Partout dans le monde, la crise sanitaire a obligé les entreprises à s'adapter aux restrictions imposées par les gouvernements sur la circulation des personnes. En réponse à cette situation inédite, les entreprises ont très rapidement adopté et intégré des services en ligne, et notamment des outils de collaboration basés sur le cloud comme Office 365, Slack, ainsi que les plateformes de vidéoconférence (Zoom, Teams, ...). Un récent rapport de McAfee montre que les pirates ont également réagi à cette situation en essayant de plus en plus d’usurper les identifiants des comptes en ligne.
A partir de l’analyse des données sur l’usage du cloud recueillies entre les mois de janvier et avril auprès de plus de 30 millions d'entreprises utilisatrices de sa plateforme de surveillance de sécurité MVISION Cloud, McAfee a estimé que l’adoption des services de cloud avait augmenté de 5% dans tous les secteurs. Cependant, certains secteurs ont connu une hausse beaucoup plus importante que d’autres, comme l'industrie manufacturière (144 %) et l'éducation (114 %). Le taux d'utilisation de certains outils de collaboration et de vidéoconférence a été aussi particulièrement élevé. L’usage de Cisco Webex a augmenté de 600 %, celui de Zoom de 350 %, celui Microsoft Teams de 300 % et celui de Slack de 200 %. Là encore, ce sont les secteurs de l'industrie manufacturière et l'éducation qui ont été les plus demandeurs.
Si cette hausse de l'adoption des services cloud est compréhensible, et si elle a eu, selon certains, un impact positif sur la productivité malgré l’obligation pour les salariés de travailler à domicile, elle a également introduit des risques de sécurité. Les données de McAfee montrent que le trafic entre les appareils non gérés et les comptes dans le cloud des entreprises a doublé. « Il n'y a aucun moyen de récupérer les données sensibles d'un appareil non géré, donc cet accès accru pourrait entraîner des pertes de données si les équipes de sécurité ne contrôlent pas l'accès au cloud de chaque appareil ».
Multiplication des attaques contre le cloud
Cette adoption rapide des services cloud n’a pas échappé aux attaquants et ces derniers ont largement essayé d'exploiter la situation. Selon McAfee, le nombre de menaces externes ciblant les services cloud a augmenté de 630 % au cours de cette période, les plateformes de collaboration ayant été les plus ciblées. Dans son rapport, l'entreprise a réparti les tentatives de connexion et les accès suspects en deux catégories : d’une part, l’usage excessif depuis un lieu inhabituel et, d’autre part, le sur-utilisateur suspect. Ces deux catégories ont connu une augmentation et une croissance équivalentes au cours de la période en question.
La catégorie « Usage excessif depuis un lieu inhabituel » fait référence aux connexions réussies à partir de lieux inhabituels par rapport à la situation géographique de l’entreprise, mais aussi à l'accès par un utilisateur à de grandes quantités de données ou à l'exécution d'un nombre important de tâches pour lesquelles il faut disposer de nombreux privilèges. Quant à la catégorie « sur-utilisateur suspect », elle fait référence à des connexions du même utilisateur à partir de lieux géographiquement éloignés sur une courte période de temps - par exemple, si le même utilisateur se connecte à un service à partir d'un pays et accède ensuite quelques minutes plus tard à un service en utilisant une adresse IP d'un autre pays.
Les secteurs des transports et de la logistique, de l'éducation et des institutions gouvernementales sont ceux pour lesquels la plus forte augmentation de menaces a été détectée dans leurs comptes cloud. En effet, dans ces secteurs, l'augmentation des menaces a atteint 1 350 %. Viennent ensuite le secteur de l'éducation, avec 1 114 % ; celui des institutions gouvernementales, avec 773 % ; celui de l'industrie manufacturière, avec 679 % ; celui des services financiers avec 571 % et enfin celui de l'énergie, avec 472 %.
Selon la localisation de l'adresse IP, dix pays figurent parmi les principales sources d'attaques externes contre les comptes d'entreprise dans le cloud, à savoir : la Thaïlande, les États-Unis, la Chine, l'Inde, le Brésil, la Russie, le Laos, le Mexique, la Nouvelle-Calédonie et le Viêtnam. « Beaucoup de ces attaques sont probablement opportunistes et ces pirates essayent essentiellement d’accéder aux comptes dans le cloud en utilisant des identifiants volés », ont déclaré les chercheurs de McAfee. Cependant, plusieurs secteurs importants sont souvent ciblés par des acteurs extérieurs à la menace, en particulier les services financiers. « On constate souvent que ces attaques ciblées sont menées depuis la Chine, l’Iran ou la Russie », ont ajouté les chercheurs.
Les attaques par saturation d’identifiants en hausse
La fréquence des attaques par saturation d’identifiants, où les cybercriminels utilisent des listes de noms d'utilisateur et de mots de passe fuitées ou volées pour accéder à des comptes, a considérablement augmenté ces dernières années. Souvent, les identifiants utilisés proviennent de vols de données par des tiers et les attaquants tentent d'exploiter la mauvaise pratique, toujours courante, de réutilisation des mots de passe. C’est le cas des utilisateurs qui conservent le même mot de passe pour se connecter à plusieurs services. Dans un rapport publié cette année, l’entreprise de sécurité et de diffusion de contenu Akamai a révélé qu’entre décembre 2017 et novembre 2019, elle avait comptabilisé 85,4 milliards d'attaques par bourrage d’identifiants contre des organisations partout dans le monde. Parmi celles-ci, 473 millions d'attaques ont visé le secteur financier.
Pour mieux protéger les comptes dans le cloud de leurs employés et empêcher tout accès non autorisé, McAfee recommande aux entreprises de mettre en place une passerelle sécurisée dans le cloud pour éviter à leurs salariés d'acheminer leur trafic par VPN ou d'utiliser une plateforme de sécurité d'accès au cloud tierce appliquant des politiques strictes de vérification des dispositifs et de contrôle des données. Si les employés doivent utiliser leurs appareils personnels pour accéder aux applications SaaS de l'entreprise, il est préférable de protéger les données sensibles par un contrôle d’accès.