Les cybercriminels abusent de plus en plus des applications OAuth pour lancer des attaques contre les entreprises, selon une nouvelle étude de Proofpoint.
Pour ceux qui ne sont pas familiers, une application OAuth est une application qui s’intègre à un service de cloud computing et peut être fournie par un fournisseur différent autre que le fournisseur de services cloud. Ces applications peuvent être utilisées pour ajouter des fonctionnalités professionnelles ainsi que des améliorations de l’interface utilisateur à des services cloud tels que Microsoft 365 ou Google Workspace.
Pour que les applications OAuth fonctionnent avec les services cloud, la plupart d’entre elles demandent l’autorisation d’accéder et de gérer les informations et les données des utilisateurs, ainsi que de se connecter à d’autres applications cloud au nom d’un utilisateur. OAuth fonctionne sur HTTPS et utilise des jetons d’accès plutôt que des informations de connexion pour autoriser les appareils, les API, les serveurs et les applications.
Cependant, étant donné les larges autorisations que ces applications peuvent avoir sur les principales applications cloud d’une organisation, elles sont devenues une surface d’attaque et un vecteur croissants. Les cybercriminels utilisent diverses méthodes pour abuser des applications OAuth, y compris des certificats d’application compromettants qui ont été utilisés dans le récent piratage de SolarWinds.
Sommaire
Abus d’OAuth
Comme les applications OAuth peuvent être facilement exploitées, les attaquants peuvent utiliser l’accès OAuth pour compromettre et reprendre les comptes cloud des utilisateurs. Pour aggraver les choses, un attaquant peut toujours accéder aux comptes et aux données d’un utilisateur jusqu’à ce qu’un jeton OAuth soit explicitement révoqué.
Les applications malveillantes ou les logiciels malveillants dans le cloud utilisent un certain nombre d’astuces telles que le hameçonnage de jetons OAuth et l’usurpation d’identité pour manipuler les propriétaires de compte afin d’obtenir leur consentement. Rien qu’en 2020, Proofpoint a découvert plus de 180 applications malveillantes et la majorité d’entre elles attaquaient plusieurs locataires.
Un mauvais codage ou une mauvaise conception est souvent responsable de rendre les applications vulnérables à une prise de contrôle hostile et dans ces cas, un attaquant compromettra les actifs ou les mécanismes de l’application au lieu d’interagir avec les comptes cibles eux-mêmes. Un exemple récent s’est produit en mars de l’année dernière lorsqu’il a été découvert que le partage d’un GIF dans Microsoft Teams pouvait éventuellement entraîner une prise de contrôle de compte.
Dans une étude sur les données de 2020, Proofpoint a observé que 95% des organisations étaient ciblées et 52% des organisations avaient au moins un compte compromis.
Afin d’éviter l’utilisation abusive des applications OAuth, la société recommande aux organisations de gérer activement les applications OAuth, d’éviter de stocker des secrets en texte brut et des clés de signature de code, de gérer les rôles plus soigneusement et de rechercher les anomalies.
