La Menace Interne Que Vous N'Aviez Pas Recrutée

La compromission des identifiants et la contournement de l’authentification multifacteur (MFA) ont redéfini la menace interne. L’attaquant se connectant avec des jetons de session volés ressemble à votre employé le plus fiable — et la plupart des programmes de lutte contre la menace interne ne sont pas conçus pour les détecter.

Les programmes de lutte contre la menace interne étaient construits autour d’un modèle comportemental : surveiller les employés montrant des signes de mécontentement, signaler les sorties de données inhabituelles, renforcer la procédure de départ. Ce modèle couvre environ la moitié du paysage actuel de la menace interne. L’autre moitié concerne des acteurs externes ayant obtenu un accès de niveau interne sans jamais apparaître sur la paie.

Le rapport M-Trends 2024 de Mandiant a documenté un temps médian de présence d’un attaquant dans un réseau de dix jours avant détection — suffisamment de temps pour atteindre la plupart des objectifs stratégiques. Ce qui a changé, c’est la façon dont ils entrent. L’abus de comptes valides, utilisant des identifiants légitimes plutôt que des exploits zero-day, était la technique d’accès initiale la plus fréquemment observée dans les enquêtes de Mandiant pour la troisième année consécutive. Ils ne s’introduisent pas. Ils se connectent.

Les techniques de contournement permettant cela ne sont pas exotiques. Les kits de phishing adversaire-in-the-middle — Evilginx2, Modlishka — sont disponibles publiquement et permettent de proxyfier des sessions d’authentification en temps réel, capturant les jetons de session après une MFA légitime. L’attaquant qui importe ce cookie dans un navigateur détient le même accès authentifié que l’utilisateur réel, y compris tout privilège vérifié par MFA. L’événement MFA a eu lieu. Il n’a simplement pas authentifié la bonne personne.

Deux incidents illustrent précisément comment cette faille est exploitée. En septembre 2022, un attaquant a ciblé un contractant Uber avec des notifications push MFA répétées tard dans la nuit, puis a envoyé un message WhatsApp se faisant passer pour le support informatique d’Uber et a demandé au contractant d’approuver une demande. Le contractant l’a fait. En quelques minutes, l’attaquant avait accès à Slack interne d’Uber, à la console AWS, à Google Cloud, et à la base de données de vulnérabilités HackerOne — y compris des détails sur des vulnérabilités non encore divulguées publiquement. Voie d’accès : une notification push et un message d’ingénierie sociale.

Deux semaines plus tard, Cisco a divulgué un incident presque identique. Un acteur malveillant a compromis les identifiants d’un employé via phishing, puis a utilisé la fatigue liée aux notifications push — en inondant l’employé de demandes d’approbation — pour obtenir un accès VPN. Une fois à l’intérieur, il s’est déplacé latéralement dans le réseau d’entreprise et a exfiltré des données avant la détection. Dans les deux cas, la MFA a été complétée. Dans les deux cas, elle a authentifié l’attaquant.

Le rapport de Verizon sur les investigations en matière de violations de données 2024 a révélé que 44 % de toutes les violations analysées impliquaient des identifiants volés — une proportion importante impliquant une contournement de l’authentification non pas par le mécanisme lui-même, mais par la couche de gestion de session au-dessus. C’est précisément là que la plupart des programmes de sécurité n’ont pas étendu leurs contrôles.

Pour combler cette lacune, plusieurs niveaux doivent être modifiés. Premièrement, migrer vers une MFA résistante au phishing. Les clés matérielles FIDO2 et les passkeys liées à l’appareil ne sont pas vulnérables aux attaques de proxy adversaire-in-the-middle — le défi cryptographique de réponse est à la fois lié au domaine et à l’appareil. La CISA recommande officiellement à toutes les organisations d’infrastructures critiques de considérer la MFA résistante au phishing comme leur seuil d’authentification. Ce n’est plus une aspiration. C’est la norme de base.

Deuxièmement, l’authentification ne peut pas rester une porte unique à la connexion. La biométrie comportementale, l’attestation de santé de l’appareil, le contexte réseau, et les déclencheurs de ré-authentification périodique doivent être évalués tout au long des sessions actives pour détecter le vol de jetons de session après l’événement initial. La évaluation continue d’accès de Microsoft et la mise en œuvre CAEP d’Okta sont prêtes pour la production aujourd’hui.

Troisièmement, les outils de détection de menace interne calibrés uniquement sur les normes comportementales des employés manquent d’activité de compte compromis lorsque les attaquants imitent avec succès un comportement normal initialement. Les règles d’analyse du comportement utilisateur doivent signaler l’accès à partir de nouvelles empreintes d’appareils, d’anomalies de géolocalisation, et de déplacements impossibles — même lorsque la MFA a été complétée avec succès dans la session associée. Et les attaques par fatigue de push sont évitables : demander aux utilisateurs de faire correspondre un numéro affiché dans la prompt d’authentification, et inclure des signaux contextuels tels que la localisation, l’appareil, et l’application demandeuse dans le push, donnent aux employés suffisamment d’informations pour reconnaître une demande frauduleuse avant de l’approuver.

Les programmes de menace interne axés uniquement sur le comportement des employés présentent un écart de détection qui ne fait que s’élargir. Les organisations qui n’intègrent pas la surveillance de la compromission des identifiants, la validation continue des sessions, et la détection adaptée à l’adversaire-in-the-middle continueront à subir des violations dues à des attaquants qu’elles ont involontairement crédibilisés — et elles ne les détecteront pas avant que les dégâts ne soient faits.

L’architecture pour y faire face existe. Le problème n’est pas la capacité. C’est la volonté organisationnelle d’étendre le mandat du programme de menace interne au-delà de son cadre initial centré sur l’employé. Un acteur externe ayant un accès interne est une menace interne. Les programmes de sécurité doivent commencer à les traiter comme tels.

Sources : Mandiant M-Trends 2024 (Google Cloud Security) ; Verizon Data Breach Investigations Report 2024 ; CISA Phishing-Resistant MFA Guidance (2023) ; Microsoft Security Blog sur la détection de phishing AiTM (2023) ; FIDO Alliance FIDO2 Technical Brief (2023).