La sécurité des comptes est très importante chez Cloudflare et ils savent très bien que c’est essentiel pour leurs clients. Saviez-vous que les attaques les plus simples aboutissent souvent aux conséquences les plus dévastatrices? La plupart des gens pensent que s’ils se font pirater, ce sera par une vulnérabilité qui n’a pas encore été détecté. Mais pourtant, c’est tout le contraire.

Les hackers sont intelligents et ils ont très vite réalisé que l’humain reste le plus grand maillon faible de la chaîne, même en 2018. Le rapport 2017 de Verizon sur la cybersécurité a identifié que 81% des violations liées au piratage sont survenues en raison de la faiblesse des informations d’identification ou du vol de justificatifs d’identité, une augmentation par rapport aux 63% signalés dans le rapport sur la cybersécurité de 2016.

Source: Rapport 2017 de Verizon sur la cybersécurité

Vos informations d’identification sont aussi importantes que les clés de votre maison ou de votre voiture. Si quelqu’un les copie ou les vole, les répercussions peuvent être catastrophiques.

Si vous soupçonnez que quelqu’un a accès aux clés de votre maison, vous changez vos serrures. Si vous n’êtes pas assez rapide, quelqu’un pourrait entrer par effraction.

De même, si vous vous rendez compte que quelqu’un pourrait avoir accès à votre mot de passe, la solution est de le changer. Trop souvent, comme pour les clés de maison, nous sommes lents à changer nos mots de passe.

C’est pourquoi nous voyons tant de comptes se faire piraté après une intrusion comme celle de Yahoo. Dès que le hacker met la main sur de l’informations d’identification provenant d’un piratage, il les teste immédiatement avec tous les autres comptes de l’utilisateur. Ils savent qu’un pourcentage très élevé d’utilisateurs utilisent toujours les mêmes identifiants sur plusieurs sites.

Leurs chances de succès sont donc élevées – parfois des années après qu’une intrusion se soit produite.

C’est particulièrement problématique avec les clés API parce elles sont souvent dérobées sans que personne ne soit au courant. Parmi les exemples fréquents, citons les hackers qui volent des clés API en exploitant des codes malveillants dans votre navigateur pour naviguer et voler vos secrets – souvent longtemps après que l’utilisateur se soit déconnecté.

Certains chevaux de troie bancaires, comme le tristement célèbre Zeus, continuent même à naviguer après votre déconnexion et affichent de fausses informations de solde pour masquer les retraits qu’il effectue. C’est la raison pour laquelle de nombreuses banques vous obligent désormais à vous authentifier de nouveau, souvent avec la validation à 2 étapes (2FA), lorsque vous vous connectez et à nouveau lorsque vous effectuez n’importe quelle transaction financière.

Les hackers s’en rendent compte eux aussi, et ils ne cessent d’améliorer leurs méthodes et leurs techniques pour attraper des utilisateurs peu méfiant.

Les hackers ne se contentent pas de patienter tranquillement qu’une nouvelle intrusion sois découverte, ils essaient constamment de s’emparer des informations d’identification par une combinaison de tromperies et d’attaques logicielles sophistiquées.

La seule chose qui relie tout ça? C’est vous qu’ils attaquent, pas un serveur bien protégé dans un centre de données.

Phishing

Les courriels d’hameçonnage (phishing) restent la méthode la plus populaire mais ils ont évolué et vont maintenant du simple courriel mal orthographié demandant votre mot de passe ou vous offrant un lien vers un site inconnu à des contrefaçons plus sophistiquées et qui sont articulées de manière professionnelle.

(un exemple d’email phising)

Ils peuvent même installer des virus complexes qui recueillent vos données sensibles et compromettent votre système en un seul clic dévastateur.

Cloudflare, comme la plupart des entreprises soucieuses de votre sécurité, ne vous enverra jamais un courriel qui vous amènera sur un autre site et ne vous demandera jamais votre mot de passe ou votre clé API.

Si vous voyez un courriel de ce type, veuillez le signaler via le support ou le processus d’abus de Cloudflare.

