Quarante-six pages de recommandations et un partage d’expériences instructif. L’Anssi vient de publier son état de la menace sur le cloud computing, ces services d’informatique en nuage. Outre près d’une quarantaine de préconisations pour booster ses défenses – de l’application d’une bonne hygiène numérique à la supervision de la sécurité des ressources client -, le cyber-pompier a donné également quelques exemples concrets de ses interventions.
Ainsi, l’an dernier, ses agents ont été dépêchés au chevet d’un opérateur de communications électroniques. Ce dernier avait été piraté à la suite d’une compromission d’un équipement de sécurité Palo Alto. Résultat: une “indisponibilité des ressources” pour l’entreprise et ses clients “durant plusieurs semaines”.
Autre exemple: toujours l’an dernier, cet opérateur proposant sa solution pour des professionnels de santé a été victime d’une attaque par rançongiciel qui a fait tomber sa plateforme SaaS, sa solution logicielle applicative hébergée à distance. Il avait été visé par des pirates affiliés à LockBit. Ces dernières avaient profité d’une vulnérabilité dans un équipement de sécurité Citrix NetScaler.
Des crypto-mineurs
L’Anssi signale également avoir observé le dépôt d’un crypto-mineur dans “plusieurs compromissions récentes”. Dont celle, poursuit l’agence, d’une machine appartenant à une entreprise française d’infogérance proposant des services cloud. “Le ralentissement des machines virtuelles des clients a été à l’origine de la détection du code malveillant”, signale-t-elle.
Toujours dans le domaine du crypto-minage, il y a deux ans, les opérateurs de TeamTNT auraient également “compromis une partie de l’environnement cloud d’une entreprise française du secteur de la santé dans l’objectif d’y déposer des cryptomineurs”, rapporte l’Anssi. Tout avait commencé avec un accès initial sur un serveur exposé sur Internet. Les attaquants avaient alors réussi à se déplacer sur l’infrastructure cloud… Pour y créer quatre nouvelles machines virtuelles dédiées au minage de crypto-monnaies.
Pour espionner ou pour attaquer
De même, des agents de l’Anssi ont repéré des détournements de services cloud pour espionner ou pour attaquer. Exemple avec ces compromissions de comptes de messagerie Office 365. Le cyber-pompier a identifié des attaquants qui ajoutaient des adresses courriels de secours. Ils généraient aussi des jetons de secours à usage unique. Ou encore activaient des règles de transfert automatique.
“Ces actions rendent de fait inopérante l’éviction de l’acteur malveillant via la seule mise en place d’une politique d’authentification multi-facteurs”, note l’Anssi. Dans le même ordre d’idées, la compromission d’un environnement cloud peut servir à atteindre d’autres cibles en lançant ensuite des messages d’hameçonnage “depuis les comptes de messagerie électronique compromis”.
L’Anssi a enfin découvert récemment, après la compromission d’une société de services numériques, une attaque élaborée ayant visé l’un de ses développeurs. Il avait été contacté “via une plateforme de travail free-lance et incité à télécharger du code malveillant en dissimulant les flux via l’API GitHub [la plateforme de code partagé] à destination d’un compte créé par l’attaquant”, avertit le cyber-pompier. Autant d’exemples à méditer pour éviter d’être la prochaine victime.