Pour Tenable, encore trop d'instances cloud restent à risque

Le débat sur la sécurité du cloud est éternel. Tenable, spécialiste en cybersécurité, enfonce le clou en sortant son rapport sur les risques liés au cloud. Cette étude basée sur les données de télémétrie collectées par l’éditeur donne plusieurs enseignements. Ainsi, au cours du 1^er semestre 2024, 38% des entreprises présentaient au moins une charge de travail dans le cloud extrêmement vulnérable, configurée avec des privilèges excessifs et exposée publiquement. « Ce trio toxique du cloud crée un chemin d’attaque à haut risque et fait des charges de travail des cibles de choix pour les acteurs malveillants », souligne le rapport. Et d’ajouter, « plus d'un tiers des entreprises pourraient faire les gros titres demain ».

« Même si les workload présentent un ou deux de ces facteurs de risque, leurs répercussions sur la sécurité de l’entreprise sont potentiellement énormes », estime encore l’éditeur. « Les utilisateurs finaux de ces entreprises ont leur part de responsabilité », a déclaré Jeremy Roberts, directeur de recherche principal chez Info-Tech Research Group, qui n'a pas participé à l'étude. « Certes, le cloud est un outil comme un autre, mais tout dépend comment il est utilisé », a-t-il ajouté. « Un grand nombre de failles du cloud ne sont pas liées au fournisseur, mais résultent d’une gestion inefficace, comme la faille Capital One de 2019. En particulier, elle suppose de vérifier régulièrement les autorisations, d’appliquer les principes de zero trust et de recourir à une gestion centralisée (tours de contrôle, etc.) pour normaliser une base de sécurité. »

Le stockage cloud trop exposé

Toujours selon l'étude, au total, 74 % des entreprises ont des données stockées dans le cloud publiquement exposées, dont certaines contenaient des informations sensibles. Cette exposition est souvent due à des autorisations inutiles ou excessives. De plus, « comme les entreprises utilisent de plus en plus d’applications nativement cloud, la quantité de données sensibles qu'elles y stockent augmente également, y compris les informations sur les clients et les employés, ainsi que la propriété intellectuelle de l'entreprise, ce qui est très attractif pour les pirates ».

De fait, pendant la période d’analyse, Tenable a pu constater qu’un grand nombre d'attaques par ransomware ciblant le stockage cloud visaient des ressources du cloud public avec des privilèges d'accès excessifs. Or ces attaques auraient pu être évitées. Une ventilation de la télémétrie du stockage exposé a révélé que 39 % des entreprises avaient des buckets publics, que 29 % avaient des buckets publics ou privés avec trop de privilèges d’accès, et que 6 % avaient des buckets publics avec des privilèges d’accès excessifs.

Des clés d’accès trop permissives

Le stockage n'est pas le seul problème. Il est inquiétant de constater que 84 % des entreprises possèdent des clés d'accès inutilisées ou anciennes avec des autorisations excessives de gravité critique ou élevée. Or, selon l'étude, « elles ont joué un rôle majeur dans de nombreuses attaques et compromissions basées sur l'identité ». Tenable cite trois exemples d’utilisation abusive des clés : la violation de données de MGM Resorts, le piratage de la messagerie électronique de Microsoft et le logiciel malveillant FBot qui a ciblé les serveurs web, les services cloud et les logiciels SaaS, qui persiste et se propage sur AWS via les utilisateurs d'AWS IAM (gestion des identités et des accès/Identity and Access Management).

« Les clés d'accès et les autorisations qui leur sont attribuées sont au cœur des risques de l'IAM. Combinées, elles donnent littéralement les clés d’accès aux données stockées dans le cloud », pointe l'étude. Ajouter à cela le fait que 23 % des identités dans le cloud sur les principaux hyperscalers (Amazon Web Services, Google Cloud Platform et Microsoft Azure), qu'elles soient humaines ou non, sont assorties de permissions excessives critiques ou de haute gravité, et il y a là tous les ingrédients d'un désastre.

Une multitude de CVE critiques

Scott Young, directeur consultatif principal chez Info-Tech Research Group, impute en partie cette situation à la nature humaine. « Le pourcentage élevé d'autorisations critiques accordées à des comptes humains reflète le penchant naturel de l'homme pour la voie de la moindre résistance. Malheureusement, cette résistance n'est pas là pour rien », a-t-il rappelé. « Cette obsession à vouloir réduire les frictions dans le travail sur les systèmes peut avoir des conséquences énormes en cas de compromission d’un compte ». L'étude a également révélé que 78% des entreprises avaient des serveurs API Kubernetes accessibles au public, dont 41% autorisaient l'accès internet entrant, une situation qualifiée de « troublante » par Tenable. De plus, 58 % autorisent certains utilisateurs à contrôler sans restriction les environnements Kubernetes, et 44 % exécutent les conteneurs en mode privilégié, or ces deux configurations de permissions amplifient les risques de sécurité.

En plus de toutes ces mauvaises configurations qui rendent les installations vulnérables, plus de 80 % des charges de travail présentent une CVE critique non corrigée malgré la disponibilité des correctifs. C’est le cas en particulier de la vulnérabilité d'évasion de conteneur CVE-2024-21626.

Des atténuations possibles

Pour aider les entreprises à réduire leurs risques, Tenable propose plusieurs stratégies d'atténuation :

- Créer une éthique axée sur le contexte : rassembler les informations sur les identités, les vulnérabilités, les erreurs de configuration et les risques liés aux données dans un outil unifié afin d'obtenir une visualisation précise, un contexte et une hiérarchisation des risques liés à la sécurité dans le cloud. « Tous les risques ne se valent pas. Identifier les combinaisons toxiques peut contribuer à les réduire considérablement. »

- Gérer étroitement l'accès à Kubernetes/aux conteneurs : Adhérer aux normes de sécurité Pod, en limitant notamment les conteneurs à privilèges et en appliquant des contrôles d'accès. Restreindre l'accès entrant, limiter l'accès entrant aux serveurs API Kubernetes et s'assurer que les configurations Kubelet désactivent l'authentification anonyme. Enfin, vérifier si les liaisons de rôles cluster-admin sont vraiment nécessaires. Si ce n'est pas le cas, lier de préférence les utilisateurs à un rôle moins privilégié.

- Gestion des informations d'identification et des autorisations : l’éditeur recommande « d’effectuer une rotation régulière des informations d'identification, de ne pas utiliser les clés d'accès sur une trop longue période et de mettre en œuvre des mécanismes d'accès Just-in-Time. Auditer et ajuster régulièrement les autorisations pour les identités humaines et non humaines afin d'adhérer au principe du moindre privilège ».

- Prioriser les vulnérabilités : Concentrer les efforts de remédiation, en appliquant notamment les correctifs sur les vulnérabilités à haut risque, en particulier celles dont le score VPR, qui évalue la priorité des vulnérabilités, est élevé.

- Minimiser l'exposition : Examiner tous les actifs exposés publiquement pour déterminer si cette exposition est nécessaire et si elle ne compromet pas des informations confidentielles ou des infrastructures critiques. Suivre l'évolution des correctifs.