Le rapport X-Force révèle les principales menaces liées au Cloud : phishing de type AITM, compromission des emails professionnels, collecte et vol d’informations d’identification »
octobre 2024 par IBM
Alors que nous sommes au mois d’octobre qui marque le mois de la sensibilisation à la cybersécurité, il n’a jamais été aussi important pour les organisations de se concentrer sur la protection des actifs numériques. Au même titre que les nouvelles solutions innovantes de Cloud et d’IA générative contribuent à faire progresser les entreprises d’aujourd’hui, il est important de comprendre comment ces solutions ont ajouté de la complexité aux cybermenaces actuelles, et de quelle manière les organisations peuvent y faire face. C’est pourquoi IBM préconise à ses clients mondiaux d’adopter une approche proactive pour intégrer la sécurité dans tous les aspects de leur activité.
À cette fin, le rapport 2024 IBM X-Force Cloud Threat Landscape sur le paysage des menaces mondiales dans le domaine du Cloud offre un aperçu approfondi des risques les plus importants auxquels les organisations sont confrontées aujourd’hui, et explique pourquoi la mise en œuvre de stratégies d’atténuation avec la sécurité appropriée pour les environnements Cloud est vitale pour le succès d’une organisation. S’appuyant sur des renseignements sur les menaces, des engagements de réponse aux incidents et des partenariats avec Cybersixgill et Red Hat Insights, l’équipe IBM X-Force offre des approches uniques sur la façon dont les attaquants compromettent l’infrastructure Cloud en tirant parti des attaques de type « adversary-in-the-middle » (AiTM [1]), de la compromission des emails professionnels et d’autres méthodes d’attaque.
Par exemple, le rapport de cette année souligne que les attaquants savent que les informations d’identification sont les clés des environnements Cloud et qu’elles sont très recherchées sur les marchés du dark web. C’est pourquoi les attaquants ont recours au phishing, au keylogging[2], au watering hole[3] et aux attaques par force brute[4] pour récupérer les informations d’identification. En outre, les recherches menées sur le dark web mettent en évidence la popularité des infostealers[5], qui sont utilisés pour voler des informations d’identification spécifiques à des plateformes et à des services Cloud.
D’autres conclusions importantes du rapport de cette année révèlent des méthodes d’attaque sophistiquées et des moyens d’exploiter les environnements Cloud, notamment :
Le phishing est le principal vecteur d’accès initial. Au cours des deux dernières années, le phishing a été à l’origine de 33 % des incidents liés au Cloud, les attaquants ayant souvent recours au phishing pour récupérer des informations d’identification par le biais d’attaques de type « adversary-in-the-middle » (AITM).
Les attaques de compromission des emails professionnels (BEC : Business Email Compromise) visent les informations d’identification. Les attaques BEC, dans lesquelles les attaquants usurpent des comptes de messagerie en se faisant passer pour un membre de l’organisation victime ou d’une autre organisation de confiance, ont représenté 39 % des incidents au cours des deux dernières années. Les acteurs malveillants exploitent généralement les informations d’identification recueillies lors d’attaques par phishing pour prendre le contrôle de comptes de messagerie et mener d’autres activités malveillantes.
Demande continue d’informations d’identification Cloud sur le dark web, malgré la saturation du marché. L’obtention d’un accès par le biais d’informations d’identification Cloud compromises est le deuxième vecteur d’accès initial le plus courant (28 %), malgré les plateformes SaaS qui sont mentionnées sur les places de marché du dark web, qui ont diminué de 20 % par rapport à 2023.
Télécharger le rapport
Le phishing AITM entraîne la compromission de la messagerie professionnelle et la collecte d’informations d’identification
Le phishing AITM est une forme plus sophistiquée d’attaque par phishing dans laquelle les attaquants se positionnent entre la victime et une entité légitime pour intercepter ou manipuler les communications. Ce type d’attaque est particulièrement dangereux car il permet de contourner certaines formes d’authentification multifacteur, ce qui en fait un outil puissant pour les cybercriminels.
Une fois dans l’environnement de la victime, les acteurs malveillants cherchent à atteindre leurs objectifs. Deux des actions les plus fréquemment observées par X-Force sont les attaques BEC (39 %) et la collecte d’informations d’identification (11 %). Par exemple, après qu’un attaquant ait compromis une plateforme de messagerie hébergée dans le Cloud, il peut effectuer plusieurs tâches telles que l’interception de communications sensibles, la manipulation de transactions financières ou l’utilisation d’emails professionnels compromis pour mener d’autres attaques.
L’exploitation des renseignements sur les menaces de sécurité pour alimenter les programmes de formation des employés de l’entreprise peut s’avérer essentielle pour contribuer à atténuer toutes les formes d’attaques par phishing, y compris l’AITM. Les employés doivent être formés à reconnaître et à signaler les techniques de phishing, les emails frauduleux et les liens suspects à leurs équipes informatiques ou de sécurité. Le déploiement d’outils avancés de filtrage et de protection des emails qui exploitent l’IA pour détecter et bloquer les tentatives de phishing, les liens et les pièces jointes malveillants avant qu’ils n’atteignent les utilisateurs finaux est également une stratégie d’atténuation efficace. Enfin, les options d’authentification sans mot de passe, telles que le QR code ou l’authentification FIDO2, peuvent contribuer à la protection contre les attaques de phishing AITM.
