Catégories
Une IA humanoïde interconnectée

Les 10 principales vulnérabilités des identités non humaines selon l’OWASP

Soutenez DCOD ☕ Offrez un café pour cette veille gratuite!
L’OWASP a dévoilé son premier Top 10 des vulnérabilités liées aux identités non humaines, un bon rappel des risques pour la cybersécurité.

L’Open Worldwide Application Security Project (OWASP) a récemment publié sa première liste des 10 principales vulnérabilités liées aux identités non humaines (Non-Human Identities, NHI).

Cette initiative vise à sensibiliser les professionnels de la cybersécurité aux risques associés aux identités numériques utilisées par des entités telles que les applications, les API, les bots et les systèmes automatisés. Avec la prolifération des NHI dans les infrastructures modernes, il est essentiel de comprendre et de gérer ces risques pour protéger les systèmes et les données sensibles.

1. Désactivation inadéquate des NHI

Une gestion inefficace de la désactivation des NHI, telles que les comptes de service et les clés d’accès, peut laisser des services obsolètes actifs et vulnérables. Ces identités non surveillées peuvent être exploitées par des attaquants pour accéder de manière non autorisée aux systèmes et aux données sensibles.

Recommandations :

  • Mettre en place des processus standardisés pour la désactivation des NHI.
  • Automatiser la suppression des identités non utilisées.
  • Effectuer des audits réguliers des NHI actives.

2. Fuite de secrets

Les fuites de secrets se produisent lorsque des informations sensibles, telles que des clés API, des jetons ou des certificats, sont exposées involontairement dans des dépôts de code, des fichiers de configuration ou des pipelines CI/CD. Ces expositions augmentent le risque d’exploitation par des acteurs malveillants.

Recommandations :

  • Utiliser des outils de gestion des secrets.
  • Automatiser la détection des secrets dans le code.
  • Procéder à une rotation régulière des clés et des jetons.

3. NHI tierces vulnérables

L’intégration de services tiers, tels que des plugins ou des applications SaaS, nécessite souvent des autorisations élevées, ce qui en fait des cibles privilégiées pour les attaquants. Si une extension tierce est compromise, elle peut être exploitée pour voler des identifiants ou abuser des permissions accordées.

Recommandations :

  • Évaluer rigoureusement les fournisseurs tiers.
  • Limiter les permissions accordées.
  • Surveiller le comportement des tiers et effectuer une rotation régulière des identifiants.

4. Authentification non sécurisée

Certaines méthodes d’authentification obsolètes ou vulnérables, telles que les protocoles hérités ou les identifiants statiques, présentent des risques significatifs. L’utilisation de mécanismes d’authentification non sécurisés ou obsolètes peut exposer les organisations à des exploitations potentielles.

Recommandations :

  • Adopter des protocoles modernes tels qu’OAuth 2.1 et OpenID Connect (OIDC).
  • Éliminer progressivement les mécanismes d’authentification obsolètes.

5. NHI surprivégiées

Accorder des privilèges excessifs aux NHI est une violation courante du principe du moindre privilège, augmentant le potentiel de dommages en cas de compromission. Les attaquants peuvent exploiter ces permissions excessives pour accéder à des systèmes ou des données sensibles.

Recommandations :

  • Appliquer le principe du moindre privilège.
  • Réaliser des audits réguliers des permissions.
  • Adopter des politiques d’accès Just-in-Time (JIT).

6. Configurations de déploiement cloud non sécurisées

Les applications CI/CD nécessitent souvent une authentification avec des services cloud, généralement via des identifiants statiques ou OpenID Connect (OIDC). Les identifiants statiques peuvent être exposés involontairement, offrant aux attaquants un accès persistant et potentiellement privilégié aux environnements de production.

Recommandations :

  • Utiliser des identifiants éphémères.
  • Valider correctement les jetons d’identité.
  • Imposer des conditions strictes sur les revendications des jetons.

7. Secrets à longue durée de vie

L’utilisation de secrets à longue durée de vie, tels que des clés API ou des jetons sans date d’expiration, offre aux attaquants un accès prolongé aux services sensibles en cas de compromission.

Recommandations :

  • Mettre en œuvre des politiques de rotation régulière des secrets.
  • Utiliser des secrets éphémères.
  • Surveiller l’utilisation des secrets pour détecter toute activité suspecte.

8. Isolation des environnements

Un manque d’isolation adéquate entre les environnements de développement, de test et de production peut permettre à des attaquants de déplacer latéralement des charges de travail malveillantes ou de compromettre des secrets.

Recommandations :

  • Isoler strictement les environnements.
  • Restreindre les accès entre eux.
  • Surveiller les communications inter-environnements pour détecter toute activité anormale.

9. Réutilisation des NHI

La réutilisation des mêmes identités non humaines pour plusieurs applications viole le principe du moindre privilège et peut exposer plusieurs services en cas de compromission d’une NHI.

Recommandations :

  • Attribuer des identités uniques à chaque application ou service.
  • Limiter les permissions accordées.
  • Surveiller l’utilisation des NHI pour détecter toute activité suspecte.

10. Utilisation humaine des NHI

L’une des failles les plus complexes en matière de sécurité des identités non humaines est leur utilisation par des humains à des fins détournées. Par exemple, des administrateurs, développeurs ou utilisateurs finaux peuvent utiliser des identités NHI à des fins personnelles, contourner des politiques de sécurité, ou masquer leur propre activité sous l’identité d’un service automatisé.

Recommandations :

  • Exiger des preuves d’origine des requêtes pour distinguer les usages légitimes des abus.
  • Mettre en place des mécanismes de surveillance des interactions humaines avec les identités non humaines.
  • Assurer un contrôle strict sur l’attribution et l’usage des NHI.

Pour en savoir plus

Top 10 des identités non humaines de l’OWASP | Fondation OWASP

Le top 10 des identités non humaines (NHI) est une liste complète des risques de sécurité et des vulnérabilités les plus urgents que les identités non humaines présentent pour les organisations.

Lire la suite sur owasp.org

(Re)découvrez également:

L’OWASP publie sa liste de contrôle de sécurité pour le déploiement de l’IA générative

L’OWASP a publié une liste de contrôle pour sécuriser les projets utilisant les modèles IA de langage à grande échelle, visant notamment les responsables technologiques.

Lire la suite sur dcod.ch
L'OWASP publie sa liste de contrôle de sécurité pour le déploiement de l'IA générative
Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

Des idées de lecture cybersécurité

La cybersécurité pour les Nuls

Pour obtenir toutes les informations sur la cybersécurité, apprendre à protéger ses données sensibles sereinement et à éviter le hacking

Sécurité informatique - Ethical Hacking : Apprendre l'attaque pour mieux se défendre

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

Cyberattaques: Les dessous d'une menace mondiale

Un documentaire captivant et éclairant sur les affrontements entre attaquants et défenseurs du numérique, face à la plus grande menace de la prochaine décennie.