Le vol de données personnelles et les vecteurs d’attaques privilégiées ont marqué l’année 2018. En 2019, il faut s’attendre à ce que ces derniers soient la cause première des compromissions visant à voler des données aux consommateurs et aux entreprises. J’ai recensé ci-après les 5 compromissions les plus remarquables à ce jour sur l’année 2018. Mon classement en surprendra peut-être certains et tous les incidents ne sont pas d’égale visibilité, mais ils méritent d’être cités par leur ampleur, leur durée et leur nature.
Alors que le Gartner reconnaît que la gestion des accès privilégiés (Privileged Access Management) est la priorité de sécurité en 2018, de nombreuses entreprises sont toujours dans le déni des risques liés aux comptes privilégiés, qui s’expliquent souvent par de mauvaises pratiques de gestion des identifiants et des mots de passe. Les entreprises doivent apprendre à scanner et gérer, de façon automatique et régulièrement programmée, leurs comptes privilégiés car ce vecteur d’attaque n’est pas près de disparaître.
Orbitz, le cas à noter
Ce cas de compromission, qui s’est produit début 2018, ne figure pas officiellement au classement mais il est remarquable car il s’agit d’une société uniquement basée sur Internet, sans présence physique pour les interactions client. Cette société dot-com aurait dû comprendre, comme Yahoo, qu’une cybersecurité robuste est indispensable et stratégique.
En mars, Orbitz a annoncé le piratage de 880.000 cartes de paiement au cours d’une compromission ayant duré près de deux ans et touché de nombreux systèmes. Deux ans ! Si le nombre de cartes de paiement visées est faible par rapport à d’autres incidents, c’est la durée de compromission qui est remarquable pour une société du web. L’incident portait sur des données soumises à des sites web officiels et de partenaires. De nombreux professionnels de la sécurité se demandent si des tests de pénétration et d’évaluation des vulnérabilités ont bien été effectués sur ces sites et si des mesures correctives ont été appliquées dans les meilleurs délais. Je pense que non.
Orbitz a déclaré avoir « pris des mesures immédiates pour enquêter sur l’incident et accroître la sécurité et la surveillance de la plateforme touchée ». Ils signalent aussi avoir « sollicité une grande société d’investigation légale et d’autres experts de la cybersécurité, (…) commencé à travailler avec les forces de l’ordre et pris des mesures rapides pour éliminer et prévenir tout accès non autorisé à la plateforme. » Il faut se montrer vigilant quant à cette déclaration. La surveillance et la sécurité en place initialement étaient insuffisantes et « l’accès non autorisé » implique encore un autre vecteur d’attaque d’identité et d’accès privilégié. La porte d’entrée principale d’une société 100% basée sur le web est le web, et les expéditions et les portes de chargement sont la connexion aux partenaires. Tout doit être sécurisé comme dans un bâtiment physique, ce que Orbitz n’a pas fait correctement pour se protéger contre les accès non autorisés. Le petit cadenas qui indique que la connexion de la transaction est sécurisée n’a pas suffi ici puisque ce sont d’autres portes (sites web) qui les ont exposés.
Voyons à présent le top 5 des compromissions de 2018 :
n°5 – Adidas
Adidas a annoncé en juin qu’un « tiers non autorisé » s’est procuré l’accès aux données des clients du site web US d’Adidas. Si rien n’a été publié à ce jour concernant l’attaque et la méthodologie de compromission, la société déclare qu’elle pense que seuls les clients ayant acheté des articles auprès de la version hébergée aux Etats-Unis d’Adidas.com ont pu être affectés par l’incident.
On ignore si le vecteur d’attaque impliquait un défaut de configuration, une combinaison de vulnérabilité et d’exploitation ou une attaque privilégiée, mais les agresseurs se sont bien procuré des informations de contact, des identifiants et des mots de passe chiffrés. On ignore également s’il était possible de décrypter les mots de passe car le reste des informations concernant la compromission ne tombent pas sous le coup des lois de la juridiction régionale, comme le RGPD, et n’ont pas été publiées.
Dans la série des compromissions de 2018, ce cas arrive en fin de liste mais les données compromises peuvent toujours être utilisées pour de futures attaques de phishing. La fuite d’informations personnelles constitue la base de futures attaques privilégiées.
n°4 – Saks Fifth Avenue et Lord & Taylor
Le 1er avril 2018 (et ce n’était pas un poisson d’avril), Lord & Taylor et Saks Fifth Avenue ont annoncé que leurs magasins avaient fait l’objet d’une attaque massive de compromission des données de cartes de paiement. Cet incident de sécurité aurait compromis les données de 5 millions de cartes de paiement de clients. Si l’incident est remarquable par son ampleur, ce qui est encore plus choquant c’est la durée prolongée pendant laquelle la sécurité a été compromise. Les clients qui ont utilisé une carte de crédit ou de paiement dans l’un des magasins de l’enseigne entre mai 2017 et avril 2018 avaient le plus de risques d’être affectés. Toutefois, la compromission est restée indétectée pendant quasiment une année !
Comme pour Adidas, peu de détails ont été communiqués concernant le vecteur d’attaque. Mais, selon le New York Times, l’attaque a été initiée par un scam de phishing par e-mail envoyé aux salariés de Hudson’s Bay (le propriétaire canadien de Saks et Lord & Taylor). Les criminels auraient ciblé les comptes avec un logiciel malveillant via un lien, un fichier ou un autre vecteur d’attaque pour s’infiltrer dans l’environnement.
