Les (autres) risques en finance

Il y a quelques années, un promoteur immobilier basé à Washington a reçu un lien de document de First American – une société de services financiers dans le secteur immobilier – concernant une transaction sur laquelle il travaillait. Tout dans le document était parfaitement correct et normal.

La partie étrange, il dit un journaliste, était que s’il changeait un seul chiffre dans l’URL, soudainement, il pouvait voir le document de quelqu’un d’autre. Changez-le à nouveau, un document différent. Sans outils techniques ni expertise, le développeur a pu récupérer des enregistrements FirstAm datant de 2003 à 885. million au total, beaucoup contiennent les types de données sensibles divulguées dans les transactions immobilières, comme les coordonnées bancaires, les numéros de sécurité sociale et, bien sûr, les noms et adresses.

Que près d’un milliard d’enregistrements puissent fuir à partir d’une si simple vulnérabilité Web semblait choquant. Pourtant, des conséquences encore plus graves s’abattent chaque semaine sur les sociétés de services financiers. Verizon, dans sa version la plus récente Rapport d’enquête sur les violations de données, a révélé que la finance est le secteur le plus ciblé au monde en ce qui concerne les attaques de base contre les applications Web. Et selon Statistique, les violations réussies coûtent à ces entreprises en moyenne environ six millions de dollars chacune. Le FMI a estimé que les pertes à l’échelle de l’industrie dues aux cyberattaques « pourraient atteindre quelques centaines de milliards de dollars par an, érodant les bénéfices des banques et menaçant potentiellement la stabilité financière ».

En réponse, les dirigeants allouent chaque année des millions supplémentaires à des systèmes de défense sophistiqués – XDR, SOC, outils d’IA, etc. Mais alors que les entreprises se renforcent contre les APT et les opérations cybercriminelles matures, les failles de sécurité rudimentaire alors que FirstAm reste répandu dans l’industrie.

Il existe une catégorie de vulnérabilité, en particulier, qui revient rarement dans les discussions en salle de conseil. Une fois que vous commencez à chercher, cependant, vous le trouverez presque partout. Et bien plus que les zero-days, les deep fakes ou le spear phishing, il est assez facile pour les pirates de découvrir ce genre d’erreur et de se jeter dessus.

Une vulnérabilité que tout le monde ignore

Image créée avec Midjourney

En 2019, trois chercheurs de la North Carolina State University testé une hypothèse communément comprise mais peu discutée en cybersécurité.

Github et d’autres référentiels de code source, selon l’histoire, ont provoqué un boom pour l’industrie du logiciel. Ils permettent aux développeurs talentueux de collaborer dans le monde entier en faisant un don, en prenant et en combinant du code dans un logiciel plus récent et meilleur, construit plus rapidement que jamais. Pour permettre aux différents codes de s’entendre, ils utilisent des informations d’identification – clés secrètes, jetons, etc. Ces joints de connexion permettent à n’importe quel logiciel d’ouvrir sa porte à un autre. Pour empêcher les attaquants de passer par le même chemin, ils sont protégés derrière un voile de sécurité.

Ou sont-ils?

Entre le 31 octobre 2017 et le 20 avril 2018, les chercheurs du NCSU ont analysé plus de deux milliards de fichiers provenant de plus de quatre millions de dépôts Github, ce qui représente environ 13 % de tout sur le site. Ces échantillons contenaient près de 600 000 API et clés cryptographiques – des secrets, intégrés directement dans le code source, à la vue de tous. Plus de 200 000 de ces clés étaient uniques, et elles étaient réparties sur plus de 100 000 dépôts au total.

Bien que l’étude ait accumulé des données sur six mois, quelques jours – voire quelques heures – auraient suffi pour faire le point. Les chercheurs ont souligné comment des milliers de nouveaux secrets ont été divulgués chaque jour de leur étude.

