Les outils DevOps, et leur exploitation dans les attaques de la supply chain

Les attaques de la supply chain numérique constituent désormais une cybermenace majeure. D'après les estimations, le nombre de ces attaques a triplé l'an dernier. Certaines des plus grandes violations de données de 2021 sont liées à la supply chain numérique.

Nous souhaitons ici vous présenter les tactiques susceptibles d’être utilisées par les hackers pour détourner les outils DevOps et pirater la plateforme Salesforce. Salesforce, composant-clé des infrastructures de la relation client pour des milliers d'organisations, constitue l'une des cibles les plus attrayantes pour les pirates informatiques souhaitant accéder à des données sensibles. Ces menaces comptent pourtant parmi les plus négligées par les entreprises. 

Les développeurs disposent de nombreux outils. Ils tendent à croire aveuglément que ces outils sont sûrs, surtout s'ils proviennent d'un fournisseur connu ou d'une boutique officielle. Mais comme le montre le tristement célèbre piratage de SolarWinds, même des fournisseurs réputés peuvent être attaqués et exploités dans le cadre d'attaques de la supply chain.

Des outils DevOps corrompus peuvent être utilisés pour attaquer n'importe quel écosystème informatique sur lequel travaille le développeur, y compris la plateforme Salesforce. Regardez cette courte vidéo. Elle montre comment une attaque de la supply chain peut être menée via les outils DevOps et la plateforme Salesforce.

Dans un premier temps, le hacker mène une phase de reconnaissance en examinant les dépôts de code source mal gérés. Cette analyse de codes sources publics non sécurisés peut révéler des identifiants ou des jetons d'API permettant d’accéder, par exemple, à l'outil CI/CD utilisé par une société de développement.

Les hackers injectent ensuite secrètement des malwares dans l’un des logiciels conçus par cette société de développement, via l'outil CI/CD. Le logiciel de la société de développement est donc infecté avant même d’être disponible sur le marché. 

Tout utilisateur téléchargeant ce programme utilise une version piratée. La charge utile cachée télécharge à son tour des malwares supplémentaires depuis le serveur web malveillant. Le hacker est alors en mesure de pirater à la fois l’ordinateur de l'utilisateur et tous les systèmes on-premise ou cloud qui y sont connectés. Il peut notamment cibler la plateforme Salesforce, qui permet d'installer ou de connecter des applications tierces.

L’étape suivante de l’attaque consiste à exploiter toutes les connexions et capacités de Salesforce, en utilisant par exemple la fonctionnalité de partage de contenus pour distribuer des malwares ou des liens de phishing spécialement conçus pour les utilisateurs (employés, partenaires, clients).

Le hacker peut ensuite se livrer à un certain nombre d'activités malveillantes. Généralement, il établit une porte dérobée de commande et de contrôle (C&C) afin de pouvoir réaliser des mouvements latéraux et voler des données stratégiques.

Pour en savoir plus, téléchargez notre dernier rapport. Vous comprendrez en détail comment les outils DevOps peuvent être ciblés et exploités, et vous bénéficierez de conseils pratiques pour repérer ces tactiques et vous défendre efficacement.