L'adoption massive et généralisée du cloud dans les années 2010 et 2020 a profondément modifié les profils de risque des organisations. Les erreurs de configuration du cloud, les nouveaux systèmes de gestion des identités et des accès, la prolifération des secrets et l'adoption rapide ont entraîné de nombreuses violations de données et incidents de sécurité. De nombreux acteurs malveillants ont également réorienté leurs tactiques, privilégiant désormais l'accès aux systèmes cloud.
Vos identifiants cloud sont-ils déjà exposés ?
Flare surveille les journaux des voleurs de données, GitHub, DockerHub, les dépôts de code publics et les compartiments cloud mal configurés, afin que vous puissiez trouver les secrets et les identifiants exposés avant les attaquants.
Implications du renseignement sur les menaces pour les systèmes cloud
La migration massive vers l'infrastructure cloud au cours de la dernière décennie a profondément modifié la manière dont les organisations sont victimes de cyberattaques. Lorsque vos systèmes critiques sont hébergés sur AWS, Azure et GCP, et que vos employés s'authentifient via Okta, Google Workspace et Microsoft 365, le périmètre réseau traditionnel devient obsolète. Le nouveau périmètre, c'est l'identité, et les attaquants le savent.
Ce changement a des conséquences majeures pour le renseignement sur les menaces. Les équipes de sécurité ne peuvent plus se concentrer exclusivement sur la télémétrie interne et la détection des terminaux. Elles ont besoin d'une visibilité sur l'environnement des menaces externes : les forums du dark web, les chaînes Telegram illicites et les marchés criminels où les identifiants de connexion cloud volés sont achetés, vendus et exploités.
Les violations de sécurité dans le cloud commencent rarement par des exploits zero-day sophistiqués. Le plus souvent, elles débutent par quelque chose de beaucoup plus simple : des identifiants volés.
Malware voleur d'informations Le cloud est devenu le principal vecteur de compromission. Des familles de logiciels malveillants comme RedLine, Raccoon et Lumma collectent les identifiants enregistrés dans les navigateurs, notamment les sessions SSO, les connexions aux consoles cloud et les mots de passe des applications SaaS. Ces identifiants volés se retrouvent dans des journaux de voleurs diffusés sur les marchés du dark web et les chaînes Telegram, souvent quelques heures seulement après l'infection.
Un seul journal de vol d'informations provenant de l'appareil compromis d'un employé peut contenir :
- Chaînes de connexion à la base de données
- Identifiants de la console AWS
- Cookies de session Okta ou Azure AD
- jetons Slack et Microsoft Teams
- jetons d'accès GitHub ou GitLab
Pour les attaquants, c'est une aubaine. Les cookies de session permettent de contourner complètement l'authentification multifacteur. Une authentification AWS valide ouvre la voie à des déplacements latéraux au sein de toute votre infrastructure cloud.
Stockage cloud mal configuré Il s'agit d'une autre menace persistante. Les compartiments S3, les blobs Azure et les instances de stockage GCP exposés continuent de divulguer des données sensibles, et les acteurs malveillants les recherchent activement. Lorsqu'ils trouvent des données précieuses, celles-ci se retrouvent souvent sur des forums du dark web ou des canaux Telegram privés avant même que l'organisation ne prenne conscience de sa vulnérabilité.
Courtiers en accès initial Ils se sont également adaptés à l'ère du cloud. Plutôt que de vendre des accès RDP à des serveurs sur site, beaucoup se spécialisent désormais dans l'accès au cloud : comptes d'administrateur compromis, clés API valides ou accès persistant à des environnements cloud. Ces offres apparaissent sur des forums comme Exploit et XSS, avec des prix allant de quelques centaines à plusieurs dizaines de milliers de dollars selon la cible.
Surveillance des expositions au cloud
Une veille efficace sur les menaces dans le cloud nécessite une visibilité sur les endroits où les identifiants volés et les accès non autorisés se manifestent réellement :
Marchés de logs Stealer et chaînes Telegram Des millions d'identifiants compromis sont distribués chaque jour. La surveillance de ces sources permet aux équipes de sécurité d'identifier les identifiants cloud exposés avant que les attaquants ne les utilisent, ce qui leur laisse souvent quelques heures ou quelques jours pour réinitialiser les mots de passe et révoquer les sessions.
Forums et places de marché du dark web Les plateformes d'accès initial publient des annonces de courtiers, des annonces de fuites de données et des discussions sur le ciblage d'organisations spécifiques. La détection précoce de ces annonces peut faire la différence entre un incident limité et une fuite de données à grande échelle.
Une annonce de courtier en accès initial offrant un accès aux environnements cloud d'entreprise d'une société des sciences de la vie.
Sites de collage et dépôts de code Ces systèmes contiennent fréquemment des secrets exposés accidentellement : clés API, identifiants de base de données et jetons d’accès au cloud. La surveillance automatisée permet de détecter ces vulnérabilités avant les acteurs malveillants.
