Logo Zéphyrnet

Les développeurs d'applications sont de plus en plus ciblés via Slack et les outils DevOps

Date :

Les développeurs sont de plus en plus attaqués par les outils qu'ils utilisent pour collaborer et produire du code - tels que Docker, Kubernetes et Slack - alors que les cybercriminels et les acteurs des États-nations visent à accéder aux précieux logiciels sur lesquels les développeurs travaillent au quotidien.

Par exemple, un attaquant a affirmé le 18 septembre avoir utilisé des identifiants Slack volés pour accéder et copier plus de 90 vidéos représentant le développement précoce de Grand Theft Auto 6, un jeu populaire de Rockstar Games de Take-Two Interactive. Et une semaine plus tôt, la société de sécurité Trend Micro a découvert que les attaquants recherchaient et tentaient systématiquement de compromettre des conteneurs Docker mal configurés.

Aucune des attaques n'impliquait de vulnérabilités dans les logiciels, mais les erreurs de sécurité ou les erreurs de configuration ne sont pas rares de la part des développeurs, qui ne prennent souvent pas le soin nécessaire pour sécuriser leur zone de surface d'attaque, déclare Mark Loveless, ingénieur en sécurité chez GitLab, un Fournisseur de plateforme DevOps.

"Beaucoup de développeurs ne se considèrent pas comme des cibles parce qu'ils pensent que le code fini, le résultat final, est ce que les attaquants recherchent", dit-il. "Les développeurs prennent souvent des risques de sécurité - comme la mise en place d'environnements de test à la maison ou la suppression de tous les contrôles de sécurité - afin qu'ils puissent essayer de nouvelles choses, avec l'intention d'ajouter de la sécurité plus tard."

Il ajoute : "Malheureusement, ces habitudes se reproduisent et deviennent une culture."

Les attaques contre la chaîne d'approvisionnement en logiciels - et les développeurs qui produisent et déploient des logiciels - ont augmenté rapidement au cours des deux dernières années. En 2021, par exemple, les attaques visant à compromettre les logiciels des développeurs — et les composants open source largement utilisés par les développeurs — ont augmenté de 650 %, selon le «2021 État de la « chaîne d'approvisionnement logicielle», publié par la firme de sécurité logicielle Sonatype.

Pipelines de développement et collaboration en vue

Dans l'ensemble, les experts en sécurité affirment que le rythme rapide des environnements d'intégration et de déploiement continus (CI/CD) qui constituent les fondements des approches de type DevOps présentent des risques importants, car ils sont souvent oubliés lorsqu'il s'agit de mettre en œuvre une sécurité renforcée.

Slack, Teams et Zoom sont en tête des outils synchrones utilisés par les développeurs professionnels. Source : StackOverflow

Cela affecte une variété d'outils utilisés par les développeurs dans leurs efforts pour créer des pipelines plus efficaces. Slack, par exemple, est l'outil de collaboration synchrone le plus populaire utilisé par les développeurs professionnels, avec Microsoft Teams et Zoom venant en deuxième et troisième position, selon l'enquête 2022 des développeurs StackOverflow. En outre, plus des deux tiers des développeurs utilisent Docker et un autre quart utilisent Kubernetes pendant le développement, selon l'enquête.

Les violations d'outils comme Slack peuvent être "méchantes", car ces outils remplissent souvent des fonctions critiques et n'ont généralement que des défenses de périmètre, a déclaré Matthew Hodgson, PDG et cofondateur de la plate-forme de messagerie Element, dans un communiqué envoyé à Dark Reading.

"Slack n'est pas crypté de bout en bout, c'est donc comme si l'attaquant avait accès à l'ensemble des connaissances de l'entreprise", a-t-il déclaré. "Une vraie situation de renard dans le poulailler."

