Dans un message publié sur BreachForum, le pirate IntelBroker affirme avoir dérobé du code source, des jetons d’API ou encore des identifiants appartenant à Microsoft, Barclays, SAP, T-Mobile, AT&T et Verizon . Toutes ces entreprises sont clientes de Cisco qui a récemment été touché par un vol de données.
Le célèbre hacker « IntelBroker » propose de vendre une grande quantité de données sensibles de Cisco qui auraient été volées lors d’une intrusion survenue en juin 2024. Deux autres hackers « EnergyWeaponUser » et « zjj », mentionnés par IntelBroker, auraient également participé à l’attaque. L’équipementier réseau et télécom américain serait en train d’enquêter sur cette prétendue violation après la publication par IntelBroker d’un échantillon de données volées sur BreachForums. « Cisco est au courant des rapports selon lesquels un acteur prétend avoir eu accès à certains fichiers liés à Cisco », a déclaré un porte-parole de de l’entreprise à Bleeping computer. « Notre enquête est toujours en cours pour vérifier ces allégations. »
L’intrusion aurait affecté une grande quantité de données de développeurs travaillant pour un certain nombre de clients de Cisco, dont de grands fournisseurs comme Microsoft, Barclays, SAP, T-Mobile, AT&T et Verizon. Selon DarkEye, les données compromises comprenaient du code source, des identifiants codés en dur, des certificats, des jetons d’API, etc. « Données compromises : Projets GitHub, projets Gitlab, projets SonarQube, code source, identifiants codés en dur, certificats, SRC de clients, documents confidentiels Cisco, tickets Jira, jetons API, buckets privés AWS, SRC de technologies Cisco, Docker Builds, buckets de stockage Azure, clés privées et publiques, certificats SSL, produits Cisco Premium et plus encore », énumère IntelBroker dans son message. Ce dernier a également fourni des échantillons des données volées, notamment une base de données, des informations sur les clients, plusieurs documents relatifs aux clients et des captures d’écran des portails de gestion des clients.
Un acteur malveillant très actif
IntelBroker, l’un des membres les plus fréquents de BreachForums, a connu une année extrêmement active, revendiquant plusieurs intrusions très médiatisées en 2024. Le hacker s’est déjà attaqué à diverses entreprises, dont General Electric, Europol, Lulu Hypermarket et Zscaler. Dans le passé, le pirate s’est également attaqué à des entités de premier plan comme Home Depot, Facebook Marketplace et Space-Eyes. En juin, IntelBroker a commencé à divulguer ou à vendre des données provenant de plusieurs entreprises, dont T-Mobile, AMD et Apple. On ne sait pas encore si la faille de Cisco est liée à ces incidents du mois de juin. Les clients sont toujours en attente du rapport d’enquête du fournisseur, mais il est peu probable qu’IntelBroker ait fait de fausses déclarations, car cela a rarement été le cas par le passé, sauf pour les piratages d’Apple et d’Europol, où il avait exagéré l’ampleur des violations.
Les DSI et les RSSI européens feraient économiser jusqu’à 200 M$ par an aux grandes entreprises s’ils pouvaient éviter les temps d’arrêt de leurs systèmes informatiques d’après une étude menée par Oxford Economics. Les ransomwares sont loin d’être étrangers à ce phénomène.
C’est bien connu le temps c’est de l’argent. Et en la matière, les temps d’arrêt des systèmes informatiques coûtent chers. Très chers même : 198 M$ par an aux grandes entreprises européennes (256 M$ pour leurs homologues américaines et 187 M$ en Asie) soit une réduction de leurs bénéfices annuels de 9 % selon une dernier étude. Même si les ransomwares ne représentent qu’une part relativement faible de ce total, les entreprises devraient prévoir un budget plus important à cet effet. Pour cette recherche commandée par Splunk et intitulée « The Hidden Costs of Downtime », Oxford Economics a interrogé des cadres d’entreprises du Global 2000 sur les causes et les coûts d’interruption des systèmes IT. Ont été comptabilisées dans ces derniers, toute dégradation du service ou indisponibilité des systèmes critiques de l’entreprise résultant aussi bien de cyberattaques que de défaillances techniques et opérationnelles. « L’impact financier réel et la nature des temps d’arrêt sont difficiles à cerner », a déclaré Gary Steele, directeur général de Splunk, dans cette étude. « Les chercheurs se concentrent souvent sur ceux causés par des problèmes informatiques traditionnels, en négligeant les incidents provoqués par des défaillances de cybersécurité, et en ignorant les conséquences économiques qui peuvent en découler. »
Toujours selon cette étude, près d’un quart du coût estimé des interruptions, soit 49 M$ sur une moyenne estimée à 200 M$ pour les entreprises du Global 2000, est dû à la perte de revenus. De plus, ces pannes génèrent d’autres coûts importants, comme des amendes réglementaires (22 M$), des pénalités liées aux accords de niveau de service (16 M$) et des frais de justice (15 M$). Les grandes entreprises interrogées ont également dépensé 19 M$ en moyenne pour le paiement de ransomwares et les extorsions de données, alors qu’elles n’avaient prévu que 13,4 M$ dans leur budget. Dave Gruber, analyste principal pour l’Enterprise Strategy Group (ESG), sans lien avec l’étude, a déclaré que ses propres recherches montraient qu’environ 56 % des victimes de ransomwares avaient payé des rançons pour accélérer la récupération en 2023, mais que les entreprises les mieux préparées avaient payé jusqu’à 20 % de moins.
