7 risques de sécurité des applications qui auraient pu être évités

1. Introduction#

De grandes entreprises, dont Uber, MGM Resorts, CircleCI, Ticketmaster et de nombreuses autres, ont subi des failles de sécurité de septembre 2022 à mai 2024 après que des attaquants ont obtenu un accès non autorisé à leurs systèmes de comptes d'utilisateurs. Les attaques ont causé plus de centaines de millions de dollars de dommages tout en exposant les données personnelles de plus de 600 millions d'utilisateurs, et les systèmes d'authentification obsolètes de l'époque auraient pu prévenir ces violations de sécurité.

L'histoire ne montre aucune preuve de vulnérabilités "zero-day" sophistiquées ou d'attaquants en cybersécurité utilisant des failles inconnues pour mener leurs attaques. Ces cas révèlent comment les organisations ont échoué à prévenir les violations de sécurité. La plupart connaissaient les attaques par fatigue MFA mais n'ont pas réussi à s'en protéger, et elles reconnaissaient les vulnérabilités des systèmes basés sur les mots de passe mais ont continué à les utiliser.

2. Défaillances de l'authentification héritée#

Une authentification faible ou héritée est un point d'entrée courant pour les attaquants. La majorité des violations de sécurité commencent par l'obtention par les attaquants de mots de passe volés ou précédemment utilisés, bien que les organisations aient accès à des systèmes d'authentification par clés d'accès établis, qui offrent une protection contre le phishing. La violation de MGM Resorts en 2023 a commencé lorsque des attaquants ont utilisé le vishing pour contacter le support technique informatique, ce qui leur a permis de réinitialiser les identifiants puis de déployer un ransomware et de causer sept jours d'interruption du système.

Les systèmes de sécurité de MGM et d'autres organisations utilisaient des mots de passe associés à une authentification à deux facteurs par SMS, ce qui n'a pas permis de protéger contre les attaques d'ingénierie sociale et le vol d'identifiants. L'organisation n'a pas réussi à mettre en place de meilleurs systèmes d'authentification car, bien qu'elle ait compris les menaces de sécurité, ses systèmes et processus de travail actuels l'ont empêchée d'apporter des changements.

Les clés d'accès, qui utilisent la cryptographie à clé publique et l'identification biométrique, auraient considérablement réduit le risque de succès de ces attaques. Les clés d'accès sont plus sûres que les mots de passe car les utilisateurs ne peuvent pas les réinitialiser via un accès à distance ou le support technique en partageant des codes de réinitialisation, ce qui protège contre les attaques d'ingénierie sociale. La sécurité des clés d'accès reste vulnérable à des méthodes d'attaque spécifiques, qui se produisent lorsque les processus de récupération de compte ne sont pas correctement sécurisés et lorsque les appareils sont infectés par des malwares.

3. Attaques basées sur les sessions et les cookies#

Les attaquants se concentrent sur l'obtention de cookies car ils aideront à obtenir l'accès au système et à contourner toutes les procédures d'authentification. La violation de CircleCI en 2022 souligne cela en montrant comment un malware infostealer sur l'ordinateur portable d'un employé peut facilement voler des cookies de session actifs. À l'aide de ceux-ci, les attaquants ont ensuite contourné l'authentification à deux facteurs et obtenu l'accès aux systèmes de production.

Les cookies de session servent de moyen de contourner les contrôles d'accès avec leurs jetons porteurs, facilitant l'exposition de données sensibles. Pour prévenir de tels incidents, les organisations peuvent mettre en œuvre des Device Bound Session Credentials (DBSC), qui protègent les utilisateurs contre le vol de session en utilisant des méthodes cryptographiques pour lier les sessions à des appareils spécifiques. Cela rend impossible l'utilisation de cookies volés à partir d'autres ordinateurs. Le système DBSC offre une protection efficace contre les malwares infostealer qui s'exécutent sur divers appareils, mais il ne peut pas arrêter les attaques lorsque le malware infecte l'appareil initialement enregistré.

4. Autorisation défaillante#

Lorsque les attaquants franchissent le contrôle d'accès dans l'application, ils peuvent se déplacer latéralement sans se soucier de leurs permissions. Le risque de sécurité lié aux vulnérabilités d'autorisation reste élevé car les attaquants ont utilisé avec succès des contrôles d'accès insuffisants pour naviguer entre les composants du système lors de multiples violations de réseau.

Pour identifier les vulnérabilités IDOR (Insecure Direct Object Reference), les développeurs d'applications doivent utiliser la modélisation des menaces basée sur des concepts pour détecter les structures de base de gestion des accès et mettre en œuvre des processus de revue de code pour valider les permissions des comptes de service.

Opter pour des attributions de rôles et une gestion des permissions complexes au lieu d'un modèle de moindre privilège peut rendre les organisations vulnérables aux problèmes d'autorisation. Des attributions de rôles complexes peuvent conduire à un accès non autorisé à des informations sensibles et à des fonctions dans les applications destinées aux clients. Les organisations sans un cadre d'autorisation sécurisé ne peuvent pas protéger leurs données contre un accès et des opérations non autorisés.