Au-delà des erreurs de configuration : autres problèmes de sécurité pour les développeurs

Il convient de noter que les cyberattaquants ne se contentent pas de rechercher des erreurs de configuration ou une sécurité laxiste lorsqu'il s'agit de poursuivre les développeurs. En 2021, par exemple, l'accès d'un groupe de menaces à Slack via le achat sur le marché gris d'un jeton de connexion a conduit à une violation du géant du jeu Electronic Arts, permettant aux cybercriminels de copier près de 800 Go de code source et de données de l'entreprise. Et une enquête de 2020 sur les images Docker a révélé que plus de la moitié des dernières constructions ont des vulnérabilités critiques qui mettent en danger toute application ou service basé sur les conteneurs.

Le phishing et l'ingénierie sociale sont également des fléaux dans le secteur. Cette semaine encore, les développeurs utilisant deux services DevOps - CircleCI et GitHub - ont été ciblé par des attaques de phishing

Et, il n'y a aucune preuve que les attaquants ciblant Rockstar Games aient exploité une vulnérabilité dans Slack - seulement les affirmations du prétendu attaquant. Au lieu de cela, l'ingénierie sociale était probablement un moyen de contourner les mesures de sécurité, a déclaré un porte-parole de Slack dans un communiqué.

"La sécurité de niveau entreprise dans la gestion des identités et des appareils, la protection des données et la gouvernance des informations est intégrée à tous les aspects de la façon dont les utilisateurs collaborent et travaillent dans Slack", a déclaré le porte-parole, ajoutant : "Ces tactiques [d'ingénierie sociale] deviennent de plus en plus communs et sophistiqués, et Slack recommande à tous les clients de mettre en œuvre des mesures de sécurité strictes pour protéger leurs réseaux contre les attaques d'ingénierie sociale, y compris une formation de sensibilisation à la sécurité.

Améliorations lentes de la sécurité, plus de travail à faire

Les développeurs n'ont accepté la sécurité que lentement, car les professionnels de la sécurité des applications demandent cependant de meilleurs contrôles. De nombreux développeurs continuer à divulguer des "secrets" - y compris les mots de passe et les clés API - dans le code envoyé aux référentiels. Ainsi, les équipes de développement doivent se concentrer non seulement sur la protection de leur code et la prévention de l'importation de composants non fiables, mais également sur la garantie que les capacités critiques de leurs pipelines ne sont pas compromises, déclare Loveless de GitLab.

"Toute la partie zéro confiance, qui consiste généralement à identifier des personnes et des choses comme ça, il devrait également y avoir les mêmes principes qui devraient s'appliquer à votre code", dit-il. « Alors ne vous fiez pas au code ; il faut le vérifier. Avoir des personnes ou des processus en place qui supposent le pire - je ne vais pas y faire confiance automatiquement - en particulier lorsque le code fait quelque chose de critique, comme construire un projet.

De plus, de nombreux développeurs n'utilisent toujours pas de mesures de base pour renforcer l'authentification, comme l'utilisation de l'authentification multifacteur (MFA). Il y a cependant des changements en cours. De plus en plus, les différents écosystèmes de progiciels open source ont tous commencé exigeant que les grands projets adoptent l'authentification multifactorielle

En termes d'outils sur lesquels se concentrer, Slack a attiré l'attention en raison des dernières failles majeures, mais les développeurs doivent s'efforcer d'obtenir un niveau de contrôle de sécurité de base sur tous leurs outils, déclare Loveless.

"Il y a des flux et des reflux, mais c'est tout ce qui fonctionne pour les attaquants", dit-il. "D'après mon expérience de porter toutes sortes de chapeaux de couleurs différentes, en tant qu'attaquant, vous recherchez le moyen le plus simple d'entrer, donc si un autre moyen devient plus facile, alors vous dites:" Je vais essayer ça en premier "."

GitLab a constaté ce comportement de suivi du leader dans ses propres programmes de primes de bogues, note Loveless.

"Nous voyons que lorsque les gens envoient des bogues, tout à coup quelque chose - une nouvelle technique - va devenir populaire, et toute une série de soumissions résultant de cette technique arriveront", dit-il. "Ils viennent définitivement par vagues."

spot_img

Dernières informations

spot_img