Le 31 mai 2024, la sphère de la cybersécurité a été secouée par des révélations faites par la firme Hudson Rock, concernant un piratage massif du géant du stockage cloud, Snowflake. Ce piratage a non seulement touché Snowflake mais aussi de grandes entreprises clientes telles que Ticketmaster et la Banque Santander. Les données volées de ces entreprises ont été mises en vente sur un forum de cybercriminalité, exposant les données personnelles et financières de millions d’utilisateurs.
Le piratage a été exécuté en utilisant les identifiants volés d’un employé de Snowflake, permettant au hacker d’exfiltrer une grande quantité de données grâce à l’infection par un logiciel malveillant de type Infostealer. Ce type d’attaque met en lumière les risques associés au stockage de données sensibles dans le cloud et soulève des questions sur la robustesse des mesures de sécurité mises en place par les fournisseurs de cloud.
Snowflake c’est quoi ?
Fondée en 2012 par Benoit Dageville et Thierry Cruanes, Snowflake est une entreprise spécialisée dans les solutions de cloud computing. Sous la direction de son PDG, Sridhar Ramaswamy, Snowflake emploie plus de 7,200 personnes à travers le monde et possède plus de 45 bureaux internationaux, incluant des localités telles que Bozeman, Amsterdam, Berlin, Denver, Dubai, Londres, New York, Paris, San Mateo, Séoul, Sydney, Tel Aviv, Tokyo, Toronto, et bien d’autres.
Snowflake se positionne comme un facilitateur clé pour l’entreprise IA (Intelligence Artificielle), rendant l’IA à la fois facile, efficace et digne de confiance. Utilisant l’AI Data Cloud de Snowflake, des milliers d’entreprises, y compris certaines des plus grandes au monde, partagent des données, développent des applications, et dynamisent leur business grâce à l’IA. La plateforme de Snowflake est unique en son genre, offrant des capacités qui supportent une variété de charges de travail liées aux données, à l’IA, et aux applications.
Le Cloud de Données IA de Snowflake est utilisé par près de 10 000 entreprises pour alimenter leurs opérations commerciales avec des données et des applications. Le Cloud de Données IA inclut des capacités de plateforme qui supportent diverses charges de travail de données et d’IA, ainsi que du contenu – ensembles de données, modèles et applications – disponibles pour être partagés et consommés nativement dans le Cloud de Données IA.
La plateforme unique de Snowflake connecte les entreprises globalement à pratiquement n’importe quelle échelle, réunissant données et charges de travail, et accélérant le chemin vers l’IA d’entreprise. Associée à Snowflake Marketplace, qui simplifie le partage, la collaboration et la monétisation de milliers d’ensembles de données, d’applications et de modèles, cela crée un Cloud de Données IA actif et en croissance.
Snowflake a établi des alliances stratégiques avec des leaders technologiques tels qu’Amazon Web Services (AWS), Microsoft Azure, et Salesforce, et a effectué plus d’une douzaine d’acquisitions, dont Applica, LeapYear, Neeva, Samooha, Snowconvert, Streamlit, entre autres, et a investi dans plus de 35 entreprises via Snowflake Ventures pour stimuler l’innovation et étendre les opportunités dans le Cloud de Données IA pour ses clients.
Le hacker, qui a commencé à divulguer les détails de son méfait le 26 mai via Telegram, a révélé que le piratage de Snowflake était à l’origine de violations de données chez plusieurs grandes entreprises, y compris Anheuser-Busch, State Farm, Mitsubishi, Progressive, Neiman Marcus, Allstate et Advance Auto Parts. Ces informations ont été vendues sur le forum cybercriminel exploit[.]in, affirmant le sérieux de la brèche.
Selon le blog Hudson Rock, le hacker a pu accéder au compte ServiceNow d’un employé de Snowflake en contournant le système d’authentification Okta, ce qui lui a permis de générer des jetons de session et d’exfiltrer des données conséquentes. Le but avoué était de faire chanter Snowflake pour racheter leurs propres données pour 20 millions de dollars. Hudson Rock a retiré cet article de son blog mais nous avons pu mettre la main sur une copie de sauvegarde.
Okta c’est quoi ?
Okta est un fournisseur de services de gestion des identités et des accès basé sur le cloud, qui permet aux entreprises de sécuriser les connexions entre les personnes et la technologie. En utilisant la plateforme Okta, les organisations peuvent gérer les authentifications, les autorisations, et les utilisateurs de manière centralisée, tout en simplifiant et en sécurisant l’accès aux applications et données. Okta supporte l’authentification multifactorielle, l’intégration unique (Single Sign-On, SSO) et d’autres technologies modernes de sécurisation des identités pour aider les entreprises à protéger leurs ressources informatiques et à améliorer l’efficacité opérationnelle.
En réponse à cette situation alarmante, Snowflake a publié un communiqué indiquant qu’ils enquêtaient sur une campagne ciblée contre les utilisateurs avec une authentification à un seul facteur, mais n’ont trouvé aucune preuve que l’exfiltration de données était due aux identifiants compromis d’un employé actuel ou ancien. Snowflake a également publié des directives de sécurité à l’intention de ses clients, conseillant la mise en place de l’authentification multifactorielle, la rotation régulière des clés API et OAuth, et la surveillance accrue de l’activité des comptes pour détecter toute activité inhabituelle.
Les services cloud sont vu comme étant de véritables forteresses de sécurité car les fuites de données se situent souvent au niveau des clients et non au niveau même du fournisseur de services. Ce qui est préoccupant avec cette histoire c’est que la brèche provient du fournisseur même et qu’avec les informations d’identification d’un employé il est possible d’avoir accès aux données client si facilement. Si ce qu’affirme le blog Hudson Rock s’avère exact, d’autres grandes entreprises ont subi un sort similaire.
Cette série de violations de données est un rappel brutal de l’importance de la cybersécurité et de la nécessité pour les entreprises de renforcer continuellement leurs protocoles de sécurité pour se protéger contre les cyberattaques de plus en plus sophistiquées. En informatique, le maillon le plus faible peut causer d’énormes ravages et c’est pour cela que les entreprises imposent des solutions d’identification à multiples facteurs et les mots de passe complexes qui doivent être changés régulièrement. Pour plusieurs personnes, l’utilisation du même mot de passe pour avoir accès à son compte d’entreprise ou à un jeu en ligne peut sembler banal mais s’il y a une fuite de données du jeu en ligne, il est possible que la brèche compromette l’intégrité même de l’employeur.