Chaînes Telegram illicites Ces plateformes sont devenues un point de distribution privilégié pour les données et identifiants volés, fonctionnant souvent avec une plus grande fluidité que les forums traditionnels du dark web. Une surveillance en temps réel est essentielle compte tenu de la rapidité avec laquelle les données y circulent.
Renseignements sur les menaces dans le cloud : de la détection à la remédiation
L'intérêt des renseignements sur les menaces externes réside dans leur capacité à permettre d'agir. Lorsque vous découvrez les identifiants cloud d'un employé dans un journal de vol de données, vous pouvez immédiatement :
- Forcer une réinitialisation du mot de passe et une révocation de session
- Examinez les journaux d'accès pour détecter toute activité non autorisée.
- Examinez le périphérique source pour détecter une infection active par un logiciel malveillant.
- Évaluer les données ou les systèmes auxquels les identifiants compromis pourraient accéder.
Cette approche proactive transforme le renseignement sur les menaces d'une simple fonction de reporting en une capacité de sécurité opérationnelle, permettant de détecter les vulnérabilités avant qu'elles ne deviennent des incidents.
Connexion de la télémétrie externe et interne
Les renseignements sur les menaces externes fournissent le contexte qui rend les données de sécurité internes exploitables.
Ce qui est révélé
Fichiers cleptogiciels
Identifiants compromis et cookies de session
GitHub / DockerHub
Des secrets et des clés API ont fuité dans le code.
Cloud Buckets
Expositions de stockage mal configurées
Dark Web / Telegram
Listes d'accès et publications sur les violations de données
Où regarder
Gestion des informations et des événements de sécurité (SIEM)
Corréler avec les journaux d'authentification
EDR
Enquêter sur les points de terminaison compromis
Gestion des identités et des accès (IAM) / Fournisseur d'identité (IdP)
Réinitialiser les identifiants et révoquer les sessions
SOAR
Automatiser les scénarios de réponse
Comment le renseignement externe enrichit la réponse interne
Examen ciblé des journaux
Investigation des dispositifs
Correction proactive
Évaluation du rayon d'explosion
Le contexte externe rend les données internes exploitables
Sans connaître les éléments exposés à l'extérieur, les données télémétriques internes ne sont que du bruit. Les renseignements externes indiquent précisément à votre système de sécurité ce qu'il doit surveiller, transformant ainsi la surveillance réactive en une chasse proactive aux menaces.
Renseignements sur les menaces dans le cloud : pourquoi l’authentification multifacteur ne suffit pas
L'une des idées fausses les plus dangereuses en matière de sécurité du cloud est que l'authentification multifacteurs protège contre le vol d'identifiants. Ce n'est pas le cas, du moins pas contre le principal vecteur d'attaque auquel les équipes de sécurité sont confrontées aujourd'hui.
Comment les cookies de session contournent l'authentification multifacteur
Pour comprendre pourquoi l'authentification multifacteur (MFA) est insuffisante, il faut comprendre comment fonctionne réellement l'authentification moderne.
Lorsqu'un employé se connecte à un service cloud comme AWS, Azure ou Okta, il effectue l'intégralité du processus d'authentification : nom d'utilisateur, mot de passe et authentification multifacteur (MFA). Une fois l'authentification effectuée, le service émet un jeton de session — un cookie cryptographique stocké dans le navigateur qui atteste que l'authentification a déjà eu lieu. Pendant les heures (ou les jours, selon les politiques de session) qui suivent, ce cookie suffit pour accéder au compte. Aucun mot de passe. Aucune demande d'authentification multifacteur. Juste le cookie.
Les logiciels malveillants voleurs d'informations le savent. Lorsqu'ils infectent un appareil, RedLine, Raccoon ou Lumma ne se contentent pas de récupérer les mots de passe enregistrés ; ils extraient également les cookies de session actifs directement depuis le navigateur. Ces cookies sont des jetons d'authentification. Un attaquant qui en obtient un peut l'importer dans son propre navigateur et accéder immédiatement aux comptes cloud de la victime, contournant ainsi l'authentification multifacteur.
Cette technique, appelée détournement de session ou réutilisation de cookies, est devenue la méthode dominante pour compromettre les comptes cloud. L'attaquant n'a jamais besoin de déclencher une demande d'authentification multifacteur puisqu'il ne s'authentifie pas : il poursuit une session déjà authentifiée.
Ce qui rend cela particulièrement dangereux :
- Aucune alerte d'authentification : La victime s'est déjà authentifiée légitimement. L'accès de l'attaquant semble être la continuation d'une session valide.
- Les anomalies de géolocalisation peuvent être le seul signal : Si l'attaquant se connecte depuis un autre endroit, la détection de déplacements impossibles pourrait le repérer, mais de nombreuses organisations n'ont pas configuré cette fonction, et les VPN peuvent masquer la véritable localisation de l'attaquant.