Obtenir un accès via des identifiants Cloud s’avère plus rentable que jamais
Le prix moyen des informations d’identification compromises sur le dark web est de 10,23 USD en 2024, soit une baisse de 12,8 % par rapport à 2022. Cette baisse de prix, qui s’ajoute à la diminution de 20 % des plateformes SaaS qui sont mentionnées sur les places de marché du dark web, peut indiquer que le marché de ces informations d’identification est en train de devenir sursaturé. Cependant, cela reflète également la disponibilité croissante de ces informations d’identification que les acteurs malveillants peuvent exploiter avant et pendant les attaques. Il n’est donc pas surprenant que plus d’un quart des incidents liés au Cloud impliquent l’utilisation d’informations d’identification valides, ce qui en fait le deuxième vecteur d’attaque initial le plus courant. Avec la baisse du prix de vente des identifiants Cloud, il devient plus rentable (et plus furtif) pour les attaquants de compromettre les organisations en se connectant à l’aide d’identifiants valides.
La volonté des attaquants d’obtenir des informations d’identification Cloud à des fins malveillantes et de profit financier illicite est également évidente si l’on en juge par la tendance persistante du vol d’informations d’identification par des voleurs d’informations (infostealers) spécialement conçus pour exfiltrer les informations d’identification des services Cloud. Cette menace souligne la nécessité pour les organisations de gérer leur cyber-exposition et leur risque numérique. Les entreprises devraient rechercher une solution qui se concentre spécifiquement sur la découverte, l’indexation et le suivi des opérateurs, des logiciels malveillants et des données sur le clear web, le deep et le dark web. La détection précoce des informations d’identification compromises permet de prendre des mesures rapides, telles que la réinitialisation des mots de passe et la modification des contrôles d’accès, afin de prévenir d’éventuelles futures violations.
Un cadre solide pour améliorer la sécurité du Cloud
La sécurité du Cloud est particulièrement importante dans l’environnement commercial actuel, les entreprises migrant de plus en plus leurs données commerciales critiques des solutions sur site vers des environnements Cloud. Cette migration technologique s’accompagne d’une évolution du paysage des cybermenaces, où les acteurs malveillants cherchent activement à compromettre la forte dépendance des entreprises à l’égard de l’infrastructure Cloud, en particulier celles qui traitent des données commerciales sensibles. Cette dépendance croissante à l’égard de l’infrastructure Cloud n’a fait qu’élargir la surface d’attaque exploitable par les acteurs malveillants et souligne pourquoi la sécurisation du Cloud est plus cruciale que jamais.
Tant que les environnements Cloud des victimes resteront accessibles via des identifiants valides, les cybercriminels continueront à les rechercher et à les utiliser pour leurs campagnes et leurs opérations, que ce soit par le biais du phishing, du BEC ou en les vendant sur le dark web. Comme le montre le rapport IBM 2024 sur les coûts liés aux violations de données, les conséquences financières et les interruptions d’activité pour les entreprises continuent à augmenter.
Ces exemples illustrent l’impact considérable du vol d’informations d’identification Cloud, du vol de propriété intellectuelle au déploiement de ransomwares. Les attaquants peuvent utiliser des informations d’identification valides pour ne pas être détectés et contourner les mesures de sécurité standard, ce qui fait des attaques basées sur les informations d’identification une menace importante et permanente pour les organisations.
En mettant en œuvre une approche holistique de la sécurité du Cloud - comprenant la protection des données, une stratégie de gestion des identités et des accès (IAM), une gestion proactive des risques et une préparation à la réponse à un incident Cloud - les organisations peuvent être mieux préparées à défendre leur infrastructure et leurs services Cloud et à réduire le risque global d’attaques basées sur les informations d’identification.
Alors qu’IBM continue de publier d’importants rapports sur la sécurité, tels que le rapport IBM 2024 sur les coûts liés aux violations de données et le rapport 2024 Threat Intelligence Index sur le paysage mondial des menaces, ce rapport axé sur le Cloud détaille les risques spécifiques auxquels les entreprises sont confrontées à mesure qu’elles poursuivent leur migration vers le Cloud. Pour une analyse plus approfondie des dernières menaces et tendances liées au Cloud, téléchargez le rapport 2024 IBM X-Force Cloud Threat Landscape.
[1] Une attaque de type "adversary-in-the-middle" (AiTM), par définition, est une forme d’écoute et de vol de données où un attaquant intercepte les données d’un expéditeur à un destinataire, puis du destinataire à l’expéditeur.
[2] Keylogging : attaques basées sur des programmes qui s’exécutent en arrière-plan d’un ordinateur ou d’un autre appareil et recueillent les frappes de l’utilisateur sur son clavier.
[3] Une attaque watering hole est conçue pour compromettre les utilisateurs en les attirant vers des sites malveillants.
[4] Une attaque par force brute (bruteforce attack) consiste à tester, l’une après l’autre, chaque combinaison possible d’un mot de passe ou d’une clé pour un identifiant donné afin se connecter au service ciblé.
[5] L’infostealer (voleurs d’informations) est un logiciel malveillant qui, lorsqu’il est installé sur votre système informatique, essaye de collecter des informations des données formulées comme « logs » : mots de passe, adresses mail, historique de navigateurs.