Date le géant de l'entreposage Snowflake a révélé le 23 mai 2024 avoir subi une violation de données touchant au moins 165 de ses clients. Étant donné que les clients de Snowflake sont des géants du secteur tels que LiveNation et Santander Bank, cet incident s'annonce déjà comme l'une des violations de données les plus importantes de l'histoire.

Snowflake n'a pas encore révélé précisément comment cet incident s'est produit. Cependant, les déclarations de Snowflake et des enquêteurs légistes en son nom indiquent que cette violation était le résultat d'un vol d'identifiants.

Snowflake a déclaré publiquement que « l'acteur malveillant a obtenu des informations d'identification personnelles et a accédé à un compte de démonstration appartenant à un ancien employé de Snowflake », et Mandiant (qui a été embauché par Snowflake pour aider à l'enquête médico-légale sur l'attaque), a déclaré que « L'enquête de Mandiant n'a trouvé aucune preuve suggérant que l'accès non autorisé aux comptes clients de Snowflake provenait d'une violation de l'environnement d'entreprise de Snowflake. Au lieu de cela, chaque incident auquel Mandiant a répondu associé à cette campagne a été retracé jusqu’aux informations d’identification compromises des clients.

Les identifiants des utilisateurs peuvent être volés de diverses manières, dont certaines sont sous le contrôle de l'organisation et d'autres non. Néanmoins, il est utile d’examiner les manières les plus courantes par lesquelles les attaquants volent les informations d’identification et comment réduire les risques que cela se produise.

Comment les attaquants volent les informations d’identification

  • Hachages de mots de passe faibles provenant de violations de données précédentes: Se souvenir des mots de passe est difficile, et de nombreux utilisateurs choisissent simplement de ne pas s'en soucier. Cela fait de la réutilisation des mots de passe l’un des maux connus de la sécurité des identités moderne. De plus, si vous êtes connecté à Internet, vous avez malheureusement très probablement été victime d’une exposition de données. Si l’on met ces deux éléments ensemble, le résultat est que les violations passées, à grande échelle et très médiatisées contiennent probablement de nombreux mots de passe qui sont valides non seulement pour les comptes violés, mais également pour de nombreux autres comptes de ces utilisateurs.

Les mots de passe sont cryptés sous forme de hachages, et lorsqu'une violation de données contenant des mots de passe se produit, ceux-ci sont généralement stockés sous forme de hachages et non de texte brut. Cependant, les progrès constants de la puissance de calcul permettent aux attaquants de déchiffrer de plus en plus facilement les hachages au format texte brut. Même si un mot de passe moyennement fort génère un hachage trop complexe pour être déchiffré dans un délai raisonnable, les mots de passe plus faibles sont vulnérables à de telles tactiques. Et lorsque ces mots de passe sont réutilisés sur plusieurs comptes, cela entraîne une exposition dangereuse.

  • Partage de compte: Bien qu’ils ne constituent pas un vecteur d’attaque en soi, les comptes partagés constituent une source courante d’exposition des informations d’identification. En effet, lorsque les mêmes informations d’identification sont partagées entre plusieurs utilisateurs, le risque d’exposition augmente de façon exponentielle. De plus, les comptes partagés ont tendance à disposer d'autorisations étendues (pour s'adapter à la variété des cas d'utilisation par différents utilisateurs) et n'ont généralement pas d'authentification unique (SSO) ni d'authentification multifacteur (MFA) activées. Ces traits communs font des comptes partagés des candidats privilégiés à l’exposition des informations d’identification, avec des effets désastreux sur les organisations.
  • L'hameçonnage: Bien que de nombreuses organisations utilisent des services de filtrage d'URL basés sur un proxy, des passerelles Web sécurisées (SWG) et des solutions DLP pour les points de terminaison, les cybercriminels se sont adaptés et ont appris à contourner les méthodes anti-hameçonnage traditionnelles. En effet, les méthodes anti-phishing conventionnelles s'appuient sur des flux d'URL ou de textes malveillants connus. Cependant, les auteurs de stratagèmes de phishing ont appris à utiliser des URL de courte durée (souvent « actives » pendant quelques minutes seulement), des textes adaptatifs et à se cacher derrière des services d'hébergement Web légitimes pour éviter d'être détectés ou bloqués.

