Tableau 1. Criticit\u00e9 de certaines ressources cloud.<\/p>\n
Les attaquants ont particuli\u00e8rement cibl\u00e9 les jetons\u00a0IAM serverless, avec \u00e0 la cl\u00e9 des ex\u00e9cutions de ligne de commande \u00e0 distance. Cet aspect est d\u00e9terminant, car ces jetons peuvent \u00eatre utilis\u00e9s pour acc\u00e9der au reste de l'environnement\u00a0cloud d'une organisation. En mati\u00e8re de recensement des alertes\u00a0cloud, le constat est sans appel\u00a0: le nombre d'acc\u00e8s en ligne de commande \u00e0 distance utilisant des jetons\u00a0IAM et des identifiants exploit\u00e9s par les fonctions serverless a \u00e9t\u00e9 multipli\u00e9 par trois.<\/p>\n
Nous avons \u00e9galement identifi\u00e9 d'autres tendances en hausse en mati\u00e8re d\u2019alertes\u00a0:<\/p>\n
- \n
- une augmentation de 116\u00a0% des alertes \u00ab\u00a0de d\u00e9placements impossibles\u00a0\u00bb bas\u00e9es sur l'IAM (c'est-\u00e0-dire des \u00e9v\u00e9nements de connexion provenant de zones g\u00e9ographiques \u00e9loign\u00e9es dans une fen\u00eatre temporelle courte)<\/li>\n
- Augmentation de 60\u00a0% des appels d'API d\u2019IAM provenant de r\u00e9gions ext\u00e9rieures et gourmandes en ressources (machines virtuelles cloud).<\/li>\n
- Un pic d\u2019augmentation de 45\u00a0% du nombre d'exportations de snapshots au cours du mois de novembre\u00a02024<\/li>\n
- Augmentation de 305\u00a0% du nombre de t\u00e9l\u00e9chargements suspects de plusieurs objets stock\u00e9s dans le cloud.<\/li>\n<\/ul>\n
La bonne gestion des identit\u00e9s est l'un des remparts dans la d\u00e9fense des infrastructures\u00a0cloud. Les attaquants ciblent les jetons et les identifiants\u00a0IAM car ils ouvrent l\u2019acc\u00e8s \u00e0 l\u2019ensemble de l\u2019infrastructure, ce qui permet aux attaquants de se d\u00e9placer lat\u00e9ralement, d\u2019\u00e9lever leurs privil\u00e8ges et d'effectuer d'autres op\u00e9rations malveillantes. La hausse du nombre de tentatives d'acc\u00e8s et de l'utilisation de comptes de services\u00a0IAM sensibles montre que partout dans le monde, les attaquants ciblent les ressources\u00a0cloud.<\/p>\n
La raison est simple\u00a0: ces environnements contiennent souvent des donn\u00e9es sensibles. Nous avons constat\u00e9 une hausse notable du nombre de t\u00e9l\u00e9chargements suspects d'objets stock\u00e9s dans le cloud et d'exportations de snapshots. Les alertes de ce type se d\u00e9clenchent lorsqu'une seule identit\u00e9\u00a0IAM t\u00e9l\u00e9charge un grand nombre d'objets de stockage dans un laps de temps restreint, ce qui peut indiquer des op\u00e9rations malveillantes telles qu\u2019une attaque par ransomware ou une tentative d'extorsion. Si les attaquants ciblent ces snapshots, c\u2019est parce qu\u2019ils contiennent souvent des donn\u00e9es sensibles. Citons notamment les identifiants\u00a0IAM, gr\u00e2ce auxquels les attaquants peuvent \u00e9lever leurs privil\u00e8ges et se d\u00e9placer lat\u00e9ralement dans l'environnement\u00a0cloud de la cible.<\/p>\n
Il est donc indispensable de prot\u00e9ger les environnements\u00a0cloud en combinant l\u2019approche CSPM aux outils de d\u00e9tection qui permettent d\u2019endiguer les attaques au moment o\u00f9 elles surviennent.<\/p>\n
Gr\u00e2ce \u00e0 Cortex\u00a0Cloud, notre outil de CDR<\/a> (d\u00e9tection et r\u00e9ponse dans le cloud), les \u00e9quipes de s\u00e9curit\u00e9 sont en mesure d\u2019identifier et d\u2019anticiper les op\u00e9rations malveillantes sur l\u2019ensemble des environnements\u00a0cloud.<\/p>\n
Si vous pensez avoir \u00e9t\u00e9 compromis ou si vous avez une question urgente, contactez l\u2019\u00e9quipe de r\u00e9ponse \u00e0 incident de l\u2019Unit\u00a042<\/a>.<\/p>\n
<\/a>Attaques cloud \u00e0 grande \u00e9chelle<\/h2>\n
