Skip to main content

PARIS : Le paradigme de la forteresse en cybersécurité, é…

Print Friendly, PDF & Email
Floriane Dumont
28 Nov 2023

Partager :

PARIS : Le paradigme de la forteresse en cybersécurité, élever les murs ou détecter les intrus ?

Par Dwayne McDaniel, Security Advocate chez GitGuardian.

Le télétravail est à son apogée. Les entreprises sont passées d’une équipe gérée de manière centralisée, réunie dans un bureau, à une équipe qui travaille à distance et de manière hybride, dont les collaborateurs accèdent à des données sensibles à partir de différents lieux tels que leurs domiciles, les cafés ou encore les aéroports et ce, à l’aide de divers appareils. Les réseaux Wi-Fi non sécurisés, les appareils personnels et l’exposition potentielle aux attaques de phishing sont une des préoccupations principales des équipes de sécurité.

Aussi, la défense contre ces menaces est devenue plus complexe, nécessitant des solutions qui vont au-delà de la sécurité traditionnelle basée sur le périmètre.

Les organisations sont également passées de centres de données et de réseaux sur site en propriété exclusive à des services dans le cloud et à des fournisseurs tiers. Les actifs numériques résident désormais dans un ensemble de services de plus en plus diversifié.

Le monde a évolué et le travail du professionnel de la sécurité a changé : il ne s’agit plus d’empêcher les gens d’entrer, mais d’être capable de détecter l’entrée de personnes mal intentionnées.

Certaines défenses classiques ont encore du sens

S’il est absurde d’imaginer une muraille de pierre protégeant les applications, certaines protections sont construites comme telles, comme les pares-feux pour applications web (WAF). Bien qu’ils ne soient pas infaillibles, ils empêchent les types d’attaques les plus basiques d’autoriser l’accès. Renforcer ces règles WAF, au fur et à mesure que de nouvelles vulnérabilités sont révélées, n’est pas vraiment différent de renforcer le mur du château lorsque l’ennemi met au point de nouvelles technologies pour le champ de bataille.

Des outils tels que l’authentification multifactorielle (MFA) et les systèmes sans mot de passe, basés sur des jetons, gèrent l’authentification dans des environnements de production. Aussi, des solutions, comme celles basées sur OAuth, donnent des autorisations, qu’une fois après avoir vérifié que l’utilisateur est bien celui qu’il prétend être.

Aujourd’hui, pour garde des secrets, il existe des solutions basées sur le chiffrement comme Vault de HashiCorp, Doppler ou Akeyless pour conserver les secrets les plus sensibles      :  les informations d’identification.

Les problèmes modernes exigent des solutions modernes

Aujourd’hui les cybercriminels se faufilent par des portes laissées ouvertes et étendent latéralement leur empreinte aussi rapidement que possible. Bien que les temps de présence dans les systèmes soient beaucoup plus courts aujourd’hui qu’ils ne l’étaient il y a quelques années, il n’en reste pas moins qu’ils continuent d’entrer à une vitesse alarmante et qu’ils passent en moyenne plusieurs jours à faire ce qu’ils veulent avant que les équipes s’aperçoivent de leur présence.

Garder les portes fermées

Les attaquants peuvent contourner les défenses actuelles en exploitant les mauvaises configurations des infrastructures as code (IaC). Les déploiements de l’IaC peuvent être effectués en quelques minutes et à grande échelle par un seul professionnel DevOps. La nature de l’IaC signifie que la configuration est susceptible d’être réutilisée encore et encore, peut-être des centaines ou des milliers de fois, ce qui augmente considérablement la surface d’attaque potentielle. La probabilité qu’une faille ou une mauvaise configuration échappe à cette seule personne ne sera jamais nulle. Ils ont besoin d’outils pour assurer la détection des vulnérabilités.

Appâter les pièges

Une fois qu’un attaquant est à l’intérieur, il annonce rarement sa présence, il suffit de demander à Uber. La plupart du temps, les attaquants font tout leur possible pour dissimuler leur présence. La plupart des attaques suivent cependant un schéma similaire. Tout d’abord, ils ouvrent une brèche pour prendre pied, principalement par le biais de tentatives d’hameçonnage ou de vol d’informations d’identification, puis ils essaient de s’étendre latéralement aussi vite que possible. Pour ce faire, ils trouvent toutes les informations d’identification laissées en clair dans le système. À partir de n’importe quel système auquel il peut accéder, l’attaquant tentera d’élever ses privilèges, puis continuera à se déplacer latéralement, parfois en implantant des logiciels malveillants, parfois en exfiltrant des données, parfois en faisant les deux à la fois.

Sachant qu’il cherchera des informations d’identification à exploiter, il est probable qu’il essaiera également d’utiliser les informations d’identification leurres que les entreprises laissent traîner. C’est là que la technologie Honeytoken entre en jeu. Grâce à elle, il est facile de créer des identifiants qui ne permettent pas un accès réel aux systèmes ou aux données, mais qui envoient des alertes par email ou via des webhooks qui informent que quelqu’un est à l’affût. L’obtention de l’adresse IP, de l’agent utilisateur, des actions qu’ils ont tentées et de l’horodatage de chaque tentative vous aidera à les faire sortir du système.

Nettoyer toutes les clés réelles du bastion

Bien que les Honeytokens facilitent le déploiement d’informations d’identification leurre, dans l’idéal, il s’agirait des seuls vrais secrets qu’un attaquant trouverait.

En utilisant un outil de détection de secrets il est possible de s’assurer que les véritables secrets ne sont pas accessibles.

Se préparer à la brèche

L’édification de fortifications sous la forme de WAF et d’une architecture zero trust reste importante pour la défense des organisations. Mais il ne faut plus compter uniquement sur ces tactiques. Il faut adopter une posture de « violation supposée ». La sécurité moderne implique de réagir si rapidement que les attaquants se demandent ce qu’ils pourraient bien tenter ensuite. Les acteurs malveillants ne disposent pas d’un temps ou de ressources illimités ; chaque fois que leurs tentatives d’infiltration sont contrées, c’est une manche de plus de gagnée.

Il faut s’assurer d’être prêt à faire face aux attaques modernes, en s’assurant de fermer toutes les portes potentiellement laissées ouvertes en raison d’une mauvaise configuration de l’IaC en procédant à des analyses précoces et fréquentes, en préparant des pièges sous la forme d’Honeytokens pour inciter les attaquants à révéler leur position, en s’assurant que ces identifiants leurres sont les seuls secrets en clair qu’ils trouvent en utilisant un outil de détection de secrets pour découvrir et éliminer les véritables clés, certificats ou mots de passe.

Il est indispensable de tirer parti de la puissance des outils modernes pour assurer la sécurité.