Thomas Segura, technical content writer chez GitGuardian, startup française spécialisée dans la sécurisation du code, nous livre ici ces prédictions pour l’année 2023.
Avec un accès privilégié aux systèmes informatiques dans les environnements d’entreprise, les développeurs sont devenus une cible prioritaire pour les pirates informatiques. Les acteurs malveillants savent que les environnements de développement et d’intégration sont beaucoup moins protégés que ceux de production ouverts sur l’Internet. Les campagnes d’hameçonnage ciblent désormais régulièrement les développeurs pour dérober leurs jetons d’authentification (et autres secrets utilisés dans le cycle de développement) et se déplacer latéralement à partir de là. C’est exactement ce qui est arrivé à Dropbox le mois dernier, lorsqu’un acteur malveillant s’est connecté à un compte GitHub d’entreprise à la suite d’une campagne de phishing imitant un courriel et une page de connexion de CircleCI (un outil d’intégration continue). Cette attaque montre comment les acteurs de la menace mènent des attaques de plus en plus sophistiquées pour accéder aux outils des développeurs qui sont connus pour contenir des informations sensibles. Il est intéressant de noter que le fait que l’authentification multifactorielle (MFA) ait été utilisée pour protéger le périmètre GitHub de l’entreprise n’a pas empêché l’attaque. L’authentification multifactorielle est depuis longtemps préconisée comme un impératif de sécurité, mais plusieurs des violations les plus importantes de 2022 ont démontré que les techniques des attaquants pouvaient les déjouer.
Renforcer les mécanismes d’authentification multifactorielle
Par conséquent, nous pouvons nous attendre à ce que beaucoup de travail soit fait pour améliorer les implémentations MFA dans les comptes des grandes entreprises en 2023. En 2022, plusieurs incidents de sécurité à fort impact ont trouvé leur origine dans un contournement du mécanisme d‘authentification multifactorielle. Prenons le piratage d’Uber, par exemple. L’auteur du piratage a utilisé les informations d’identification d’un contractuel d’Uber pour tenter à plusieurs reprises de se connecter au VPN de l’entreprise, générant à chaque fois une notification MFA. L’utilisation abusive des notifications MFA – également connue sous le nom d’attaques de “fatigue MFA” – est une technique de spamming utilisée pour inonder le téléphone d’un employé de notifications jusqu’à ce qu’il en accepte une. Cette technique s’est révélée efficace, non seulement dans le cas d’Uber, mais aussi lors de brèches majeures chez Okta et Cisco cette année. Les SMS d’hameçonnage sont de plus en plus crédibles, car les pirates commencent à investir plus de temps pour cibler les téléphones portables. Il convient de noter que tous les piratages de MFA ne requièrent pas d’ingénierie sociale, car certains peuvent également exploiter des erreurs de configuration du système ou des “zero-days”. Quoi qu’il en soit, la feuille de route est désormais claire : en tant que première ligne de défense, l’authentification multifactorielle sera une priorité absolue pour les équipes de sécurité en 2023 afin de prévenir les techniques malveillantes les plus dangereuses.
La sécurité du code : une préoccupation croissante
En prolongeant ce raisonnement, nous pouvons prédire qu’une autre tendance sera renforcée en 2023 : la sécurité du code. Microsoft, Nvidia, Samsung ou Rockstar seraient toutes d’accord pour dire qu’il est fondamental pour elles de s’assurer que leurs bases de code n’exposent pas d’informations confidentielles telles que des clés API, des combinaisons de noms d’utilisateur et de mots de passe ou des informations d’identification personnelle (PII). Ces entreprises, et d’autres, ont toutes été victimes de fuites de code source en 2022 et ne s’attendaient sûrement pas à voir autant d’informations sensibles exposées : par exemple, le code source de Samsung ne contenait pas moins de 6695 secrets ! La sécurité du code source est désormais reconnue comme l’une des mesures de sécurité les plus importantes pour empêcher l’escalade des attaques, et les modèles de menace des entreprises devraient continuer à être mis à jour en conséquence l’année prochaine.
Mesurer la surface d’attaque de la supply chain logicielle
Les attaques contre les supply chain logicielles sont loin d’être un phénomène nouveau, mais leur fréquence s’accélère. Leurs faiblesses sont nombreuses et difficiles à inventorier pour les entreprises. Cela s’explique non seulement par une augmentation considérable de la complexité des chaînes ces dernières années, mais aussi par un manque de moyens faciles d’accès pour mesurer et quantifier les risques liés à cette chaîne d’approvisionnement. De nombreuses initiatives prennent malgré tout de l’ampleur. Je pense par exemple, aux nomenclatures logicielles (SBOM), aux lignes directrices type Cybersecurity Supply Chain Risk Management (C-SCRM) du NIST, ou encore à des frameworks comme les Security Levels for Software Artifacts (SLSA) de Google ou le Supply Chain Consumption Framework (S2C2F) de Microsoft. Autant de bonnes pratiques dont nous devrions voir leur adoption se renforcer en 2023. La sécurité de la chaîne d’approvisionnement nécessite une approche holistique qui s’éloigne des évaluations ponctuelles pour se tourner vers une surveillance en temps réel des risques et des vulnérabilités tierces dans les logiciels et les composants. Tous ces outils et frameworks convergent vers le même objectif : assurer la transparence de tous les côtés (producteurs et consommateurs de logiciels) et permettre l’examen des dépendances au sens large (paquets, vendeurs, registres, plateformes, etc.).
(Re)penser la gouvernance des composants open source
Parmi les différents problèmes de sécurité de la chaîne d’approvisionnement, la gouvernance des logiciels open-source est certainement à mettre en œuvre en priorité pour les organisations. La vulnérabilité d’Apache Log4j en 2021 a été un signal fort pour beaucoup, car elle nous a rappelé que la sécurité des logiciels d’entreprise dépend de la sécurité des composants open-source sur lesquels ils sont basés. Les paquets open-source sont encore trop faciles à détourner par des acteurs malveillants, voire par les mainteneurs eux-mêmes. En 2023, nous verrons les équipes de sécurité applicative se concentrer sur l’inventaire des composants OSS utilisés dans les usines logicielles et utiliser des outils tels que Software Composition Analysis pour décider s’ils doivent les conserver.
La croissance des services cloud et l’essor de DevOps créent de nouvelles opportunités pour les organisations. Cependant, à mesure que ces déploiements arrivent à maturité et que davantage de données et de fonctions commerciales sont hébergées dans le cloud, on prend conscience que les avantages peuvent être annulés par des erreurs réglementaires coûteuses et des cyberattaques dommageables si la sécurité n’est pas intégrée au processus de transformation. Alors que les principes de responsabilité partagée et de confiance zéro deviennent plus familiers, nous assisterons à une accélération des produits de sécurité à l’intersection des architectures basées sur le cloud et des processus “secure-by-design”, qui se concentreront sur l’amélioration de l’expérience du développeur et l’instauration d’une plus grande confiance.