L’affaire du Solorigate révélée en décembre dernier n’a pas encore fini de livrer tous ses secrets. A ce jour, plusieurs experts sont encore à pied d’œuvre pour déterminer l’ampleur et les ramifications exactes de cet acte de cyberespionnage qui a impacté nombre de départements, d’états américains ainsi que de grandes entreprises dans le monde.
Dans une série de trois articles, nous proposons de revenir sur cet événement qui sera marqué d’une pierre blanche dans le domaine de la cybersécurité. Dans les deux premiers articles, nous analysions en détails les spécificités des attaques sur la chaîne d’approvisionnement et nous mettions en lumière quelques-unes des raisons de la compromission des éditeurs de solutions ainsi que des techniques de mitigations qui s’offraient à eux.
Retrouvez la deuxième partie : [SOLORIGATE : Que doivent retenir les éditeurs sur la cyberattaque historique des Etats-Unis ?]
Dans ce dernier volet, nous nous intéresserons aux organisations elles-mêmes utilisatrices de ces solutions et également victimes de leurs compromissions.
Les accès privilégiés que permettaient la plateforme Orion au plus profond des SI de 18000 entreprises utilisatrices en ont fait d’elle une cible de choix. L’attaque réputée comme étant l’une des plus sophistiquées à ce jour a su déjouer l’ensemble des mécanismes de sécurité pourtant mis en place par les entreprises afin de s’insinuer et se maintenir de manière discrète au sein de leurs systèmes. La suite ? Une succession de mouvements latéralisés, de vols de certificats, de détournements de jetons SAML…, chacune opérée avec brio par des attaquants qui ont fait preuve d’une extrême dextérité, d’une discipline stricte et d’une patience à toute épreuve.
Et pourtant, malgré cela, il existe bien des mesures qui peuvent permettre aux organisations de limiter le risque afin que ce type d’événement ne se reproduise plus.
Pour cela, nous considérerons 3 axes majeurs sur lesquels il est possible d’ériger une stratégie de défense efficace. Il s’agit de mettre en place une gestion des risques relatifs aux tiers, une gestion saine des identités et des accès et enfin l’élaboration d’une stratégie de surveillance pertinente.
Une politique de gestion des tiers
La gestion des risques relatifs aux tiers permet à l’organisation d’avoir une visibilité sur la nature et le niveau de maturité des autres organisations avec lesquelles elle collabore. Pour cela, il est important de mettre en visibilité les risques que chaque tiers peut poser pour l’organisation et ce en fonction des données qu’il manipule, de ses niveaux d’accès au sein du système d’information ou encore de la nature des services qu’il fournit.
Ensuite, une fois que cela est fait, il est nécessaire d’évaluer le niveau de maturité de chacun d’entre eux, ce qui permettra par la suite de choisir de mitiger les risques relatifs à certains tiers, de les accepter ou tout simplement de les éviter.
Enfin, tout cela ne peut être efficient que si un dispositif de surveillance continue et permanente de l’état des risques relatifs au tiers est mis en place. Cette mesure permet une vision globale et constamment à jour des risques mais permet également de s’assurer que chaque tiers s’acquitte effectivement de ses obligations contractuelles et qu’ils sont en mesure de maintenir une posture sécurité adaptée aux besoins de l’organisation.
Identity is the new … chateau fort
Avec l’éclatement des systèmes d’information et la migration massive des SI sur le cloud, les périmètres ne sont plus matérialisés uniquement par les pare-feux traditionnels mais aussi par les identités. En exploitant ce terrain, les attaquants derrière le Solorigate ont non seulement pu se maintenir et accéder de manière illégitime aux systèmes mais ont également rendu infiniment plus complexe la remédiation de l’attaque.
Pour toutes ses raisons, il devient donc crucial pour une entreprise d’adopter une politique de gestion saine des identités et des accès couplés à une gestion fine des droits. Pour ce faire, la centralisation de l’authentification est primordiale, cette dernière permettant par la suite la fédération d’identité ainsi que le Single Sign On (SSO). Au vu de l’attaque – au cours de laquelle a été mise en œuvre la technique dite Golden SAML – il est conseillé de s’orienter vers des protocoles plus robustes tels que OpenId Connect pour réaliser les authentifications. Dans ce cadre, il faudra privilégier la mise en œuvre de mécanismes d’authentification à multiples facteurs.
Ensuite, il est important pour une organisation d’adopter une approche zero trust qui consiste à considérer que ni les utilisateurs ni les applications se trouvant dans et en dehors du réseau ne peuvent être qualifiés de confiance jusqu’à ce que leurs identités n’aient pu être vérifiées. Une fois que cela est fait, l’utilisateur continuera de se soumettre à des mesures de sécurité jusqu’à ce qu’il quitte le réseau.
Il est également nécessaire de traquer les comptes dormants, c’est-à-dire ceux appartenant à des utilisateurs qui ont pu quitter l’entreprise ou à des applications qui ont été décommissionnées. Ces derniers constituent une manne importante pour les attaquants lorsqu’ils ne sont pas supprimés.
Enfin, tout type de secrets doit être chiffré comme les certificats et autres clés secrètes ou privées scellés dans des dispositifs sécurisés tels que les Hardware Security Modules (HSM).
Surveillance pertinente
Dans le cas du Solorigate, les attaquants se sont servis d’un outil tiers disposant d’accès privilégiés au sein d’un système pour y accéder, s’y mouvoir et s’y maintenir. Des certificats servant à la signature de jetons SAML ont été compromis, leur donnant accès à des données qui furent par la suite exfiltrés vers des serveurs externes.
Dans ce schéma, il est avant tout nécessaire que l’organisation inventorie l’ensemble des systèmes externes qu’elle consomme ou via lesquels elle reçoit des mises à jour. Dès lors que cela est possible, tout élément en provenance de ces derniers sont soumis à des contrôles antiviraux et EDR. Les connexions à de nouveaux domaines doivent être analysées dans le cadre de levées de doutes.
Ensuite, il peut être approprié d’établir une stratégie de surveillance basée sur des comportements anormaux qui peuvent avoir lieu au sein du système d’information. On peut par exemple envisager de traquer les tentatives d’authentification incohérentes : un utilisateur connecté et basé à Paris se connecte le même jour à New York. On peut également s’intéresser spécifiquement aux jetons SAML et aux incohérences qui pourraient les entourer. Par exemple, détecter les sessions anormalement longues, les revendications anormales de droits mais surtout réaliser une corrélation des traces entre le fournisseur d’identité (IdP) et le fournisseur de service (SP). Un jeton valide qui n’a pas été émis par un fournisseur d’identité doit interpeller.
Au terme de cette analyse, le risque zéro n’existe peut-être pas mais il appartient aux organisations d’établir et de mettre en œuvre les mesures nécessaires permettant de le ramener à un niveau acceptable. La sophistication croissante des attaques pousse à une vigilance de tous les instants afin de préserver le bon déroulement des activités.
Pour vous assurer une bonne protection, n’hésitez pas à consulter notre développement d’applications sécurisées “by design”, qui repose sur nos équipes SecDevOps.
Par ailleurs, il peut être intéressant de baser une partie de son infrastructure sur le cloud car cela permet de partager les responsabilités de sécurité informatiques.
Des prestataires tels que Devoteam peuvent vous accompagner dans cette transformation et vous permettre de vous garantir la bonne sécurisation de votre réseau informatique.