Menace cyber ? Toutes les entreprises sont concernées

Mal sécurisée, l'exploitation des identités machines dans le quotidien d'une entreprise peut mettre en évidence une fragilité latente et donc un point d'attaque pour les hackers.

Fort est de constater que les attaques informatiques visant les organisations ont fortement repris et malheureusement aucun secteur n’est épargné ! Au cœur du problème ? L’usurpation des identités machines. Dans la majorité des cas, nous constatons que c’est avant tout la mauvaise gestion des identités machines et signatures de codes qui profitent aux pirates informatiques. SolarWinds et Kaseya en sont d’ailleurs de parfaits exemples… À cela s’est ajoutée la pandémie qui a bien complexifié le problème ! La transition opérée vers le cloud, le télétravail, la mobilité, ainsi que le recours croissant aux objets connectés (IoT), ont modifié le monde de l’entreprise…. Et sans doute de manière permanente.
À l’heure où les innovations technologiques deviennent critiques pour la survie de nombreuses entreprises, la sécurité est malheureusement souvent mise de côté. Nous ne le répétons pas assez, la gestion renforcée des identités machine est un enjeu stratégique et doit désormais se placer au premier plan, pour permettre aux organisations de se mettre à niveau afin de protéger tant leurs clients que leurs actifs professionnels.

Avoir conscience de l'importance de l'identité machines

Les machines contrôlent tout, de la connectivité aux flux de données. Les ordinateurs, les objets connectés (IoT), les appareils mobiles, les applications, ainsi que les équipements de bureautique – imprimantes et fax –, les conteneurs et les microservices jouent tous un rôle actif au sein des environnements d’entreprises modernes.

Chaque machine a besoin d’une identité unique pour gérer et sécuriser ses connexions avec d’autres machines et ses communications au sein d’un réseau. Ces appareils se voient attribuer un identifiant digital faisant office d’identité machine : certificat SSL ou TLS, certificat de sécurité à signature de code, token d’authentification ou clé SSH. 

Les identités machine sont indispensables pour le traitement des milliards de transactions enregistrées chaque jour dans le monde, allant du routage au traitement de ces opérations financières. Rien d’étonnant dès lors qu’elles soient la cible idéale de cyberattaquants cherchant à les corrompre à tout prix.

Intégrer qu'une identité machine est une cible idéale pour les pirates informatiques

Il suffit d’une seule identité machine mal gérée ou insuffisamment protégée pour provoquer un problème de sécurité. A partir du moment où une identité a été volée ou exploitée par des pirates, ces derniers peuvent s’en servir pour exécuter du code malveillant, s’emparer de données, espionner l’activité, ou encore diffuser un rançongiciel.

Nombre d'entreprises ne sont pas encore bien conscientes des risques encourus. Le nombre de cyberattaques exploitant des identités machine augmente chaque année ; il a ainsi bondi de 700% entre 2015 et 2019, et même de 400% rien qu’entre 2018 et 2019.

Identifier les points d'attaque qui peuvent être très divers

Les cybercriminels traquent inlassablement les failles éventuelles des réseaux d’entreprise et celles de leurs protocoles de gestion des identités machine. Si leur modus operandi évolue en permanence, de grandes tendances perdurent : 

  •  Corruption de certificats de sécurité SSL/TLS : Des pirates utilisent des certificats volés ou contrefaits pour concevoir des sites web en apparence légitimes et inoffensifs. Certains se servent aussi de certificats dont la validité a expiré pour espionner des communications ou intervenir lors de transactions.
  •  Exploitation de certificats de signature de code dont les protections sont inadaptées :  Les certificats de signature de code sont essentiels pour authentifier et vérifier l’intégrité, mais peuvent être exploités pour la signature de programmes malveillants (malware). 
  •  Exploitation indue de clés SSH :  Les clés SSH servent à accéder à des canaux chiffrés et sécurisés pour instaurer un climat de confiance. Mais si ces clés viennent à être abandonnées, sont oubliées, non contrôlées ou acquises via des transactions sur le dark web, les conséquences peuvent être fâcheuses pour des actifs et comptes d’entreprises qui sont alors des proies idéales pour détourner des données. 

De nombreuses souches de programmes malveillants courants sont capables d’exploiter des clés SSH. Les attaques par force brute affaiblissent les identifiants utilisés sur des serveurs publics et l’ajout de clés à des logs de clés autorisées peut ouvrir la voie au vol d’identifiants, à des mouvements latéraux et permettre au programme malveillant de résider dans des systèmes infectés. Les variantes Trickbot, CryptoSink et Skipmap en sont de parfaits exemples, puisqu’elles affichent toutes ces caractéristiques.

Entre 2014 et 2019, le développement de programmes malveillants très faciles d’accès et capables d’exploiter indument des identités machine, a explosé, augmentant ainsi de 300% en 5 ans.

Se protéger avec des solutions qui permettent une plus grande visibilité sur les systèmes de l’entreprise

La gestion de l’identité machines est une tâche très chronophage et difficile.

La majorité des organisations ne savent pas de combien de certificats et de clés elles disposent. Avec le passage rapide au travail hybride et du nombre d’appareils connectés aux réseaux des entreprises -qui peuvent être la cible d’une attaque de grande ampleur-, les organisations doivent absolument mettre l’accent sur la protection des identités de leurs machines pour sécuriser leurs réseaux.

Il est désormais essentiel d’adopter des solutions de gestion des identités machine afin de protéger les flottes d’appareils et donner aux équipes informatiques une plus grande visibilité sur les systèmes qu’elles s’efforcent de sécuriser, sans pour autant compliquer leur travail. L’automatisation peut simplifier cette tâche et réduire les risques d’erreur humaine susceptible d’occasionner une fuite de données. 

Mais cela ne suffira pas : la sécurité doit être renforcée à chaque étape du cycle de développement d’un logiciel, afin de réduire les risques de corruption d’identités de machines, de certificats et de clés.

Les entreprises doivent adopter une politique de sécurité globale, à tous les niveaux, des équipes informatiques jusqu’à la ligne de front.