Bulletin sur les cyberattaques : Les attaquants ne piratent pas, ils se connectent : L'angle mort de l'AMF >

Bulletin sur les cyberattaques : Les attaquants ne piratent pas, ils se connectent : L'angle mort de l'AMF >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Technique d'attaque

Attaque d'exploitation de jetons

Les attaques par exploitation de jetons sont des menaces émergentes où les adversaires compromettent les jetons ou les autorisations OAuth pour obtenir un accès non autorisé à long terme aux comptes SaaS et aux applications cloud .

Définition
Comment cela fonctionne-t-il ?
Pourquoi les attaquants l'utilisent-ils ?
Détection
Foire aux questions
Définition

Qu'est-ce que l'exploitation des jetons ?

L'exploitation des jetons implique la compromission des jetons d'authentification - tels que les jetons d'accès OAuth - qui permettent d'accéder aux plateformes SaaS (Software-as-a-Service) sans avoir à demander à plusieurs reprises les informations d'identification de l'utilisateur. En volant ces jetons, les attaquants peuvent se faire passer pour des utilisateurs légitimes et conserver un accès permanent aux ressources sensibles du cloud .

Comment cela fonctionne-t-il ?

Comment fonctionne l'exploitation des jetons

Les attaquants utilisent plusieurs méthodes pour exploiter les jetons et les autorisations OAuth :

  • Phishing et l'ingénierie sociale : Les cyberadversaires incitent les utilisateurs à révéler leurs jetons d'authentification ou à accorder des autorisations inutiles par le biais de courriels trompeurs ou de fausses pages de connexion.
  • Exploitation d'applications vulnérables: Les applications dont les pratiques de gestion des jetons sont faibles peuvent exposer par inadvertance les jetons par le biais d'un stockage ou d'une transmission non sécurisés.
  • Configurations erronées d'OAuth: Une mauvaise configuration des champs d'application et des autorisations OAuth permet aux attaquants de demander un accès excessif, ce qui facilite la compromission des comptes SaaS.
  • Rejeu de jeton : Lorsqu'un attaquant intercepte un jeton valide, il peut le réutiliser pour accéder aux services jusqu'à ce que le jeton expire ou soit révoqué, ce qui lui donne un accès prolongé.
Pourquoi les attaquants l'utilisent-ils ?

Pourquoi les attaquants exploitent les "tokens" (jetons)

L'exploitation des jetons intéresse les attaquants pour plusieurs raisons :  

  1. Persistance : Les jetons volés permettent de maintenir un accès à long terme sans qu'il soit nécessaire de voler continuellement des informations d'identification.
  2. Contournement de l'authentification : Les jetons permettent aux attaquants de contourner l'authentification multifactorielle traditionnelle, en se faisant passer pour un utilisateur légitime.
  3. Mouvement latéral : Avec l'accès à un compte SaaS, les attaquants peuvent souvent exploiter des services interconnectés, escalader les privilèges et accéder à des ressources réseau plus étendues.
  4. Furtivité : Les jetons étant un élément légitime des mécanismes d'authentification, leur utilisation abusive peut être plus difficile à détecter que d'autres formes d'intrusion.
Détections de plates-formes

Comment prévenir et détecter les attaques par exploitation de jetons

La protection contre l'exploitation des jetons nécessite une stratégie de sécurité à plusieurs niveaux :  

  • Appliquer une gestion rigoureuse des jetons : Effectuez une rotation régulière des jetons, fixez des durées de vie courtes et révoquez les jetons en cas d'activité suspecte.
  • Sécuriser les configurations OAuth : Mettez en œuvre les principes du moindre privilège en définissant des champs d'application OAuth étroits et en veillant à ce que les autorisations soient strictement contrôlées.
  • Surveillez les anomalies : Utilisez des solutions de sécurité pilotées par l'IA pour surveiller en permanence les événements d'authentification et détecter les schémas anormaux d'utilisation des jetons.
  • Formation et sensibilisation des utilisateurs : Sensibiliser les utilisateurs aux risques d'phishing et à l'importance de vérifier l'authenticité des demandes d'autorisation.
  • Intégrer une détection avancée des menaces : Combinez la surveillance des menaces liées au réseau et à l'identité pour détecter rapidement les indicateurs de compromission et réagir rapidement à l'activité non autorisée des jetons.  

La plateformeVectra AI Platform s'appuie sur une détection avancée des menaces basée sur l'IA pour surveiller les flux d'authentification et l'utilisation des jetons dans vos environnements SaaS. En analysant les modèles comportementaux et en corrélant les tentatives d'accès inhabituelles, la plateforme permet aux équipes de sécurité d'identifier rapidement les incidents liés à l'exploitation des jetons et d'atténuer les risques avant qu'ils ne s'aggravent.

Détection
Azure AD Application OAuth suspecte
En savoir plus
Explorer toutes les détections

Protégez votre réseau avec des détections avancées

Explorer la plateforme
En savoir plus

Foire aux questions