La synchronisation des mots de passe dans le cloud expose les entreprises aux cyberattaques, en permettant le piratage de ces environnements à partir des paramètres "sur site", d'après Silverfort

Un nouveau rapport révèle que 67 % des entreprises synchronisent systématiquement la plupart des mots de passe de leurs utilisateurs depuis leurs annuaires sur site vers leurs homologues dans le cloud. Cela pose des risques de sécurité importants en créant une passerelle permettant aux attaquants de pirater ces environnements à partir des paramètres sur site.

Le rapport de Silverfort montre que dans la ruée vers le cloud, les lacunes de sécurité découlant de l'infrastructure existante, des mauvaises configurations et des fonctions intégrées non sécurisées créent des voies d'accès au cloud pour les attaquants, ce qui affaiblit considérablement la résilience d'une entreprise face aux menaces liées à l'identité.

Nom : password.jpg
Affichages : 8906
Taille : 55,5 Ko

"L'identité est le sujet sensible par excellence. Nous savons que l'identité joue un rôle clé dans presque toutes les cyberattaques. Lockbit, BlackCat, TA577, Fancy Bear - ils utilisent tous les failles d'identité pour s'introduire, se déplacer latéralement et obtenir plus d'autorisations", déclare Hed Kovetz, PDG et cofondateur de Silverfort. "Mais nous avons besoin de connaître la fréquence de chaque faille de sécurité identitaire pour pouvoir commencer à les corriger méthodiquement. Enfin, nous disposons de preuves concrètes de la fréquence des failles de sécurité identitaire, que nous pouvons désormais classer comme Password Exposers, Lateral Movers ou Privilege Escalators, et qui sont autant de moyens pour les acteurs de la menace de mener à bien leurs attaques. Nous espérons qu'en mettant en lumière la prévalence de ces problèmes, les équipes chargées de l'identité et de la sécurité disposeront des chiffres concrets dont elles ont besoin pour hiérarchiser les investissements de sécurité adéquats et éliminer ces angles morts."

Il en ressort notamment que deux tiers des comptes d'utilisateurs s'authentifient via le protocole NTLM, faiblement chiffré, ce qui permet aux pirates d'accéder facilement aux mots de passe en clair.

En outre, une seule mauvaise configuration d'un compte Active Directory engendre en moyenne 109 nouveaux administrateurs fictifs. Les administrateurs fictifs sont des comptes d'utilisateurs ayant le pouvoir de réinitialiser les mots de passe ou de manipuler les comptes d'autres manières. Les attaquants utilisent les administrateurs fictifs pour modifier les paramètres et les autorisations et obtenir un accès plus large aux machines à mesure qu'ils s'enfoncent dans un environnement.

31 % des comptes d'utilisateurs sont des comptes de service. Ceux-ci sont utilisés pour les communications entre machines et disposent d'un niveau élevé d'accès et de privilèges. Les attaquants ciblent ces comptes car les équipes de sécurité les négligent souvent. En effet, seules 20 % des entreprises sont convaincues d'avoir une visibilité sur tous les comptes de service et de pouvoir les protéger.

En outre, 13 % des comptes d'utilisateurs sont classés dans la catégorie "stale", c'est-à-dire qu'il s'agit de comptes d'utilisateurs dormants que l'équipe informatique a peut-être oubliés. Ces comptes sont eux aussi des cibles faciles pour les mouvements latéraux et pour échapper à la détection des attaquants.

Source : "The identity underground report" (Rapport de Silverfort)

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette étude de Silverfort crédibles ou pertinentes ?

Voir aussi :

83 % des professionnels du cloud se disent confiants dans l'efficacité de la sécurité des mots de passe, malgré les risques de cyberattaques, selon une étude de Beyond Identity

En l'absence de politiques efficaces de gestion des identités et des accès dans le cloud, les entreprises laissent la porte ouverte aux pirates informatiques, selon un rapport