S’il y a une chose que toutes les grandes plates-formes SaaS partagent, c’est leur objectif de simplifier la vie de leurs utilisateurs finaux. Éliminer les frictions pour les utilisateurs de manière sûre est la mission des fournisseurs d’authentification unique (SSO).
Avec l’authentification unique à la barre, les utilisateurs n’ont pas à se souvenir de mots de passe distincts pour chaque application ou à masquer les copies numériques des informations d’identification à la vue de tous.
L’authentification unique libère également la bande passante du service informatique de la gestion des demandes récurrentes de réinitialisation de mot de passe tout en améliorant la productivité de tous les membres de votre organisation. Cependant, il existe également un niveau de risque associé à la capacité SSO.
Comment se protéger contre les échecs de SSO
Risques réels liés à l’authentification unique
Si le SSO facilite dans une large mesure l’accès, il comporte également un certain risque imminent. L’authentification unique est un bon catalyseur d’efficacité, mais pas la solution de sécurité ultime avec ses propres défauts qui permettent le contournement.
Il existe une classe de vulnérabilité spécifique qu’Adam Roberts du groupe NCC a détectée dans plusieurs services SSO. Il a constaté que la vulnérabilité affectait spécifiquement les implémentations SAML (Security Assertion Markup Language).
« La faille pourrait permettre à un attaquant de modifier les réponses SAML générées par un fournisseur d’identité, et ainsi obtenir un accès non autorisé à des comptes d’utilisateurs arbitraires, ou d’élever les privilèges au sein d’une application, » décrit chercheur en sécurité Roberts.
Les chercheurs en sécurité de Micro Focus Fortify présentés en 2019 les dangers associés aux vulnérabilités SSO dans le mécanisme d’authentification de Microsoft. Les vulnérabilités ont permis aux mauvais acteurs de mener soit un déni de service, soit de se faire passer pour un autre utilisateur afin d’exploiter leurs privilèges d’utilisateur. Microsoft a corrigé la vulnérabilité de l’authentification SSO en juillet de la même année.
Il y a aussi la montée troublante de attaques de prise de contrôle de compte (ATO) où le mauvais acteur est capable de contourner SSO. Selon le géant de la notation de crédit Experian (pas étranger aux attaques de fraude dommageables), 57% des organisations disent ils ont été victimes des ATO au cours de l’année 2020.
SSO, MFA, IAM, Oh mon Dieu!
De par sa conception, SSO n’offre pas une protection à 100%. De nombreuses organisations activeront en outre l’authentification multifacteur (MFA), et pourtant, il existe encore des cas où toutes ces mesures préventives pourraient échouer. Voici un scénario courant:
Les super-administrateurs – les utilisateurs les plus puissants dans la posture de sécurité SaaS – contourneront souvent les paramètres SSO et IAM sans aucun problème. Cette capacité peut être contournée pour de nombreuses raisons, résultant de la recherche d’un accès facile et d’une commodité ou d’un besoin. Dans une situation de panne IdP, pour certaines plates-formes SaaS, les super-administrateurs s’authentifient directement auprès de la plate-forme pour assurer la connectivité. Dans tous les cas, il existe des protocoles hérités qui permettent aux administrateurs de contourner son utilisation obligatoire.
Protéger contre les échecs SSO
Les outils SSO à eux seuls ne sont pas suffisants pour se protéger contre les entrées non autorisées dans le domaine SaaS d’une organisation. Vous pouvez prendre certaines mesures pour éviter les risques présentés par SSO.
- Exécutez un audit et identifiez les utilisateurs et les plates-formes qui peuvent contourner l’authentification unique et déployer l’authentification multifacteur spécifique à l’application pour garantir des stratégies de mot de passe correctement configurées pour les utilisateurs.
- Identifiez les protocoles d’authentification hérités qui ne prennent pas en charge MFA et qui sont en cours d’utilisation, tels que IMAP et POP3 pour les clients de messagerie.
- Ensuite, réduisez le nombre d’utilisateurs utilisant ces protocoles, puis créez un deuxième facteur, tel qu’un ensemble spécifique de périphériques pouvant utiliser ces protocoles hérités.
- Passez en revue les indicateurs uniques de compromission, tels que les règles de transfert configurées dans les applications de messagerie, les actions en masse, etc. Ces indicateurs peuvent être différents entre les plates-formes SaaS et nécessitent donc une connaissance approfondie de chaque plate-forme.
Un robuste Outil de gestion de la posture de sécurité (SSPM) SaaS, comme Adaptive Shield, peut automatiser ces étapes pour éviter d’éventuelles fuites ou attaques.
En plus de contrôler chaque utilisateur de votre écosystème SaaS, Adaptive Shield vous permettra d’examiner la faiblesse de la configuration dans l’ensemble de votre domaine SaaS, domaine SSO inclus, à travers chaque paramètre, rôle d’utilisateur et privilège d’accès.
Adaptive Shield donne à votre équipe de sécurité le contexte complet d’une violation et de ses risques pour votre organisation et vous donne les bonnes instructions à chaque étape jusqu’à ce que la menace soit résolue.