Une meilleure visibilité et une meilleure gestion des menaces peuvent aider
Voilà pour les coûts, mais qu’en est-il des motifs de ces blocages ? La principale cause est l’erreur humaine, notamment la mauvaise configuration d’un logiciel ou d’une infrastructure, que la moitié des personnes interrogées considèrent souvent ou très souvent comme à l’origine des pannes. Les erreurs humaines sont aussi celles qui prennent le plus de temps à réparer. Les logiciels malveillants et les attaques par hameçonnage sont la deuxième cause la plus fréquente d’indisponibilité en matière de cybersécurité, la troisième cause étant les défaillances logicielles liées aux opérations IT.
Dans cette étude, le fournisseur d’outils d’observabilité Splunk a estimé qu’il était possible d’éviter les temps d’arrêt en investissant dans une meilleure visibilité et dans des solutions de cybersécurité. M. Gruber, de l’ESG, n’en disconvient pas : « La visibilité est primordiale, mais il en va de même pour les stratégies d’atténuation des risques qui peuvent être appliquées en temps opportun et en conformité avec les objectifs de l’entreprise en matière de risques », a-t-il ajouté. « La visibilité jette les bases d’activités de détection et de réaction rapides, qui impliquent les responsables des technologies de l’information, de la sécurité et du secteur d’activité ». Selon l’étude, les entreprises du Global 2000 dépensent en moyenne 23,8 millions de dollars en outils de cybersécurité et 19,5 millions de dollars en outils d’observabilité.
Afin de renforcer la sécurité de leurs comptes, Amazon Web Services propose aux utilisateurs d’utiliser des clés FIDO2 pour s’authentifier. Une possibilité qui sera rendue obligatoire avant fin 2024.
AWS a ajouté la prise en charge des clés FIDO2, une méthode d’authentification sans mot de passe qui répond à l’ensemble de protocoles d’authentification ouverts et standardisés Fast Identity Online (FIDO), pour l’authentification multifactorielle. Par ailleurs, le fournisseur rendra bientôt le MFA (Multi-Factor Authentication) obligatoire pour la connexion aux comptes AWS. « À partir de juillet 2024, les utilisateurs racine de comptes autonomes, ceux qui ne sont pas gérés avec le service AWS Organizations, devront utiliser l’authentification multifactorielle MFA pour se connecter à la console de gestion AWS », a expliqué Arynn Crow, responsable des produits d’authentification des utilisateurs chez AWS, lors de la dernière conférence re:Inforce (10-12 juin à Philadelphie) du fournisseur cloud. « Tout comme pour les comptes de gestion, ce changement commencera par un petit nombre de clients et s’étendra progressivement sur une période de plusieurs mois », a-t-elle ajouté. AWS accordera aux clients un délai de grâce pour activer le MFA, qui s’affichera sous forme de rappel lors de la connexion.
Actuellement, dans la première étape en cours du programme de mise en œuvre de l’authentification multifactorielle, AWS n’impose le MFA qu’aux utilisateurs racine du « compte de gestion » du service AWS Organizations. Ce service de gestion des comptes basé sur des politiques consolide plusieurs comptes AWS dans une entreprise, lorsqu’ils se connectent à la console AWS. C’est en octobre 2023 que le fournisseur a annoncé la future extension du MFA aux utilisateurs racine autonomes d’AWS, promettant des fonctionnalités qui « rendront le MFA encore plus facile à adopter et à gérer à l’échelle ». Pour l’instant, les changements ne s’appliquent pas aux « comptes membres » du service AWS Organizations », a précisé Arynn Crow. Les comptes membres sont des comptes différents du compte de gestion utilisé pour créer et gérer l’entreprise. AWS prévoit de lancer des fonctionnalités supplémentaires dans le courant de l’année afin d’aider les clients à gérer le MFA pour un plus grand nombre d’utilisateurs, dont les comptes membres dans AWS Organizations.
Une authentification anti-phishing par clé d’accès
Pour éviter d’avoir à utiliser un deuxième facteur d’authentification pour se connecter, ArynnCrow a expliqué qu’AWS prendrait en charge l’utilisation des clés d’authentification FIDO2. Selon elle, ces clés sont plus sûres que les mots de passe à usage unique ou les méthodes MFA basées sur les mots de passe. Les passkeys sont considérés comme résistants à l’hameçonnage, car ils sont basés sur le chiffrement à clé publique. Une fois que l’utilisateur a créé un mot de passe avec un site ou une application, une paire de clés privée-publique est générée sur l’appareil de l’utilisateur. Si la clé publique est accessible par le biais du site ou de l’application, elle devient inutile pour un acteur de la menace qui ne possède pas la clé privée. L’utilisation d’une clé d’authentification pour se connecter est très largement automatique puisqu’elle ne nécessite pas de saisie ou d’entrée, et elle est intrinsèquement plus sûre. En effet, les passkeys n’impliquent pas d’étapes ou de codes supplémentaires susceptibles d’être volés, hameçonnés ou interceptés s’ils ne sont pas manipulés correctement.
Les passkeys synchronisables, une implémentation de la norme FIDO2, permettent aux passkeys d’être partagés entre les terminaux et les systèmes d’exploitation une fois qu’ils ont été générés sur un appareil. « Cette solution est meilleure, car, contrairement au stockage dans un appareil physique comme une clé USB, elle sauvegarde et synchronise les passkeys entre les appareils », a fait valoir Arynn Crow. « Les clients utilisent déjà des passkeys sur des milliards d’ordinateurs et d’appareils mobiles à travers le monde, en utilisant uniquement un mécanisme de sécurité comme une empreinte digitale, un scan facial ou un code PIN intégré à leur terminal », a ajouté Arynn Crow. « On peut, par exemple, configurer Apple Touch ID sur un iPhone ou Windows Hello sur un ordinateur portable en tant qu’authentificateur, puis utiliser cette même clé comme méthode MFA pour se connecter à la console AWS depuis plusieurs autres appareils en sa possession ».