapide et chaotique », soit les équipes étaient « trop peu familiarisées avec les contrôles natifs » délivrés par leur fournisseur de services cloud, a observé l’éditeur.

8. Actifs non chiffrés sur Azure >

Une entreprise manufacturière en Europe utilisait un serveur Microsoft Azure pour des fichiers contenant des détails sur ses produits et des projections de ventes.

Une activité suspecte a été détectée lorsqu’un appareil a téléchargé un fichier ZIP à partir d’une adresse IP externe rare que Darktrace a jugé « anormale ».

9. Attaque en chaîne >

En détournant le compte d’un contact de confiance d’une chaîne logistique, les attaquants peuvent facilement gagner la confiance d’un destinataire du réseau.

Un pirate informatique aurai ainsi utilisé les identifiants dérobés d’un compte Office 365 pour lire les échanges d’un employé d’une société de production. Et, de surcroît, transmettre une réponse et un lien malveillant au dernier destinataire d’un e-mail du professionnel.

Darktrace indique que ce « contact de confiance » était en fait un détournement de compte. La firme déclare avoir alerté le collaborateur et neutralisé le contenu malvaillant.

*Cloud Threat Report 2019

(crédit photo © shutterstock)