Prendre une bouchée de la sécurité

Les solutions MFA sont désormais un enjeu de table pour les entreprises qui cherchent à sécuriser les réseaux au bureau et à domicile en même temps. En associant l’authentification multifactorielle (MFA) à des outils intelligents de gestion des identités et des accès (IAM), les entreprises peuvent demander plus de vérification aux utilisateurs si nécessaire pour garantir leur identité. Ceci est essentiel dans un monde soutenu par un travail à distance robuste. Les entreprises doivent s’assurer que les utilisateurs accédant aux services critiques sont exactement ce qu’ils prétendent être, à chaque fois.

Mais les acteurs de la menace ne sont pas sur le point d’être dissuadés par l’AMF. Au lieu de cela, ils ont développé des moyens de le contourner en utilisant des attaques “ pass-the-cookie ”, en utilisant des applications Web progressives (PWA) pour imiter de vrais utilisateurs. Ceux-ci leur permettent d’accéder au réseau sans avoir besoin d’une vérification MFA. Le risque de ne pas avoir d’AMF est toujours réel, mais nous devons aussi penser au-delà.

Quels risques de sécurité sont associés aux cookies?

Les cookies restent un élément essentiel de la vie en ligne. Et si les entreprises sont désormais obligées d’être plus transparentes sur la collecte et la consommation des cookies, un autre problème demeure. Si les attaquants peuvent mettre la main sur des cookies post-MFA, ils pourront peut-être contourner d’autres tentatives et obtenir un accès complet aux réseaux d’entreprise. C’est le nœud du détournement de cookies, également connu sous le nom de détournement de session.

En pratique, le détournement de cookies repose sur la nature sans état de HTTP. Cela signifie qu’il sépare naturellement chaque demande opérationnelle – comme les utilisateurs recherchant un accès à un réseau d’entreprise, un compte bancaire ou un compte de commerce électronique – en processus distincts. En conséquence, les applications Web ne peuvent pas «se souvenir» des utilisateurs. Utiliser uniquement HTTP serait extrêmement frustrant, avec des informations de connexion et de mot de passe requises pour chaque tâche.

Les sessions aident à résoudre ce problème en fournissant un marqueur cohérent qui couvre une série d’interactions entre deux appareils. À la fin de la session, ses détails pertinents sont supprimés pour garantir que les autres utilisateurs ne puissent pas y accéder. Le problème? Si les attaquants sont capables de détourner des sessions pendant qu’elles sont en cours d’exécution, ils peuvent voler des détails de session clés – ou des cookies – qui peuvent ensuite être utilisés pour se déguiser en utilisateurs autorisés et effectuer des actions spécifiques.

MFA et au-delà

MFA, quant à lui, permet de vérifier les utilisateurs avant le début d’une session. Pensez à un utilisateur d’entreprise se connectant à son compte professionnel privilégié. Les outils MFA robustes peuvent les obliger à fournir des codes texte ou des données biométriques à usage unique, ainsi que des informations de connexion et de mot de passe pour prouver qui ils sont et accorder l’accès à des services ou des tâches informatiques de haut niveau. Ce que MFA ne peut pas empêcher, cependant, c’est le détournement de session. Si les attaquants sont capables d’écouter les sessions des utilisateurs et d’obtenir des données de cookies, ils peuvent les utiliser pour ouvrir une nouvelle session de navigateur déjà vérifiée, en contournant à son tour les points de contrôle MFA.

Cela devient un problème plus important à mesure que de plus en plus d’entreprises exploitent les solutions MFA en tant que gardiens sûrs de l’accès des utilisateurs. Si un piratage se produit dans les coulisses, les cookies compromis peuvent passer inaperçus car les identifiants de session montrent les utilisateurs comme vérifiés, ce qui donne aux attaquants plus de temps pour exploiter les opérations du réseau.

Mais est-ce que cela doit être la façon dont le cookie s’effrite?

Vivre de la terre

Pour priver les attaquants de jours de paie potentiels pour les cookies, il est essentiel pour les entreprises de voir les facteurs de risque courants associés au vol de session. En effet, ces menaces font partie de la classification plus large des attaques de la vie hors de la terre (LotL) – des vecteurs de compromis qui tirent parti d’une infrastructure et de services de confiance pour infiltrer les réseaux d’entreprise. Celles-ci Les efforts du LotL sont paradoxales. Au fur et à mesure que les entreprises parviennent à mieux détecter et vaincre les vecteurs d’attaque courants, les attaquants se tournent vers des processus critiques pour se frayer un chemin derrière les lignes de l’entreprise et établir des opérations persistantes.

