brève actu
Les applications OAuth internes sont détournées pour un accès persistant aux environnements cloud. Ces attaques passent souvent inaperçues, compromettant des comptes privilégiés.
Les cyberattaquants exploitent de plus en plus les applications internes basées sur OAuth pour s’introduire dans les environnements cloud. OAuth est un protocole d’autorisation qui permet aux applications de se connecter à des comptes en utilisant des jetons d’accès au lieu de mots de passe. Ces attaques peuvent rester invisibles pendant de longues périodes, permettant aux attaquants de maintenir l’accès à des comptes à privilèges élevés, même après un changement de mot de passe ou l’activation de l’authentification multifactorielle. Cela représente une menace sérieuse pour la sécurité des données dans les entreprises.
Exploitation des applications internes OAuth pour un accès furtif
Les applications OAuth, essentielles pour connecter en toute sécurité des applications à des comptes utilisateurs, sont détournées par les attaquants pour pénétrer les systèmes cloud. Selon Help Net Security, les attaquants trompent souvent les utilisateurs pour qu’ils accordent l’accès à des applications OAuth tierces malveillantes. Cependant, une méthode plus insidieuse consiste à compromettre des comptes à privilèges élevés, comme ceux des administrateurs, pour créer ou modifier des applications OAuth internes. Ces applications, considérées comme fiables par les organisations, sont plus difficiles à détecter. Une fois intégrées, elles peuvent accéder à divers ressources telles que les emails, documents SharePoint, et données OneDrive, indépendamment des changements de mots de passe. Cette technique permet aux cybercriminels de maintenir un accès constant à des informations sensibles.
Pour compliquer la tâche des défenseurs, les attaquants automatisent la création d’applications OAuth malveillantes. Cet automatisme, selon les chercheurs, inclut l’enregistrement d’une application avec des permissions préconfigurées alignées sur les objectifs des attaquants. Le compte utilisateur compromis devient le propriétaire enregistré de l’application, ce qui la légitime comme ressource interne. Ainsi, même si le mot de passe est modifié, l’application reste opérationnelle. Les permissions configurées lui permettent d’accéder à des ressources variées, renforçant son efficacité en tant que point d’entrée furtif dans le système.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Pour contrer ces menaces, une vigilance accrue est nécessaire. Les applications malveillantes peuvent se fondre dans l’environnement existant, comme l’a montré une attaque récente où une application nommée « test » a été créée pour éviter les soupçons. Les organisations doivent former leurs utilisateurs à identifier et signaler les applications suspectes et les demandes d’autorisation inattendues. La découverte proactive et la remédiation rapide sont cruciales. Selon les chercheurs, cela implique la révocation des jetons utilisateur et des secrets clients, ainsi que la suppression des applications malveillantes. Une surveillance continue des applications et l’application de remédiations automatiques peuvent empêcher les attaquants de maintenir un accès persistant et d’exploiter davantage les ressources de l’entreprise.
Comprendre OAuth
Qu’est-ce que OAuth ?
OAuth (Open Authorization) est un protocole standard qui permet à une application d’accéder à des ressources d’un utilisateur (par exemple ses fichiers ou ses données) sans connaître son mot de passe. Il délègue l’autorisation plutôt que l’authentification.
Comment ça fonctionne ?
L’utilisateur se connecte à une application (par ex. un service tiers) et autorise celle-ci à accéder à certaines données hébergées ailleurs (par ex. sur Google, Microsoft ou GitHub).
Le fournisseur d’identité (Google, Microsoft, etc.) délivre alors un jeton d’accès à l’application autorisée.
Ce jeton permet d’interagir avec l’API ou les services de l’utilisateur sans exposer son mot de passe.
Le jeton est temporaire et peut être révoqué à tout moment.
Pourquoi c’est utile ?
OAuth sécurise les échanges entre services et réduit le risque lié au partage d’identifiants. Il est à la base du bouton « Se connecter avec Google/Facebook».
Quels sont les risques ?
Une application malveillante ou compromise peut abuser du jeton d’accès pour obtenir des privilèges étendus et maintenir un accès persistant, même après un changement de mot de passe.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