Avec l'augmentation des problèmes de sécurité B2C, un seul compte compromis peut causer des dommages importants à de multiples comptes utilisateurs. En mettant en œuvre la gestion des accès à privilèges, les organisations peuvent donner à leurs employés et clients uniquement l'accès minimum requis pour accomplir leur travail. En outre, une modélisation régulière des menaces basée sur les concepts et une revue de code peuvent aider à repérer facilement les risques et les vulnérabilités.

5. Intégrations d'IA non sécurisées#

L'intégration rapide de la GenAI et des LLM dans les applications a dépassé la capacité des contrôles traditionnels à détecter ces changements, ce qui entraîne un risque de sécurité invisible. La violation de Snowflake en 2024 démontre comment les acteurs de la menace ont utilisé des identifiants volés lors d'attaques par malware infostealer pour pénétrer dans les environnements clients de Snowflake, qui n'avaient pas mis en œuvre d'authentification multifacteur. L'attaque a compromis plus de 165 organisations, dont Ticketmaster avec 560 millions d'enregistrements clients, ainsi qu'AT&T et la banque Santander.

Les organisations omettent souvent de reconnaître l'IA comme une partie essentielle de l'environnement informatique, laissant les ressources d'IA telles que les modèles, les magasins de données vectorisées et les pipelines d'IA vulnérables aux mauvaises configurations et aux risques de cyberattaques. La plupart des organisations ont des difficultés à surveiller efficacement les systèmes d'IA en raison de la « shadow AI », où des individus non autorisés peuvent mener des attaques basées sur des identifiants sans détection interne.

Si les organisations appliquaient des contrôles de base tels que la validation des entrées, l'isolation et la surveillance continue à leurs systèmes d'IA, comme elles le font pour d'autres infrastructures informatiques, ces incidents de sécurité auraient pu être évités. Les organisations peuvent automatiser l'identification et la remédiation des mauvaises configurations à l'aide d'outils de sécurité de l'IA, qui fournissent un inventaire complet de toutes les ressources d'IA.

6. Mauvaises configurations du Cloud et de l'environnement d'exécution#

Les mauvaises configurations dans le cloud, notamment les compartiments de stockage exposés, les groupes de sécurité trop permissifs et les conteneurs exposés, peuvent entraîner des incidents de sécurité. La violation d'ePallet en 2022 a montré qu'un compartiment Amazon S3 mal configuré peut exposer des données clients sensibles d'autres entreprises utilisant leur outil. Les attaquants ont utilisé deux vecteurs principaux pour accéder aux informations sensibles : des compartiments de stockage non protégés et des groupes de sécurité avec des contrôles d'accès inefficaces.

L'analyse de conformité de base montre que ces attaques proviennent de deux sources principales, à savoir le stockage accessible publiquement avec des données spécifiques aux utilisateurs et les ports de gestion virtuels exposés. Les organisations peuvent considérer ces mauvaises configurations comme des solutions à court terme pour la conformité, mais la plupart deviennent des points de brèche de sécurité.

L'identification et la remédiation des mauvaises configurations doivent être continues par le biais de la gestion de la posture de sécurité cloud ou de contrôles de sécurité à l'exécution, ce qui réduit considérablement le risque que les attaquants exploitent les vulnérabilités. Les organisations peuvent utiliser des outils de balayage et de surveillance automatisés pour trouver les mauvaises configurations, et la plateforme de surveillance peut ensuite y remédier.

7. Sécurité manquante dans le SDLC#

Les vulnérabilités entrent dans le processus de production lorsque les fonctions de sécurité ne sont pas correctement intégrées dans le processus de développement logiciel. Une mauvaise configuration de GitHub Actions dans le pipeline CI/CD d'une startup crypto partageait silencieusement des identifiants AWS, aidant les attaquants à miner 800 dollars US en cryptomonnaie.

Les analyses SAST/DAST, la revue de code sécurisée et l'analyse des dépendances peuvent identifier les vulnérabilités de sécurité courantes. Elles peuvent aller des attaques par injection à la désérialisation non sécurisée et aux références d'objets directes non sécurisées, mais ces problèmes persistent lorsque la sécurité ne reçoit aucune attention.

L'intégration de la sécurité dans le cycle de vie du développement logiciel (SDLC) permet aux développeurs d'identifier et de résoudre les vulnérabilités de sécurité, qu'ils peuvent ensuite mettre en œuvre dans leurs applications web avant le déploiement en production. La prévention de ces problèmes nécessite que les organisations mettent en œuvre trois pratiques de sécurité fondamentales, qui comprennent l'analyse automatisée, la gestion des dépendances et les revues de code sécurisées.

8. Processus de surveillance et de remédiation insuffisants#

Les organisations continuent de subir des violations de sécurité en grande partie parce qu'elles ne peuvent pas reconnaître les indicateurs d'avertissement et manquent de processus de remédiation définis pour les anomalies du système. Elles doivent surveiller constamment leurs systèmes informatiques et établir une procédure de réponse claire pour les violations de sécurité, en suivant les normes actuelles de l'industrie à la lumière de la violation d'Uber en 2022. Sans journalisation complète des événements de sécurité, les organisations peinent à surveiller le bourrage d'identifiants, les tentatives d'accès inhabituelles aux appareils ou les transactions de jetons anormales.