Résultat : malgré tous les efforts déployés pour le combattre, le bon vieux phishing est toujours d’actualité. En fait, selon le Rapport d'enquête sur les violations de données Verizon 2024 (DBIR), le phishing est responsable de 40 % des fuites de données.

  • Extensions de navigateur malveillantes: Pourquoi travailler dur pour attirer des utilisateurs sans méfiance si vous pouvez leur demander de vous amener sur leurs ordinateurs et de vous donner les clés du royaume ? Les extensions de navigateur sont devenues un incontournable du monde axé sur le navigateur, et les utilisateurs s'appuient généralement sur des extensions pour la communication, la productivité, les achats, etc.

Le problème, cependant, est que les extensions de navigateur se voient systématiquement accorder des autorisations étendues, notamment des mots de passe, des cookies, des jetons de session, etc. Les extensions de navigateur malveillantes utilisent ces autorisations étendues pour voler des données sur les ordinateurs des utilisateurs et sont devenues une source importante de vol d'informations d'identification.

Mesures concrètes pour atténuer le risque :

Les techniques mentionnées ci-dessus ne sont qu’un aperçu de la gamme de méthodes utilisées par les pirates pour voler les informations d’identification des utilisateurs. Néanmoins, il existe plusieurs mesures de bon sens et réalisables que les organisations peuvent prendre pour réduire considérablement le risque :

  • Appliquer des mots de passe forts: C'est l'astuce la plus ancienne du livre, mais elle reste toujours vraie. Des mots de passe forts rendront difficile aux attaquants la force brute ou l'ingénierie inverse des mots de passe, même avec une formidable puissance de calcul de leur côté.
  • Éliminer les comptes partagés: l'élimination des comptes partagés contribuera grandement à réduire votre surface de menace et à garantir que chaque utilisateur dispose d'un compte distinct, surtout lorsque vous le combinez avec la recommandation suivante :
  • Forcer SSO et MFA: obliger les utilisateurs à utiliser uniquement leurs comptes d'organisation et rendre obligatoire l'utilisation de MFA garantit non seulement un niveau de protection plus élevé, mais prend également en charge la gouvernance et la conformité des identités.
  • Déployez des protections contre le phishing de nouvelle génération: ceux-ci ne sont pas basés sur des flux de pages Web et d'URL malveillantes connues, mais analysent activement chaque page Web individuelle et génèrent sa propre évaluation des risques indépendante.
  • Bloquer les extensions de navigateur à risque: empêchez le vol de mots de passe, la récolte de cookies et l'exposition des jetons de session en désactivant et en bloquant les extensions de navigateur à risque.

Comment LayerX atténue l'exposition des informations d'identification Snowflake

LayerX est une plateforme de sécurité de navigateur qui s'intègre nativement à n'importe quel navigateur. Il fournit une surveillance continue, une analyse des risques et une application en temps réel de tout événement et activité utilisateur au cours de la session de navigation.

LayerX peut aider à atténuer le risque d’exposition des informations d’identification Snowflake de plusieurs manières :

  1. Obtenez une visibilité sur l'utilisation des informations d'identification Snowflake: découvrez quels utilisateurs utilisent des comptes Snowflake et si l'un des comptes Snowflake est partagé entre plusieurs utilisateurs.
  2. Forcer la rotation des mots de passe Snowflake: Assurez-vous que tous les mots de passe Snowflake sont modifiés, bloquant ainsi tout accès futur.
  3. Obliger l'utilisation du SSO sur les comptes Snowflake: assurez-vous que tous les comptes Snowflake utilisent des informations d'identification d'entreprise soutenues par SSO et MFA.

Contactez-nous aujourd'hui pour planifier une démo et voyez comment LayerX peut vous aider à vous protéger !