Savez-vous où sont vos secrets ? Sinon, je peux vous dire : vous n’êtes pas seul.
Des centaines de CISO, CSO et responsables de la sécurité, qu’ils soient de petites ou de grandes entreprises, ne le savent pas non plus. Peu importe la taille de l’organisation, les certifications, les outils, les personnes et les processus : les secrets ne sont pas visibles dans 99 % des cas.
Cela peut sembler ridicule au premier abord : garder des secrets est une première pensée évidente lorsque l’on pense à la sécurité dans le cycle de vie du développement. Que ce soit dans le cloud ou sur site, vous savez que vos secrets sont stockés en toute sécurité derrière des portes rigides auxquelles peu de personnes peuvent accéder. Ce n’est pas seulement une question de bon sens puisqu’il s’agit également d’une exigence de conformité essentielle pour les audits de sécurité et les certifications.
Les développeurs travaillant dans votre organisation sont bien conscients que les secrets doivent être manipulés avec un soin particulier. Ils ont mis en place des outils et des procédures spécifiques pour créer, communiquer et faire pivoter correctement les identifiants humains ou machines.
Pourtant, savez-vous où sont vos secrets ?
Les secrets se répandent partout dans vos systèmes, et plus rapidement que la plupart ne le pensent. Les secrets sont copiés et collés dans les fichiers de configuration, les scripts, le code source ou les messages privés sans trop de réflexion. Pensez-y : un développeur code en dur une clé d’API pour tester un programme rapidement et accidentellement et envoie son travail sur un référentiel distant. Êtes-vous sûr que l’incident peut être détecté en temps opportun ?
Des capacités d’audit et de correction insuffisantes sont quelques-unes des raisons pour lesquelles la gestion des secrets est difficile. Ils sont également les moins pris en compte par les cadres de sécurité. Pourtant, ces zones grises, où des vulnérabilités invisibles restent cachées pendant longtemps, sont des trous flagrants dans vos couches de défense.
Reconnaissant cette lacune, nous avons développé un outil d’auto-évaluation pour évaluer la taille de cette inconnue. Pour faire le point sur votre réel posture de sécurité concernant les secrets de votre organisation, prenez cinq minutes pour répondre les huit questions (c’est complètement anonyme).
Alors, combien faites-vous ne pas connaître vos secrets?
Modèle de maturité de la gestion des secrets
La bonne gestion des secrets est une tactique défensive cruciale qui nécessite une certaine réflexion pour établir une posture de sécurité complète. Nous avons construit un cadre (vous pouvez trouver le livre blanc ici) pour aider les responsables de la sécurité à comprendre leur posture actuelle et à adopter des pratiques de gestion des secrets d’entreprise plus matures en trois phases :
- Évaluer les risques de fuite de secrets
- Établir des workflows modernes de gestion des secrets
- Créer une feuille de route pour améliorer les zones fragiles
Le point fondamental abordé par ce modèle est que la gestion des secrets va bien au-delà de la façon dont l’organisation stocke et distribue les secrets. C’est un programme qui n’a pas besoin d’aligner les personnes, les outils et les processus, mais aussi de tenir compte de l’erreur humaine. Les erreurs sont ne pas évitable ! Leurs conséquences sont. C’est pourquoi les outils et politiques de détection et de remédiation, ainsi que le stockage et la distribution des secrets, constituent les piliers de notre modèle de maturité.
Le modèle de maturité de la gestion des secrets prend en compte quatre surfaces d’attaque du cycle de vie DevOps :
- Environnements de développement
- Référentiels de code source
- Pipelines et artefacts CI/CD
- Environnements d’exécution
Nous avons ensuite construit une montée en maturité sur cinq niveaux, allant de 0 (Non initié) à 4 (Expert). Passer de 0 à 1 consiste principalement à évaluer les risques posés par les pratiques de développement de logiciels non sécurisées et à commencer à auditer les actifs numériques pour les informations d’identification codées en dur. Au niveau intermédiaire (niveau 2), l’analyse des secrets est plus systématique et les secrets sont prudemment partagés tout au long du cycle de vie DevOps. Les niveaux 3 (avancé) et 4 (expert) sont axés sur l’atténuation des risques avec des politiques plus claires, de meilleurs contrôles et une responsabilité partagée accrue pour la résolution des incidents.
Une autre considération essentielle pour ce framework est que rendre difficile l’utilisation des secrets dans un contexte DevOps conduira inévitablement au contournement des couches de protection en place. Comme pour tout le reste en matière de sécurité, les réponses se situent entre protection et flexibilité. C’est pourquoi l’utilisation d’un gestionnaire de coffre-fort/secrets ne commence qu’au niveau intermédiaire. L’idée est que l’utilisation d’un gestionnaire de secrets ne doit pas être considérée comme une solution autonome mais comme une couche de défense supplémentaire. Pour être efficace, il nécessite que d’autres processus, comme l’analyse continue des demandes d’extraction, soient suffisamment matures.
