Un nouveau rapport rvle que 67 % des entreprises synchronisent systmatiquement la plupart des mots de passe de leurs utilisateurs depuis leurs annuaires sur site vers leurs homologues dans le cloud. Cela pose des risques de scurit importants en crant une passerelle permettant aux attaquants de pirater ces environnements partir des paramtres sur site.
Le rapport de Silverfort montre que dans la rue vers le cloud, les lacunes de scurit dcoulant de l’infrastructure existante, des mauvaises configurations et des fonctions intgres non scurises crent des voies d’accs au cloud pour les attaquants, ce qui affaiblit considrablement la rsilience d’une entreprise face aux menaces lies l’identit.
« L’identit est le sujet sensible par excellence. Nous savons que l’identit joue un rle cl dans presque toutes les cyberattaques. Lockbit, BlackCat, TA577, Fancy Bear – ils utilisent tous les failles d’identit pour s’introduire, se dplacer latralement et obtenir plus d’autorisations« , dclare Hed Kovetz, PDG et cofondateur de Silverfort. « Mais nous avons besoin de connatre la frquence de chaque faille de scurit identitaire pour pouvoir commencer les corriger mthodiquement. Enfin, nous disposons de preuves concrtes de la frquence des failles de scurit identitaire, que nous pouvons dsormais classer comme Password Exposers, Lateral Movers ou Privilege Escalators, et qui sont autant de moyens pour les acteurs de la menace de mener bien leurs attaques. Nous esprons qu’en mettant en lumire la prvalence de ces problmes, les quipes charges de l’identit et de la scurit disposeront des chiffres concrets dont elles ont besoin pour hirarchiser les investissements de scurit adquats et liminer ces angles morts.«
Il en ressort notamment que deux tiers des comptes d’utilisateurs s’authentifient via le protocole NTLM, faiblement chiffr, ce qui permet aux pirates d’accder facilement aux mots de passe en clair.
En outre, une seule mauvaise configuration d’un compte Active Directory engendre en moyenne 109 nouveaux administrateurs fictifs. Les administrateurs fictifs sont des comptes d’utilisateurs ayant le pouvoir de rinitialiser les mots de passe ou de manipuler les comptes d’autres manires. Les attaquants utilisent les administrateurs fictifs pour modifier les paramtres et les autorisations et obtenir un accs plus large aux machines mesure qu’ils s’enfoncent dans un environnement.
31 % des comptes d’utilisateurs sont des comptes de service. Ceux-ci sont utiliss pour les communications entre machines et disposent d’un niveau lev d’accs et de privilges. Les attaquants ciblent ces comptes car les quipes de scurit les ngligent souvent. En effet, seules 20 % des entreprises sont convaincues d’avoir une visibilit sur tous les comptes de service et de pouvoir les protger.
En outre, 13 % des comptes d’utilisateurs sont classs dans la catgorie « stale », c’est–dire qu’il s’agit de comptes d’utilisateurs dormants que l’quipe informatique a peut-tre oublis. Ces comptes sont eux aussi des cibles faciles pour les mouvements latraux et pour chapper la dtection des attaquants.
Source : « The identity underground report » (Rapport de Silverfort)
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette tude de Silverfort crdibles ou pertinentes ?
Voir aussi :