Il est important de noter que la grande majorité du malware peut être stoppée simplement en supprimant les droits admin du poste de travail d’un utilisateur. C’est là la base de la gestion de privilèges. Nous pouvons tous apprendre de cet exemple pour identifier les attaques de phishing, retirer les droits administratifs aux utilisateurs et mettre en œuvre l’analytique des menaces pour identifier ces types d’incidents plus tôt.
n°3 – Under Armour
A peine un mois après la compromission de Saks Fifth Avenue et Lord & Taylor, Under Armour a appris que quelqu’un s’était procuré un accès non autorisé à MyFitnessPal, une plateforme qui héberge les données de dispositifs de l’IoT consacrés aux régimes, au bien-être et à la santé. On pense que 150 millions d’utilisateurs de MyFitnessPal ont vu leurs informations compromises. CNBC a rapporté au moment de l’annonce que les criminels avaient reconnu avoir compromis les identifiants d’individus, des adresses e-mail et des mots de passe cryptés. Si l’incident n’a pas permis d’exposer les informations des cartes de paiement des utilisateurs (contrairement au cas Saks et Lord & Taylor) du fait de la conception architecturale des données, de la segmentation du processus et des conditions de stockage des paiements, il met en évidence les cyber-risques inhérents au stockage des données de l’IoT dans le cloud.
D’après les rapports de Forbes et CNBC, l’incident s’explique par un « accès non autorisé » aux données des utilisateurs. Ceci induit une fois de plus une gestion inappropriée des accès privilégiés et fait de cette attaque une autre raison motivant l’adoption de processus et fonctionnalités matures de gestion des identités et des privilèges.
n°2 – T-Mobile
C’est en août que s’est produite la deuxième pire compromission de 2018. T-Mobile a annoncé que les criminels avaient volé les données personnelles de près de 2 millions de ses clients (soit 3% de ses clients). Le vol a porté sur des données classiques : identifiants, codes zip de facturation, numéros de téléphone, adresses e-mail et numéros de comptes, ainsi que sur l’information indiquant si les clients avaient prépayé ou non leurs comptes.
L’équipe de cybersécurité de T-Mobile déclare avoir « découvert et bloqué la capture non autorisée de certaines informations » après la compromission. Ces mots sont révélateurs. S’agissait-il d’une attaque par un intermédiaire MITM (man in the middle attack), du vol de données dans une base de données ou des fichiers journaux ou est-ce que quelqu’un a eu un accès privilégié inapproprié ? Le public n’en saura peut-être jamais plus, mais le mot « non autorisé » implique déjà que le vecteur d’attaque n’avait pas l’autorisation pour collecter les données privilégiées. Il s’agit donc une fois de plus d’une attaque privilégiée rendue possible par de mauvaises pratiques de gestion des identités et des privilèges.
Et pour compliquer les choses, T-Mobile a indiqué qu’aucun mot de passe n’a été compromis mais a ajouté que « c’est toujours une bonne idée de changer régulièrement les mots de passe des comptes ». Les clients devraient se méfier de cette déclaration car, en 2015, la société Experian, qui traite les applications de crédit de T-Mobile, a elle-même été compromise. Cet incident a impacté 15 millions de clients ! Les données de clients compromises en 2015 portaient sur les numéros de sécurité sociale, les permis de conduire et les passeports de clients de T-Mobile. Il semblerait que T-Mobile n’ait pas tiré d’enseignements de la leçon il y a trois ans.
n°1 – Starwood
En 2016, Marriott a racheté la chaîne d’hôtels Starwood, et notamment les grandes enseignes comme St. Regis, Westin, Sheraton et W Hotels. Deux ans avant l’acquisition, un incident a éclaté qui n’a été identifié que la semaine dernière. Donc, pendant quatre ans, un cas d’« accès non autorisé » s’est produit au sein du système de réservation de Starwood impliquant la fuite de noms, numéros de téléphone, adresses e-mail, numéros de passeport, dates de naissance et informations de réservation (arrivée, départ et points) de quelque 500 millions de clients. Et plusieurs millions de clients ont également vu leurs numéros de cartes bancaires et leurs dates d’expiration révélés. Par sa taille, sa gravité et sa durée, y compris pendant une phase de rachat, la compromission de Starwood devance les autres en 2018.
Selon une déclaration officielle de la société, « Marriott a appris durant l’investigation qu’un accès non autorisé au réseau Starwood perdurait depuis 2014 » et « a récemment découvert qu’une partie non autorisée avait copié et chiffré des informations et déclaré avoir pris de mesures pour rétablir la situation. » Comme l’indique la déclaration, les criminels avaient un « accès non autorisé » qui impliquait l’accès privilégié et aux identifiants de systèmes stratégiques qui, de par la nature même des données, auraient dû être segmentés. Par exemple, conformément aux standards PCI DSS, il ne devrait jamais être possible de réassembler les données des cartes de paiement, même chiffrées, pour les associer au propriétaire des données.
Le criminel doit s’être procuré un accès latéral aux zones et systèmes pour pouvoir exécuter les nombreux types d’opérations nécessaires pour exfiltrer les données. En dehors de la piètre qualité de la technologie de surveillance d’incident, de la surveillance des fichiers journaux, de la gestion des privilèges et de la segmentation du réseau et des données, Starwood a échoué de façon magistrale à identifier et contenir l’incident.
Vu que l’annonce de la compromission de Starwood est récente, je m’attends à d’autres révélations concernant cet incident dans les prochains mois. Comme la compromission tombe sous le coup des réglementations RGPD européennes pour quelque 1 200 établissements, Starwood risque des sanctions financières pouvant atteindre 4% de son chiffre d’affaires mondial en cas de violation des règles. C’est une grosse somme pour n’importe quelle entreprise et ce devrait être un message fort pour tout dirigeant, salarié, actionnaire et membre du conseil d’administration.