Comment les cybercriminels exploitent OAuth pour distribuer des applications malveillantes

0
116

Si les applications légitimes OAuth « Open Authorization » sont devenues légion dans les stores d’applications d’entreprise pour l’ajout de fonctionnalités utiles (analyse, sécurité, CRM, etc.) au sein des plateformes cloud telles que Microsoft 365 et Google Workspace, elles constituent désormais un vecteur de menaces prépondérant.

Tribune – Selon les chercheurs Proofpoint, les cybercriminels utilisent de plus en plus d’applications OAuth 2.0 malveillantes (ou logiciels malveillants pour le cloud) pour dérober des données et accéder à des informations confidentielles. En 2020, Proofpoint a détecté plus de 180 applications malveillantes différentes, attaquant plus de 55 % de ses clients avec un taux de réussite de 22 %.

Parmi les méthodes observées : de nombreuses attaques de phishing de jetons OAuth et d’abus d’applications OAuth, permettant aux attaquants de cibler des employés pour voler des fichiers et des emails sur des plateformes cloud. Les attaques d’applications malveillantes, quant à elles, visent les utilisateurs ayant accès à des données sensibles, principalement des dirigeants, représentants des ressources humaines et directeurs financiers.

En outre, les méthodes d’usurpation d’identité des applications et les leurres (comme la COVID-19) sont toujours d’actualité. Certaines des attaques les plus sophistiquées s’appuient même sur la plateforme de Microsoft pour générer des invitations de consentement de l’application malveillante.

L’authentification des éditeurs d’applications peut jouer un rôle essentiel pour aider à atténuer la menace des applications OAuth malveillantes. Fin 2020, Microsoft a donc créé un mécanisme de vérification des éditeurs pour fournir aux utilisateurs finaux une meilleure vérification de la fiabilité de l’application.

Dans un précédent blog Proofpoint revenait sur d’autres méthodes pour exploiter des applications OAuth et accéder aux données et aux systèmes. La campagne SolarWinds/Solorigate, par exemple a été perpétrée par l’une de ces méthodes, qui consiste à compromettre les certificats des applications.

Pour plus d’informations sur ces nouvelles menaces, veuillez consulter le blog Proofpoint.