Dans un r\u00e9cent article d<\/a>e l\u2019Unit\u00a042<\/a>, nous avons publi\u00e9 les d\u00e9tails d'une campagne de ransomware et d'extorsion qui ciblait directement les fichiers de variables d'environnement expos\u00e9s. L\u2019acteur malveillant a r\u00e9ussi \u00e0 r\u00e9colter plus de 90\u00a0000\u00a0identifiants aupr\u00e8s de 110\u00a0000\u00a0domaines cibl\u00e9s. Plus inqui\u00e9tant encore, il a \u00e9galement r\u00e9colt\u00e9 pr\u00e8s de 1\u00a0200\u00a0identifiants\u00a0IAM. Toutes ces donn\u00e9es ont permis \u00e0 l'attaquant de lancer des campagnes d'extorsion contre plusieurs organisations.<\/p>\n
Cette op\u00e9ration est l'occasion de discuter des m\u00e9canismes de s\u00e9curit\u00e9 mis en place pour prot\u00e9ger les organisations, en particulier concernant les postures de s\u00e9curit\u00e9 ainsi que les solutions de surveillance du runtime. En se dotant d\u2019un p\u00e9rim\u00e8tre de s\u00e9curit\u00e9 cloud suffisamment robuste, les entreprises peuvent faire face \u00e0 ces nouvelles formes d'attaques.<\/p>\n
En r\u00e9alisant cette enqu\u00eate, nous avons d\u00e9couvert que les organisations \u00e9taient confront\u00e9es \u00e0 une explosion des alertes de s\u00e9curit\u00e9 li\u00e9es au cloud. Qu\u2019elles proviennent de la gestion de la posture de s\u00e9curit\u00e9 ou des op\u00e9rations de d\u00e9tection au niveau du runtime, le nombre total d\u2019alertes a connu en moyenne une hausse de 388\u00a0% sur l\u2019ann\u00e9e 2024.<\/em> .<\/p>\n
Et si les alertes \u00ab\u00a0informatives\u00a0\u00bb constituent la majorit\u00e9 des alertes, il convient de souligner que le changement le plus significatif concerne le nombre d'alertes de s\u00e9v\u00e9rit\u00e9 \u00ab\u00a0\u00e9lev\u00e9e\u00a0\u00bb, avec une hausse de 235\u00a0% pour 2024. Les alertes dites \u00ab\u00a0moyennes\u00a0\u00bb et \u00ab\u00a0faibles\u00a0\u00bb ont \u00e9galement augment\u00e9 de 21\u00a0% et de 10\u00a0%, respectivement.<\/p>\n
<\/a>Ce que signifient ces tendances d\u2019alertes<\/h3>\n
Les changements que nous avons observ\u00e9s dans le nombre d'alertes s'alignent sur notre 2024 State of Cloud-Native Security Report,<\/a> qui a r\u00e9v\u00e9l\u00e9 que 71\u00a0% des organisations attribuent l'augmentation de leur exposition aux vuln\u00e9rabilit\u00e9s \u00e0 l'acc\u00e9l\u00e9ration des d\u00e9ploiements. En outre, 45\u00a0% de ces organisations signalent une augmentation des attaques par des menaces persistantes et avanc\u00e9es (APT) au cours de l'ann\u00e9e \u00e9coul\u00e9e.<\/p>\n
Un exemple concret\u00a0est le r\u00e9cent article que Microsoft a consacr\u00e9 \u00e0 Storm-2077<\/a>, un groupe d'acteurs de la menace (CTAG) bas\u00e9 en Chine qui utilise des techniques complexes de collecte d\u2019identifiants\u00a0IAM pour obtenir (et conserver\u00a0!) l'acc\u00e8s aux environnements\u00a0cloud des victimes. La gestion de la posture de s\u00e9curit\u00e9 et le contr\u00f4le du runtime doivent donc imp\u00e9rativement op\u00e9rer de concert pour assurer une protection ad\u00e9quate contre la prochaine vague de menaces dans les environnements\u00a0cloud. Vous trouverez ci-dessous, dans la section \u00ab\u00a0Contexte<\/a>\u00a0\u00bb, des informations suppl\u00e9mentaires sur la gestion de la posture de s\u00e9curit\u00e9 et les d\u00e9tections du contr\u00f4le du runtime.<\/p>\n
L'une des principales missions des acteurs de la d\u00e9fense du cloud consiste \u00e0 concevoir et \u00e0 d\u00e9ployer une plateforme de s\u00e9curit\u00e9 renfor\u00e7ant les capacit\u00e9s de d\u00e9tection, ce qui permettra aux administrateurs de d\u00e9tecter les mauvaises configurations et les failles, tout en collectant et en analysant les \u00e9v\u00e9nements d'ex\u00e9cution au sein de leurs environnements\u00a0cloud. Les acteurs de la d\u00e9fense disposeront alors d\u2019une visibilit\u00e9 accrue et pourront r\u00e9pondre plus rapidement aux alertes.<\/p>\n
