Aujourd'hui, nous allons décrire un phénomène de piratage moins connu appelé hackers « Man in the Cloud » (MITC). Centre de défense des applications Imperva La branche de recherche a publié il y a quelques semaines un rapport décrivant ce problème de manière très détaillée. Alinity est un service basé sur le cloud, mais d'autres services cloud tels que Dropbox, GoogleDrive, OneDrive, etc. sont la cible des pirates informatiques du MITC. Au lieu de nous concentrer sur les cloud des individus, nous nous concentrerons sur les cloud des entreprises. C’est là qu’ils recherchent généralement des informations financières ou des secrets d’affaires à révéler ou à revendre illégalement.
Comment le hacker entre-t-il ?
De nombreuses personnes utilisent des cloud auxquels ils autorisent l'accès à de nombreux appareils (ordinateur portable personnel, ordinateur portable professionnel, téléphone intelligent, tablette, etc.) et chacune de ces autorisations est appelée un jeton. Avoir un token signifie que l'utilisateur du cloud n'a plus besoin de saisir son mot de passe pour se connecter au cloud. Le problème se produit lorsqu'un pirate informatique « vole » ce jeton, quel que soit l'appareil, et accède au compte, aux données ou transmet des virus via l'appareil. Puisque le pirate informatique utilise un jeton, le serveur pensera que le pirate informatique est le propriétaire du compte et le propriétaire du compte ne sera pas au courant du piratage. Malheureusement, changer les mots de passe ne fait rien pour résoudre ce problème.
L’ingénierie sociale est l’une des méthodes utilisées par le pirate informatique pour entrer. Ceci est fait par le hacker tromperie la victime à remettre son mot de passe. Cela se fait à travers Hameçonnage.
Ce type d'attaque ne modifie pas le nom d'utilisateur et le mot de passe de l'utilisateur, il est donc difficile à détecter. Il ne reste même que très peu, voire aucune preuve, après un piratage. Si vous remarquez une activité inhabituelle sur votre compte ou sur tout appareil connecté à votre cloud, ne l'ignorez pas. Cela pourrait constituer un problème sérieux.
Que fait le hacker ?
Une fois que le pirate informatique a volé un jeton et a accédé au cloud, il « trompera » un nouvel appareil avec celui-ci, et le pirate informatique attaquera en infectant les fichiers synchronisés entre les appareils. Les pirates exploiteront les services courants de synchronisation de fichiers pour les communications de commande et de contrôle, l'accès à distance, l'exfiltration de données et même le piratage des points finaux en les reconfigurant.
Définitions des termes ci-dessus :
Synchronisation de fichiers : garantir que les fichiers situés à plusieurs emplacements sont tous mis à jour. Par exemple, si un fichier sur GoogleDrive était mis à jour sur un téléphone intelligent, il serait mis à jour dans GoogleDrive, puis sur tous les appareils disposant d'un jeton vers GoogleDrive.
Communications de commandement et de contrôle (C&C): Cela fait référence à la capacité du pirate informatique à émettre des commandes et des contrôles sur le système piraté.
Accès à distance: La possibilité d'accéder à un ordinateur ou à un réseau à partir d'un emplacement géographique distant et de garder leur emplacement anonyme.
Exfiltration de données : Il s’agit du transfert non autorisé de données. Cela peut malheureusement être fait de manière malveillante sur un réseau et sans accès physique (c'est-à-dire via le cloud).
Piratage des points de terminaison: Un point de terminaison est l'appareil que les individus utilisent pour se connecter au réseau, tel qu'un ordinateur portable, une tablette ou un téléphone intelligent. Le piratage des points de terminaison se produit lorsque ces appareils sont cambriolés. Malheureusement, la récupération est pratiquement impossible, la seule façon de récupérer serait donc de supprimer le compte, d'en créer un nouveau et de générer un nouveau jeton.
Comment puis-je protéger mon association ?
- Cryptez les fichiers avant de les télécharger sur les services cloud, de cette façon les pirates ne verront que les données cryptées qui n'auront aucun sens pour eux. Ne stockez pas non plus la clé de cryptage dans le cloud.
- L'activation de l'authentification en 2 étapes permettrait au propriétaire du compte de savoir, par e-mail, SMS ou appel, que son compte a été connecté à partir d'un nouvel appareil. La seule façon pour le pirate informatique de continuer à se connecter est si le propriétaire du compte vérifie l'appareil à partir du message d'authentification.
- Configurez votre cloud pour envoyer des alertes de connexion (le cas échéant), cela signifie que vous n'avez pas besoin de vérifier une connexion, mais vous recevrez une notification chaque fois que votre compte sera connecté sur un nouvel appareil.
- De nombreuses organisations commencent à souligner l’importance de la sécurité des terminaux. Cela signifie que les organisations surveillent de plus près les appareils distants qui constituent des points d'entrée potentiels au réseau.
- Surveillez et protégez les ressources de données dans le cloud en surveillant les données les plus importantes et en voyant si elles présentent une activité inhabituelle, comme une ouverture plus importante qu'elles ne le seraient normalement. Si l'on y accède de manière suspecte plus que d'habitude, quelqu'un pourrait chercher des informations à prendre.
Un homme peut-il entrer dans le nuage d'Alinity ?
Alinité est en fait pas sensible au piratage MITC (oui !). Les mots de passe de nos clients sont cryptés à sens unique, donc si un pirate informatique pénétrait dans Alinity, il ne pourrait trouver aucun des mots de passe de nos clients, ni rien de très précieux. Les tokens d'Alinity ne sont pas non plus accessibles car ils sont stockés à un endroit différent de celui du mot de passe. Cela signifie que le pirate informatique devrait pirater deux parties d'Alinity afin d'obtenir les informations d'une seule personne. Ce qui rend l'accès deux fois plus difficile !