Les attaques LotL les plus connues prennent la forme de logiciels malveillants sans fichier qui utilisent des outils populaires, tels que PowerShell, pour infiltrer les systèmes d’entreprise sans être détectés et obtenir un accès sans entrave au réseau. Les cookies constituent un autre type d’attaque LotL qui est moins courant mais non moins dommageable. En détournant les informations de session et en les réutilisant dans une nouvelle session de navigateur, les acteurs malveillants peuvent contourner certaines des mesures de défense les plus solides actuellement disponibles pour les entreprises.

Encore pire? Étant donné que la MFA est souvent considérée comme l’étalon-or de la défense basée sur les utilisateurs, les utilisateurs prétendument validés exploitant les cookies volés ne sont pas considérés comme des menaces potentielles jusqu’à ce qu’ils commencent à prendre de grandes bouchées dans les opérations informatiques – et à laisser une traînée de miettes dans leur sillage.

Déballage de nouveaux problèmes de cookies

Bien que toute session HTTP ait le potentiel de créer un compromis sur les cookies, plusieurs facteurs ont conspiré pour augmenter ce risque à grande échelle.

Le premier debout? Le rapide montée en puissance du travail à distance, ce qui a à son tour incité à l’adoption massive de services mobiles et basés sur le cloud. Ceux-ci s’appuient sur les cookies pour aider à rationaliser les opérations d’identité et à réduire les frictions fonctionnelles.

Les équipes informatiques se concentrent sur la gestion du passage soudain des efforts internes aux réseaux à domicile et sur la préparation de l’avenir hybride de la dotation en personnel. Pendant ce temps, les attaquants obtiennent un double avantage. Il y a plus de biscuits et moins de gens qui regardent le pot. Cela devient de plus en plus un problème à mesure que les appareils personnels deviennent la norme de facto pour un accès privilégié à la maison et au bureau. Cela crée un problème pour de nombreuses entreprises qui offrent des ressources limitées pour la surveillance et le contrôle.

Les services d’authentification unique (SSO) jouent également un rôle. Bien que ces solutions offrent aux utilisateurs un moyen simplifié d’accéder aux principaux services et applications réseau, à tout moment et en tout lieu, elles présentent également un risque. Alors que les solutions SSO émergentes peuvent bloquer l’accès en fonction d’informations comportementales supplémentaires pour réduire les frictions – en permettant aux utilisateurs de contourner les contrôles d’authentification par clé s’ils se connectent systématiquement à partir du même appareil à la même heure chaque jour – elles ouvrent également la porte à problèmes de cookies. Les attaquants peuvent détourner des sessions SSO et se déguiser en utilisateurs honnêtes sur les réseaux d’entreprise.

Que sont les applications Web progressives?

Il y a, cependant, un facteur encore plus important en ce qui concerne la compromission des cookies: les applications Web progressives ou PWA.

Ils sont différents des applications mobiles natives créées à l’aide de langages de programmation spécifiques aux appareils. Au lieu de cela, les PWA utilisent des technologies Web courantes telles que HTML, CSS ou JavaScript. Ils transforment efficacement les sites Web en applications Web offrant des fonctions presque identiques à celles de leurs homologues natifs. En outre, la nature “ progressive ” de ces applications signifie qu’elles peuvent être téléchargées et installées en tant qu’applications sur des appareils mobiles qui imitent leurs homologues de page Web. Pour les utilisateurs et les développeurs, les PWA offrent un moyen simplifié de concevoir et de déployer des fonctionnalités et des services à la demande sans avoir besoin de coder plusieurs applications pour plusieurs appareils.

Ces applications offrent l’avantage supplémentaire de combler le fossé entre les fonctionnalités en ligne et hors ligne. Lorsqu’ils sont en ligne, les PWA récupèrent des informations en temps réel à partir de leur service Web connecté, mais fonctionnent également hors ligne en utilisant des informations mises en cache localement et stockées sur des appareils mobiles. Il n’est donc pas surprenant que le développement et le déploiement de PWA s’intensifient alors que les entreprises cherchent à tirer parti de leur nature à double voie tout en réduisant le temps et les ressources nécessaires pour créer ces applications connectées en même temps.