Les organisations trouvent difficile de détecter les tentatives d'authentification et de connexion ou d'enregistrer les événements d'inscription des utilisateurs car les informations qu'elles collectent manquent de détails suffisants pour une identification précoce de l'abus des droits de sécurité.

Les systèmes de l'organisation identifient et gèrent les événements anormaux grâce à une télémétrie axée sur la vie privée et à des procédures de réponse algorithmiques automatisées. Les capacités de détection et de réponse de l'IA aideront les organisations à identifier les relations entre les événements de sécurité et à empêcher les violations de se produire.

9. Conclusion#

La partie la plus frustrante de l'étude des violations de MGM, Snowflake, Uber et CircleCI est de comprendre que ces incidents auraient pu être évités. L'incident est devenu inévitable parce que la technologie actuelle manquait des capacités nécessaires que les entreprises axées sur la sécurité utilisaient déjà pour leurs systèmes d'authentification.

Toutes les organisations de ce rapport avaient la possibilité de déployer des clés d'accès avant que leurs systèmes ne soient piratés. Alors que les clés d'accès étaient une technologie disponible et mature entre 2022 et 2024, les Device Bound Session Credentials (DBSC) n'ont pas été largement disponibles avant 2024. Le système comprenait de multiples contrôles de sécurité dans le cloud, tels que l'application du MFA, les listes d'autorisation du réseau, l'IAM au moindre privilège et la surveillance. Cependant, ces contrôles nécessitaient une configuration manuelle pour une protection complète.

Les équipes de sécurité de certaines organisations soutenaient ces contrôles, mais elles n'ont pas réussi à vaincre la résistance au changement à l'échelle de l'entreprise. Le résultat a entraîné l'exposition des données personnelles de plus de 600 millions de personnes, des enquêtes réglementaires et des pertes totales qui ont dépassé des centaines de millions.

Des organisations ont mené des recherches démontrant que les attaques basées sur les identifiants augmenteront à un rythme accéléré, de sorte que les organisations doivent gérer cette menace de sécurité critique immédiatement. Votre organisation doit déterminer si elle adoptera des systèmes d'authentification modernes avant ou après que d'autres organisations utilisent votre échec de sécurité comme exemple dans leurs enquêtes sur les violations.

Les outils de sécurité des applications existent et ils fonctionnent automatiquement grâce à un processus simple qui ne nécessite aucune procédure d'installation complexe. Le ROI est mesurable. La communauté de la sécurité manque d'un sentiment d'urgence, ce qui lui permettrait de reconnaître la modernisation de l'authentification comme un contrôle de sécurité essentiel. L'organisation doit agir immédiatement, car le prochain appel au support technique, le prochain email de phishing et la prochaine charge utile d'infostealer se transformeront en un incident à cent millions de dollars.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Foire Aux Questions#

Comment la violation de CircleCI a-t-elle contourné l'authentification à deux facteurs ?#

Lors de la violation de CircleCI en 2022, un malware infostealer sur l'ordinateur portable d'un employé a directement volé les cookies de session actifs. Étant donné que les cookies de session agissent comme des jetons porteurs accordant un accès immédiat, les attaquants les ont utilisés pour contourner complètement l'authentification à deux facteurs et accéder aux systèmes de production.

Quelle est la différence entre DBSC et les cookies de session standard en matière de sécurité ?#

Les cookies de session standard peuvent être volés par un malware infostealer et réutilisés depuis n'importe quel appareil, contournant ainsi les contrôles d'authentification. Les Device Bound Session Credentials (DBSC) utilisent des méthodes cryptographiques pour lier une session à l'appareil spécifique qui l'a créée, de sorte que les cookies volés ne peuvent pas être rejoués depuis des machines contrôlées par des attaquants.

Pourquoi le contrôle d'accès défaillant a-t-il causé des dommages si étendus lors de la violation de Snowflake ?#

La violation de Snowflake a compromis plus de 165 organisations clientes car les environnements individuels des locataires manquaient d'application du MFA, ce qui signifie qu'un seul ensemble d'identifiants volés pouvait déverrouiller des entrepôts entiers de données clients. Ticketmaster a vu à lui seul 560 millions d'enregistrements clients exposés en raison de cette seule lacune de contrôle.

Quelle faille de sécurité du SDLC a conduit à l'incident de minage de cryptomonnaie via GitHub Actions ?#

Un workflow GitHub Actions mal configuré dans le pipeline CI/CD d'une startup crypto divulguait silencieusement des identifiants AWS à des attaquants, qui les ont utilisés pour miner 800 dollars US en cryptomonnaie. L'article identifie les scans automatisés SAST/DAST, la gestion des dépendances et les revues de code sécurisées comme les trois pratiques qui auraient permis de détecter cette mauvaise configuration avant le déploiement en production.