Des recherches récentes ont non seulement soutenu leurs données, mais elles ont fait un pas de plus. Par exemple, au cours de la seule année civile 2021, GitGuardian identifié plus de six million secrets publiés sur Github – environ trois pour 1 000 commits.

À ce stade, on peut se demander si les informations d’identification secrètes contenues (« codées en dur ») dans le code source sont vraiment si mauvaises si elles sont si courantes. La sécurité en chiffres, n’est-ce pas ?

Le danger des informations d’identification codées en dur

Les informations d’identification codées en dur semblent être une vulnérabilité théorique jusqu’à ce qu’elles fassent leur chemin dans une application en direct.

L’automne dernier, Symantec identifié près de 2 000 applications mobiles exposant des secrets. Plus des trois quarts ont divulgué des jetons AWS, permettant à des tiers d’accéder à des services de cloud privé, et près de la moitié ont divulgué des jetons qui ont en outre permis « un accès complet à de nombreux, souvent des millions, de fichiers privés ».

Pour être clair, il s’agissait d’applications publiques légitimes utilisées dans le monde entier aujourd’hui. Comme les cinq applications bancaires que Symantec a trouvées, toutes utilisent le même SDK tiers pour l’authentification de l’identité numérique. Les données d’identification font partie des informations les plus sensibles que possèdent les applications, mais ce SDK a divulgué des identifiants cloud qui « pourraient exposer des données d’authentification privées et des clés appartenant à chaque application bancaire et financière utilisant le SDK ». Cela ne s’est pas arrêté là, puisque « les empreintes digitales biométriques des utilisateurs utilisées pour l’authentification, ainsi que les données personnelles des utilisateurs (noms, dates de naissance, etc.), ont été exposées dans le cloud ». Au total, les cinq applications bancaires ont divulgué plus de 300 000 empreintes biométriques de leurs utilisateurs.

Si ces banques ont échappé au compromis, elles ont de la chance. Des fuites similaires ont déjà emporté des poissons encore plus gros.

Comme Uber. Vous imaginez que seuls des cyber-adversaires hautement organisés et talentueux pourraient percer une entreprise technologique de la réputation d’Uber. En 2022, cependant, un jeune de 17 ans a réussi à tout faire tout seul. Après une légère ingénierie sociale l’a conduit dans le réseau interne de l’entreprise, il a localisé un script Powershell contenant des informations d’identification de niveau administrateur pour le système de gestion des accès privilégiés d’Uber. C’est tout ce dont il avait besoin pour ensuite compromettre toutes sortes d’outils et de services en aval utilisés par l’entreprise, de leur AWS à leur Google Drive, Slack, les tableaux de bord des employés et les référentiels de code.

Cela aurait pu être une histoire plus remarquable, n’eût été la autre heure où Uber a perdu des secrets pour les pirates dans un repo privé de 2016 enfreindre qui ont exposé des données appartenant à plus de 50 millions de clients et sept millions de conducteurs. Ou la autre fois qu’ils l’ont fait, par le biais d’un rapport public, en 2014, révélant les informations personnelles de 100 000 conducteurs en cours de route.

Ce qu’il faut faire

La finance est le secteur le plus ciblé par les cyberattaquants dans le monde. Et chaque chercheur qui fouille des milliers d’applications vulnérables, ou des millions de dépôts vulnérables, démontre à quel point il serait simple pour les attaquants d’identifier les informations d’identification codées en dur dans le code essentiel à la gestion de toute entreprise moderne dans ce secteur.

Mais aussi facilement que les méchants pouvaient le faire, les bons le pouvaient aussi. AWS et Github tentent eux-mêmes, du mieux qu’ils peuvent, de surveiller les informations d’identification qui fuient sur leurs plates-formes. De toute évidence, ces efforts ne suffisent pas à eux seuls, et c’est là qu’intervient un fournisseur de cybersécurité.

En savoir plus sur la surveillance du code source pour les secrets d’un de nos experts