Le problème des applications Web progressives

D’autre part, les applications Web progressives présentent également un risque. Si les utilisateurs ne se déconnectent pas activement des sessions du navigateur et ne ferment pas simplement l’application Web progressive qu’ils utilisent, les sessions ne se terminent pas automatiquement. Dans la plupart des cas, les serveurs spécifient l’heure de fermeture, ouvrant une fenêtre d’opportunité pour les attaquants de se faufiler, de récupérer des cookies et de commencer à se frayer un chemin à travers tous les services connectés jusqu’à ce qu’ils aient atteint leurs objectifs ou que la session expire.

Il y a là une lueur d’espoir, car les données des cookies ne peuvent pas être conservées pour un accès persistant une fois que les sessions ont expiré. Mais rien n’empêche les acteurs menaçants de détournement de session de déployer des portes dérobées ou d’autres menaces persistantes qui leur assureront une présence réseau plus permanente.

Mettre tout simplement? À mesure que les applications Web progressives se développent, les moyens d’éviter la MFA augmentent.

Garder les cookies en sécurité, applications Web progressives ou non

Pour garder les cookies hors des mains des cyberattaquants, il est désormais essentiel pour les entreprises de se défendre. Ceux-ci peuvent inclure:

Cookies HTTPS uniquement

Alors que de nombreuses entreprises utilisent désormais HTTPS sur les pages de connexion pour empêcher les attaques d’espionnage potentielles, cela ne suffit pas pour empêcher le détournement de cookies. L’utilisation de HTTPS sur tous les sites Web, services et PWA permet à la place d’étendre la protection aux clés de session et de réduire le risque d’attaques par piratage de cookies. L’utilisation de l’indicateur de cookie sécurisé sur n’importe quel serveur d’applications, qui indique au navigateur de n’envoyer que les données de cookie via HTTPS, permet également d’éviter l’écoute en clair des détails de la session.

Architecture de stockage améliorée

Pour réduire le temps entre la demande et la réponse et améliorer les performances des PWA, l’utilisation du stockage Web HTML est courante. Le problème? Le stockage de cookies HTML rationalise le processus d’attaque pour les voleurs de cookies qui cherchent à copier l’accès à la session, tandis que le stockage Web à grande échelle reste vulnérable aux attaques de scripts intersites (XSS). Pour limiter les risques de compromission des cookies, nous vous recommandons de sauter le stockage Web au profit de solutions locales sécurisées.

Solutions RASP avancées

Les solutions d’autoprotection des applications d’exécution (RASP) se trouvent dans le code d’exécution de l’application qu’elles protègent. Cela leur donne une vue d’ensemble de chaque demande d’utilisateur et appel de fonction effectué par le programme. Bien que les options RASP avancées n’éliminent pas les risques de piratage de cookies si les attaquants peuvent écouter les sessions des utilisateurs, ils peuvent identifier le comportement étrange des applications résultant du vol de cookies et prendre des mesures pour fermer la session, réduisant à son tour le temps passé par les utilisateurs malveillants. accès.

Services IAM extensibles

Enfin et surtout? Complet Services IAM. Tout comme MFA, ces outils ne suffisent pas de manière isolée pour défendre des applications à grande échelle. Lorsqu’elles sont associées à des solutions complémentaires telles que RASP et HTTPS, les solutions IAM peuvent aider à atténuer le risque global.

Ici, il est essentiel que les entreprises choisissez les services IAM qui s’étendent au-delà des piles locales. Vous devez couvrir les applications et services basés sur le cloud, d’autant plus que le nombre de PWA augmente.

Progressive Web Apps et autres défenses

En bout de ligne? Détournement de cookies reste une préoccupation essentielle pour les entreprises – et pose un risque croissant dans un monde où les initiatives de travail à distance évoluent et le déploiement croissant d’applications Web progressives. La MFA seule ne suffit pas pour combattre ces voleurs de cookies. S’ils peuvent passer derrière les lignes de session, ils peuvent détourner les données des cookies, se faire passer pour des utilisateurs authentifiés et compromettre les fonctions informatiques critiques.

Combinez une MFA forte, un HTTPS complet, une architecture de stockage protégée, des outils RASP avancés et des infrastructures IAM extensibles pour une couverture multicouche. La solution à l’insécurité des cookies consiste à cuire dans une meilleure défense avec une approche en couches.

— to securityintelligence.com