Voici quelques questions que ce modèle devrait soulever afin de vous aider à évaluer votre maturité : à quelle fréquence vos secrets de production sont-ils tournés ? Est-il facile de faire tourner les secrets ? Comment les secrets sont-ils distribués lors des phases de développement, d’intégration et de production ? Quelles mesures sont mises en place pour empêcher la diffusion non sécurisée des informations d’identification sur les machines locales ? Les informations d’identification des pipelines CI/CD respectent-elles le principe des moindres privilèges ? Quelles sont les procédures en place lorsque (pas si) des secrets sont divulgués ?
La révision de votre posture de gestion des secrets devrait être une priorité en 2023. Premièrement, toute personne travaillant avec du code source doit gérer des secrets, sinon quotidiennement, au moins de temps en temps. Les secrets ne sont plus l’apanage des ingénieurs en sécurité ou DevOps. Ils sont requis par de plus en plus de personnes, des ingénieurs ML, des scientifiques des données, des produits, des opérations et bien plus encore. Deuxièmement, si vous ne trouvez pas où se trouvent vos secrets, les pirates le feront.
Les pirates trouveront vos secrets
Les risques posés aux organisations qui n’adoptent pas des pratiques matures de gestion des secrets ne peuvent être surestimés. Les environnements de développement, les référentiels de code source et les pipelines CI/CD sont devenus les cibles préférées des pirates, pour qui les secrets sont une porte d’entrée vers les mouvements latéraux et la compromission.
Des exemples récents mettent en évidence la fragilité de la gestion des secrets même dans les organisations les plus matures technologiquement.
En septembre 2022, un attaquant a eu accès au réseau interne d’Uber, où il a trouvé des informations d’identification d’administrateur codées en dur sur un lecteur réseau. Les secrets ont été utilisés pour se connecter à la plate-forme de gestion des accès privilégiés d’Uber, où de nombreuses autres informations d’identification en clair étaient stockées dans des fichiers et des scripts. L’attaquant a ensuite pu prendre le contrôle des comptes d’administrateur dans AWS, GCP, Google Drive, Slack, SentinelOne, HackerOne, etc.
En août de la même année, le gestionnaire de mots de passe LastPass a été victime d’un attaquant qui a accédé à son environnement de développement en volant les informations d’identification d’un développeur de logiciels et en se faisant passer pour cet individu. Plus tard en décembre, la société a révélé que quelqu’un avait utilisé ces informations pour voler le code source et les données des clients.
En effet, en 2022, les fuites de code source se sont révélées être un véritable champ de mines pour les organisations : NVIDIA, Samsung, Microsoft, Dropbox, Okta et Slack, entre autres, ont été victimes de fuites de code source. En mai, nous alertions sur le volume important d’identifiants qui pourraient être récoltés en analysant ces codebases. Armés de ceux-ci, les attaquants peuvent gagner en influence et pivoter vers des centaines de systèmes dépendants dans ce que l’on appelle attaques de la chaîne d’approvisionnement.
Enfin, encore plus récemment, en janvier 2023, le fournisseur d’intégration continue CircleCI a également été piraté, entraînant la compromission de centaines de variables, de jetons et de clés d’environnement client. La société a exhorté ses clients à modifier immédiatement leurs mots de passe, clés SSH ou tout autre secret stocké ou géré par la plateforme. Pourtant, les victimes doivent savoir où se trouvent ces secrets et comment ils sont utilisés pour appuyer sur le bouton d’urgence !
C’était un argument solide pour avoir un plan d’urgence prêt à l’emploi.
La leçon de tous ces incidents est que les attaquants ont réalisé que compromettre l’identité des machines ou des humains donne un meilleur retour sur investissement. Ce sont tous des signes avant-coureurs de l’urgence pour gérer les informations d’identification codées en dur et de dépoussiérer la gestion des secrets en général.
Dernier mot
Nous avons un dicton en cybersécurité : « le chiffrement est facile, mais la gestion des clés est difficile ». Cela est toujours vrai aujourd’hui, même s’il ne s’agit plus seulement de clés de chiffrement. Notre monde de services hyper-connectés repose sur des centaines de types de clés, ou secrets, pour fonctionner correctement. Ceux-ci pourraient être autant de vecteurs d’attaque potentiels s’ils sont mal gérés.
Savoir où se trouvent vos secrets, non seulement en théorie mais en pratique, et comment ils sont utilisés tout au long de la chaîne de développement logiciel est crucial pour la sécurité. Pour vous aider, nous avons créé un modèle de maturité portant spécifiquement sur la distribution des secrets, la détection des fuites, le processus de correction et les habitudes de rotation.
La première étape consiste toujours à obtenir un audit clair de la posture de sécurité de l’organisation concernant les secrets : où et comment sont-ils utilisés ? Où fuient-ils ? Comment se préparer au pire ? Cela seul pourrait s’avérer être une bouée de sauvetage dans une situation d’urgence. Découvrez où vous en êtes avec le questionnaire et apprenez où aller à partir de là avec le papier blanc.
Dans le sillage des récentes attaques contre les environnements de développement et les outils métiers, les entreprises qui veulent se défendre efficacement doivent veiller à ce que les zones grises de leur cycle de développement soient dégagées au plus vite.
Poster un commentaire