Si les capacit\u00e9s d\u2019identification et de d\u00e9tection des \u00e9v\u00e9nements malveillants ou suspects pourront \u00e9t\u00e9 renforc\u00e9es dans l'ensemble du secteur, c\u2019est \u00e9galement valable pour la complexit\u00e9 des attaques des agents de la menace. En janvier\u00a02024, seules deux alertes li\u00e9es \u00e0 l'utilisation en ligne de commande d'un jeton\u00a0IAM de fonction serverless \u00e9taient d\u00e9tect\u00e9es, en moyenne. Cette tendance s'est maintenue tout au long de l'ann\u00e9e. Or, en d\u00e9cembre 2024, on recensait en moyenne plus de 200\u00a0alertes de ce type: un signe pr\u00e9occupant de l\u2019intensification de l\u2019activit\u00e9 malveillante. Comme expliqu\u00e9 dans l\u2019article Leaked Environment Variables<\/em><\/a>, cette op\u00e9ration en temps r\u00e9el correspond pr\u00e9cis\u00e9ment \u00e0 ce qui s\u2019est produit lors de cet incident d\u2019extorsion.<\/p>\n
D'autres indicateurs viennent confirmer cette tendance, et notamment\u00a0:<\/p>\n
- \n
- L\u2019augmentation de 116\u00a0% des alertes de d\u00e9placement impossible associ\u00e9es aux identit\u00e9s cloud<\/li>\n
- L\u2019augmentation de 60\u00a0% des appels d\u2019API de workloads<\/a> \u00e9mis depuis une r\u00e9gion\u00a0coud diff\u00e9rente de celle de l\u2019instance concern\u00e9e<\/li>\n
- L\u2019augmentation de 45\u00a0% du nombre d'exportations de snapshots\u00a0cloud<\/li>\n
- L\u2019augmentation de 305\u00a0% du nombre de t\u00e9l\u00e9chargements suspects de plusieurs objets de stockage cloud.<\/li>\n<\/ul>\n
Ces alertes indiquent clairement que l'objectif premier des CTAG consiste \u00e0 cibler, collecter et utiliser un jeton ou un identifiant\u00a0IAM dans le cloud. Ils r\u00e9v\u00e8lent \u00e9galement que ces \u00e9l\u00e9ments peuvent \u00eatre utilis\u00e9s par les attaquants pour mener des op\u00e9rations potentiellement malveillantes.<\/p>\n
<\/a>Contexte<\/h2>\n
Les outils de gestion de la posture de s\u00e9curit\u00e9 dans le cloud (CSPM<\/a>) constituent la base de la s\u00e9curit\u00e9 dans le cloud. Leur r\u00f4le principal consiste \u00e0 surveiller les garde-fous de s\u00e9curit\u00e9 afin de garantir que les environnements\u00a0cloud restent correctement configur\u00e9s, sans vuln\u00e9rabilit\u00e9s ni erreurs de configuration.<\/p>\n
La surveillance de la gestion de la posture de s\u00e9curit\u00e9 est traditionnellement bas\u00e9e sur l'analyse de la s\u00e9curit\u00e9 des ressources et des configurations d'un environnement\u00a0cloud dans le temps. Des alertes sont d\u00e9clench\u00e9es lorsqu'une ressource cloud, nouvelle ou modifi\u00e9e, semble pr\u00e9senter des risques potentiels pour la s\u00e9curit\u00e9.<\/p>\n
Par exemple, une alerte se d\u00e9clenche si une politique\u00a0IAM est trop permissive et autorise l'acc\u00e8s \u00e0 d'autres ressources\u00a0cloud. Elle l\u2019est \u00e9galement si une instance de calcul du cloud ou une fonction\u00a0serverless pr\u00e9sente des vuln\u00e9rabilit\u00e9s ou des erreurs de configuration.<\/p>\n
Les op\u00e9rations de scan de la gestion de la posture de s\u00e9curit\u00e9 sont effectu\u00e9es de mani\u00e8re r\u00e9guli\u00e8re, souvent toutes les heures ou tous les jours. Certains outils de s\u00e9curit\u00e9 CSPM permettent \u00e9galement de surveiller les journaux d'audit des plateformes\u00a0cloud, ce qui contribue \u00e0 la d\u00e9tection d\u2019activit\u00e9s suspectes au sein d'une plateforme de services cloud (CSP). Les organisations doivent absolument configurer leur plateforme\u00a0CSPM pour collecter les journaux d\u2019audit de leurs applications\u00a0SaaS tierces h\u00e9berg\u00e9es dans le cloud, et ce afin de garantir une visibilit\u00e9 compl\u00e8te.<\/p>\n