- La durée de vie des sessions est généreuse : De nombreux services cloud maintiennent les sessions pendant 8 à 24 heures par défaut. Certaines persistent même pendant plusieurs jours. Cela représente une large fenêtre d'exploitation.
- Les jetons d'actualisation étendent encore davantage l'accès : Les jetons d'actualisation OAuth peuvent permettre aux attaquants de conserver l'accès même après l'expiration de la session d'origine.
Ce que les défenseurs doivent surveiller :
Lors de l'investigation d'un éventuel détournement de session, concentrez-vous sur les indicateurs suivants dans vos journaux d'authentification et d'accès :
- La chaîne d'agent utilisateur change en cours de session (navigateur ou système d'exploitation différent)
- Voyage impossible (accès depuis des lieux géographiquement éloignés dans des délais improbables)
- Changements de réputation IP (adresse IP légitime suivie de la sortie du fournisseur d'hébergement ou du VPN)
- Anomalies des schémas d'accès (appels d'API inhabituels, services auxquels l'utilisateur n'accède pas normalement)
- Sessions simultanées depuis plusieurs lieux distincts
L'idée clé est que l'authentification multifacteur (MFA) est un contrôle d'authentification, et non un contrôle de session. Une fois l'authentification terminée, le rôle de la MFA est achevé. La protection contre le vol de session exige des durées de session plus courtes, une évaluation continue des accès et, surtout, une visibilité externe permettant de savoir si les cookies de session de vos employés circulent déjà dans les journaux des pirates.
Comment les cookies de session contournent l'authentification multifacteur
Les attaquants n'ont pas besoin de votre mot de passe ni de votre code d'authentification multifacteur ; ils ont simplement besoin du cookie de session de votre navigateur.
Connexion légitime
L'utilisateur saisit nom d'utilisateur + mot de passe
finalise Défi MFA
Problèmes de service cookie de session
Cookie stocké dans le navigateur, utilisé pour l'accès continu
Attaque par détournement de session
Infostealer extrait les cookies du navigateur
Cookie vendu via marché aux bûches de voleur
L'attaquant importe un cookie dans son navigateur
Accès accordé — L'authentification multifacteur a été contournée
L'authentification multifacteur (MFA) est un contrôle d'authentification, et non un contrôle de session.
Une fois l'authentification terminée, le rôle de l'authentification multifacteur (MFA) est achevé. Le cookie de session prouve que l'authentification a déjà eu lieu ; aucun mot de passe ni code MFA n'est requis pour continuer à accéder au site.
Signaux de détection du détournement de session
Voyage impossible
Accès depuis des lieux éloignés dans des délais invraisemblables
Modifications de l'agent utilisateur
Changer de navigateur ou de système d'exploitation en cours de session
Anomalies des schémas d'accès
Appels d'API inhabituels ou services auxquels l'utilisateur n'accède pas normalement
Changement de réputation IP
Adresse IP légitime suivie d'une sortie VPN ou du fournisseur d'hébergement
Renseignements sur les menaces dans le cloud : Indicateurs d’identification à surveiller
Pour une veille efficace sur les menaces dans le cloud, il est essentiel de savoir précisément ce qu'il faut rechercher. Lors de la surveillance des journaux de voleurs d'identifiants, des forums du dark web et des dépôts de code, voici les indicateurs spécifiques qui signalent une exposition des identifiants cloud.
Ce que cela signifie pour la surveillance
La spécificité est essentielle. Une surveillance générique du « dark web » qui recherche le nom de votre entreprise passera à côté de la majorité des fuites d'identifiants cloud. Une surveillance efficace requiert :
- Recherches spécifiques à un domaine sur les plateformes de partage de journaux de vol pour vos URL d'authentification
- Correspondance de modèle dans les dépôts de code pour les formats d'identification de votre fournisseur de cloud
- Extraction de cookies des capacités permettant d'identifier les jetons de session exposés, et pas seulement les mots de passe
- Numérisation continue compte tenu de la vitesse à laquelle les nouveaux journaux de voleurs sont publiés
Lorsque Flare détecte des identifiants correspondant à ces modèles associés à vos domaines, les équipes de sécurité obtiennent le contexte précis nécessaire pour agir : quel utilisateur, quel service et si des jetons de session actifs ont été exposés, et pas seulement des mots de passe.
Renseignements sur les menaces dans le nuage et éruptions
Flare est le leader Gestion de l'exposition aux menaces (TEM) Solution pour les organisations. Notre technologie analyse en permanence le web, y compris le web classique et le dark web, afin de détecter les événements inconnus, de hiérarchiser automatiquement les risques et de fournir des informations exploitables immédiatement pour renforcer la sécurité. La solution de veille sur les menaces de Flare aide votre équipe à surveiller vos ressources cloud, garantissant ainsi la sécurité de vos données.
Notre solution s'intègre à votre programme de sécurité en 30 minutes pour fournir à votre équipe des renseignements exploitables et des mesures correctives automatisées en cas d'exposition à haut risque. Voyez-le vous-même avec notre essai gratuit.
