L’incident du Nikkei met en évidence les risques d’entreprise associés à l’accès aux ressources de l’entreprise à partir d’appareils non gérés par l’entreprise.
La société de médias japonaise Nikkei a confirmé qu’une faille de sécurité dans ses comptes Slack a potentiellement divulgué des informations hautement sensibles de plus de 17 000 de ses utilisateurs. Les consultants soulignent l’incident comme un autre rappel des dangers lorsque des appareils non professionnels sont autorisés à accéder aux données confidentielles de l’entreprise.
« L’ordinateur personnel d’un employé a été infecté par un virus, entraînant la fuite des informations d’authentification Slack. On pense que ces informations ont été utilisées pour obtenir un accès non autorisé aux comptes des employés », a déclaré Nikkei dans un communiqué publié. « L’incident a été identifié en septembre et des contre-mesures telles que la modification des mots de passe ont été mises en œuvre. Les informations potentiellement divulguées incluent les noms, adresses e-mail et historiques de discussion de 17 368 personnes enregistrées sur Slack. «
Le communiqué du Nikkei ajoute « Compte tenu de l’importance de l’incident et pour garantir la transparence, nous l’avons volontairement signalé à la Commission (japonaise) de protection des informations personnelles. Aucune fuite d’informations liées aux sources ou aux activités de reporting n’a été confirmée. »
Le consultant en cybersécurité Brian Levine, ancien procureur fédéral et aujourd’hui directeur exécutif de FormerGov, un répertoire d’anciens spécialistes gouvernementaux et militaires, a souligné que cela faisait partie d’une tendance continue de violations de Slack.
« Il existe souvent un risque accru lorsque des employés ou des sous-traitants accèdent aux ressources de l’entreprise à partir d’appareils non gérés par l’entreprise. Des attaques récentes contre Okta, MGM Resorts et d’autres ont été liées à un tel accès non géré », a déclaré Levine, ajoutant que l’année dernière, « un attaquant a exfiltré plus de (1 téraoctet) de données internes de l’environnement Slack de Disney lorsqu’un entrepreneur avait accédé à Slack à partir d’un appareil non géré, contournant les outils de surveillance ».
Erik Avakian, conseiller technique chez Info-Tech Research Group, a noté que l’un des aspects les plus préoccupants des attaques similaires à la faille Nikkei est que les attaquants sont souvent capables de contourner facilement les défenses MFA.
« L’ordinateur d’un employé est touché par un logiciel malveillant conçu pour voler des informations d’identification. Le logiciel malveillant récupère les jetons de session Slack et les cookies, puis les envoie aux serveurs de commande et de contrôle des attaquants », a déclaré Avakian. « Grâce à ces jetons volés et probablement actifs, l’attaquant peut se connecter à Slack à partir de son propre appareil et accéder aux canaux privés et à l’historique des discussions sans même déclencher une invite d’authentification multifacteur, puisqu’il a réutilisé une session déjà authentifiée. »
Avakian a déclaré que la nature de ces attaques suggère que les RSSI d’entreprise devraient envisager des changements de procédures.
Ce type d’attaque donnerait aux acteurs de la menace « un large accès aux canaux et aux intégrations, ce qui aggraverait l’impact. Les faiblesses autour de cet incident mettent en lumière des appareils non gérés ou mal protégés, des jetons de longue durée et un manque de journalisation ou d’alertes pour les sessions suspectes », a déclaré Avakian. « Les organisations peuvent tirer des leçons de ces types d’incidents, et celles qui utilisent Slack, ou toute autre plate-forme de communication largement utilisée similaire à Slack, devraient maintenir une politique de révocation des sessions actives et d’actualisation régulière des jetons pour les utilisateurs concernés, en forçant la réinitialisation des mots de passe et la rotation des jetons d’API. »
Jeff Man, consultant senior en sécurité de l’information chez Online Business Systems, a souligné : « la discussion plus large devrait porter sur les échecs du programme informatique/IS de Nikkei à se protéger contre une sorte d’attaque ciblant ses employés. Pourquoi les employés sont-ils autorisés à utiliser Slack sur des appareils personnels ? »
« Il s’agit donc vraiment d’une question de gestion des risques », a déclaré Man. « Dans le cas de Nikkei, il semble que l’exploitation ait eu lieu ailleurs (sur le système). L’accès initial a permis aux malfaiteurs d’utiliser des informations d’identification pour accéder à Slack. Ce n’est pas une compromission de Slack lui-même, c’est une compromission de l’authentification du compte des employés. »
Stephen Boyce, consultant en sécurité et PDG de The Cyber Dr., a déclaré que l’incident de Nikkei représente « ce qui se passe lorsque quelqu’un utilise un appareil personnel pour accéder aux systèmes de travail. Une fois que cet appareil est touché par un logiciel malveillant, la partie est terminée pour les informations d’identification. Ce qui m’inquiète, c’est que cela peut arriver n’importe où. Les gens oublient combien de choses sensibles finissent dans Slack : messages, fichiers, liens, parfois même informations d’identification. Une fois que quelqu’un a cela, il peut fouiller assez librement. «
« Pour moi, c’est juste un autre rappel que la confiance zéro doit aller jusqu’à la périphérie, pas seulement jusqu’au réseau. Vous devez connaître l’appareil, utiliser l’authentification multifacteur liée au matériel géré et contrôler les données stockées dans ces outils SaaS », a déclaré Boyce. « Vous vous demandez peut-être aussi : « Eh bien, est-ce que nous supprimons complètement le BYOD ? » Et la réponse courte est « non », mais nous devons rechercher des moyens de sécuriser la main-d’œuvre au-delà des actifs émis par l’entreprise.