Les outils de CDR assurent une surveillance en temps r\u00e9el en d\u00e9tectant, identifiant, voire en emp\u00eachant certaines op\u00e9rations au moment o\u00f9 elles se produisent. En collectant les journaux issus des instances de calcul\u00a0cloud, des ressources de journalisation\u00a0CSP et des applications\u00a0SaaS tierces h\u00e9berg\u00e9es dans le cloud, les solutions de s\u00e9curit\u00e9 CDR permettent d\u2019identifier les \u00e9v\u00e9nements malveillants, de d\u00e9clencher des alertes et de les endiguer.<\/p>\n
Ces op\u00e9rations comprennent, par exemple, l'ex\u00e9cution d'une requ\u00eate d'API ciblant une plateforme ou une application\u00a0cloud, telles que\u00a0:<\/p>\n
- \n
- La cr\u00e9ation de nouveaux utilisateurs ou comptes de service\u00a0cloud<\/li>\n
- L\u2019attribution de politiques\u00a0IAM \u00e0 des utilisateurs ou r\u00f4les\u00a0IAM, qu\u2019ils soient nouveaux ou existants<\/li>\n
- L\u2019\u00e9tablissement de connexions r\u00e9seau depuis un n\u0153ud de sortie Tor ou un h\u00f4te\u00a0VPN<\/li>\n<\/ul>\n
Contrairement aux outils de gestion de la posture de s\u00e9curit\u00e9, les outils de contr\u00f4le du runtime surveillent en permanence l'environnement\u00a0cloud et n\u00e9cessitent souvent un agent d\u00e9di\u00e9 pour maintenir la visibilit\u00e9 des ressources. Une fois l\u2019agent install\u00e9, les outils de surveillance de l'ex\u00e9cution\u00a0cloud permettent de d\u00e9tecter -\u00a0et m\u00eame de pr\u00e9venir\u00a0- les op\u00e9rations malveillantes d\u00e8s qu'elles se produisent.<\/p>\n
<\/a>Tendances des alertes de s\u00e9v\u00e9rit\u00e9 \u00e9lev\u00e9e<\/h2>\n
Nous avons observ\u00e9 une nette augmentation du nombre d'alertes en 2024, en corr\u00e9lation avec l'augmentation des attaques contre les environnements\u00a0cloud.<\/p>\n
Les alertes de s\u00e9v\u00e9rit\u00e9 \u00e9lev\u00e9e ont augment\u00e9 de 235\u00a0% tout au long de l'ann\u00e9e\u00a02024.<\/p>\n
Le pic le plus important sur un mois (281\u00a0%) s'est produit en mai, suivi des augmentations les plus importantes (204\u00a0%, 247\u00a0% et 1\u00a0232\u00a0%) en ao\u00fbt, octobre et d\u00e9cembre, comme le montre la figure\u00a01.<\/p>\n
![\"Graphique]()
Figure 1. Tendance des alertes de s\u00e9v\u00e9rit\u00e9 \u00e9lev\u00e9e pour 2024.<\/figcaption><\/figure>\n <\/a>Les 10\u00a0alertes les plus importantes<\/h3>\n
Un examen plus approfondi des dix alertes quotidiennes les plus fr\u00e9quentes r\u00e9v\u00e8le un nombre \u00e9lev\u00e9 d'alertes portant uniquement sur des \u00e9v\u00e9nements li\u00e9s au runtime. Ces alertes sont d\u00e9clench\u00e9es par un \u00e9v\u00e9nement isol\u00e9 ou par une s\u00e9quence d\u2019\u00e9v\u00e9nements li\u00e9s entre eux. Cela implique une analyse en quasi temps r\u00e9el, voire en temps r\u00e9el dans certains cas, pour permettre leur d\u00e9tection.<\/p>\n
Le tableau\u00a02 ci-dessous montre que l'utilisation en ligne de commande \u00e0 distance des jetons\u00a0IAM serverless n\u00e9cessite une analyse des journaux en temps r\u00e9el pour \u00eatre d\u00e9tect\u00e9e et potentiellement \u00e9vit\u00e9e. \u00c0 l'inverse, l'alerte \u00ab\u00a0Protection contre la suppression du stockage\u00a0cloud d\u00e9sactiv\u00e9e\u00a0\u00bb, peut \u00eatre d\u00e9tect\u00e9e et att\u00e9nu\u00e9e \u00e0 l'aide d'un outil de gestion du cycle de vie des produits (CSPM).<\/p>\n
![\"Graphique](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/chart-8.png\")
![\"Graphique](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/chart-9.png\")