Très souvent, lorsque les gens parlent de sécurité, la discussion sur les gestionnaires de mots de passe ou les coffres-forts revient. Ceux-ci peuvent être utiles pour les particuliers. Cependant, ils comportent des risques réels pour les entreprises, s'ils ne sont pas soigneusement étudiés.
Il y a quelques choses avec lesquelles je veux commencer:
Nous commençons par la fatigue des notifications. L'attaquant, soi-disant un "TeaPot" de 17 ans du Royaume-Uni, a trouvé les informations d'identification (probablement achetées en ligne) d'un entrepreneur Uber et a commencé à lui envoyer des demandes d'authentification multi-facteurs à plusieurs reprises. Cela devient rapidement une attaque courante, essayant simplement d'ennuyer les gens pour qu'ils acceptent la notification, bien que dans ce cas, ils aient également envoyé un message via WhatsApp prétendant provenir d'Uber IT et disant à l'entrepreneur qu'il y avait une erreur, et s'ils acceptaient le notification, cela arrêterait les alertes.
Après que l'entrepreneur ait accepté l'alerte, TeaPot prétend avoir accédé à l'intranet et trouvé un script avec des informations d'identification d'administrateur pour le Thycotic Secrets Vault qu'Uber utilise pour gérer ses informations d'identification.
Les informations d'identification d'administrateur pourraient signifier que tout dans le coffre-fort de mots de passe était disponible pour l'attaquant, et cela semble être ce qui s'est passé. Soi-disant, cela incluait l'accès au programme de primes de bogues, ce qui signifie que TeaPot a eu accès à des vulnérabilités non corrigées dans les applications et les systèmes d'Uber.
Voici le problème. La sécurité est compliquée et la gestion des informations d'identification est difficile. À l'échelle à laquelle Uber et d'autres licornes travaillent, beaucoup ne sont pas conçues pour la sécurité depuis le début, elles travaillent effectivement sur une base de sables mouvants. Essayer désespérément d'adapter la sécurité à des systèmes qui n'ont jamais été conçus pour cela tout en essayant de fonctionner comme une entreprise et de répondre aux demandes des investisseurs.
Les coffres-forts de mots de passe tels que Thycotic ne sont pas en eux-mêmes une mauvaise idée, mais qu'est-ce qui aurait aidé dans le cas d'Uber ? Vous verrez beaucoup de discussions sur les principes de confiance zéro, ce qui signifie ne faire confiance à aucun appareil d'un réseau pour accéder à quoi que ce soit, mais bien que l'on parle beaucoup de ces principes, ils sont incroyablement difficiles à mettre en œuvre s'ils ne sont pas intégrés à partir de le début.
Ne pas avoir de coffre-fort de mots de passe est une autre option, et cela aurait pu aider simplement parce que cela signifierait moins de chances d'avoir toutes ces informations d'identification au même endroit. D'un autre côté, cela signifie que les utilisateurs sont beaucoup plus susceptibles d'utiliser des mots de passe faibles en premier lieu et de les stocker de manière non sécurisée, comme sur une feuille de calcul ou un fichier texte.
S'ils sont correctement mis en œuvre, les coffres-forts de mots de passe facilitent grandement la gestion des systèmes sécurisés pour les utilisateurs. Le vrai défaut ici était d'avoir des informations d'identification d'administrateur pour le coffre-fort de mots de passe en premier lieu, à la place, des comptes individuels devraient être créés avec un accès uniquement aux informations d'identification dont ils ont besoin. Aucun sous-traitant externe, aussi fiable soit-il, ne devrait jamais avoir accès à ce niveau d'informations d'identification - il n'en a tout simplement pas besoin.
Je ne serais pas à l'aise même avec les employés les plus fiables ayant ce genre d'accès. C'est le genre de chose que vous divisez en plusieurs morceaux, que vous répartissez entre plusieurs membres du conseil d'administration et que vous verrouillez dans un coffre-fort en cas d'urgence, comme toute votre équipe informatique enlevée par des extraterrestres.
Une chose qui est apparue après l'attaque était que de nombreux fournisseurs de produits de sécurité vendaient leur solution comme la seule et unique qui l'aurait empêchée. Au mieux, ceux-ci devraient être complètement ignorés, car les faiblesses qui ont conduit à la violation étaient (et sont presque toujours) complexes et multiformes sans solution facile. L'autre était que beaucoup de gens se demandaient si les coffres-forts ou les gestionnaires de mots de passe étaient soudainement un risque nouveau et massif à prendre, et s'ils étaient sûrs à utiliser.
Image via URegina
La réponse simple est oui, si c'est utile et logique pour vous. Un coffre-fort bien configuré vous permet d'utiliser des mots de passe beaucoup plus sécurisés, de les faire pivoter régulièrement et de bien les gérer. De nombreux coffres-forts secrets d'entreprise changent les mots de passe après chaque utilisation et gèrent bien plus que les informations d'identification des utilisateurs, telles que les certificats et autres clés privées.
La réponse la plus complexe est que tout outil que vous utilisez pour simplifier la sécurité introduira des compromis et leurs propres risques dans un environnement. Un coffre-fort de mots de passe vous donnera des mots de passe plus sécurisés et une meilleure gestion des informations d'identification, mais le compromis est que toutes ces informations d'identification en un seul endroit en font une cible tentante pour un attaquant et peuvent aggraver rapidement une violation mineure.