De cette façon, ils peuvent travailler avec les hébergeurs web, les FAI et les fournisseurs d’infrastructure qui vont démanteler ces sites de phishing et neutraliser leurs campagnes d’emails.

Une email de phising un peu plus sophistiqué

Logiciels malveillants

En nous éloignant des courriels d’hameçonnage, nous devons maintenant faire face à des logiciels malveillants cachés à l’intérieur de programmes du quotidien qui sont normalement inoffensifs, ça va des extensions de navigateur aux jeux gratuits.

Les extensions de navigateur malveillantes sont de loin les plus populaires et les plus difficiles à détecter.

Souvent, ces outils sont d’abord des outils de navigation légitimes, puis soit ils sont fond piraté, soit un hacker achète simplement une extension oublié et y injecte du code malveillant.

Maintenant, tout ce que votre navigateur peut voir, l’extension malveillante peut aussi le voir.

Les plus sophistiqués d’entre eux sont souvent destinés à une utilisation particulière et savent naviguer discrètement vers les identifiants qu’ils souhaitent voler.

Au cours des dernières années, nous en avons vu plusieurs cibler spécifiquement les clients de Cloudflare. Ci-dessous est un exemple d’un telle cas qui est arrivé à la fin de l’année dernière impliquant une extension Chrome très populaire appelée “Web Developer”.

Le véritable developpeur de l’extension “chrome web developper” qui signale que l’extension à été compromise

 

En août 2017, l’extension “Web Developer” pour le navigateur web Chrome a été piraté. Le hacker s’est introduit dans le compte du développeur et a modifié la version 0.49 pour inclure un virus malveillant qui ciblait spécifiquement les utilisateurs de Cloudflare.

Le code malveillant injecté dans l’extension a été conçu pour être le plus discret et être le plus résistant possible.

  • Tout d’abord, il vérifie qu’il a été installé depuis au moins 10 minutes.
  • S’il détermine que la voie est libre, il se connecte à un nom de domaine généré par un algorithme, également appelé DGA ou “Domain Generation Algorithm”.

    Ce sont des noms de domaine qui semblent aléatoires et qui sont en faite généré par un algorithme de sorte qu’ils sont plus difficiles à trouver et que l’hacker peut automatiquement passer à un nouveau domaine si l’ancien est fermé, sans changer de code. Le 2 août 2017, le DGA pour cette extension malveillante était “wd7bdb20e4d622f6569f3e8503138c859d[.]win”.

    Le 3 août, il est devenu “wd8a2b7d68f1c7c7f34381dc1a198465b4[.]win” donc comme vous pouvez l’imaginer, ça rend la prédiction de nouveaux NDD très difficile à moins que vous ne cassez le code derrière l’algorithme de la DGA.

  • Si la connexion est réussie, il télécharge un virus appelé ga.js en HTTPS, destiné à tromper quiconque qui le voit et le faire passer comme un téléchargement de Google Analytics.
Exemple du code téléchargé

 

Le code qu’il télécharge est lourdement complexifié. C’est pour rendre encore plus difficile la détection de ce qui se passe. Cependant, si vous le décodez, vous allez voir que ce code est conçu pour télécharger encore plus de virus comme celle-ci pour naviguer sur le dashboard de Cloudflare et y récupérer la clé API d’un utilisateur.

Il attend littéralement qu’un utilisateur se connecte à Cloudflare et il vole la clé API de l’utilisateur en accédant à des pages sensibles dans son dos.

Certaines variantes le font même après que l’utilisateur s’est déconnecté. Ils montrent à l’utilisateur une fausse page de déconnexion et continuent à piller discrètement le compte et tous ses secrets.

La charge déposée par l’extension qui s’occupe de voler vos identifiants tranquillement

 

Web Developer pour Chrome n’était pas la seule extension compromise dans toute cette histoire. Parmi les autres extensions compromises, mentionnons:

  • Chrometana – Version 1.1.3
  • Infinity New Tab – Version 3.12.3
  • CopyFish – Version 2.8.5
  • Web Paint – Version 1.2.1
  • Social Fixer 20.1.1 affected
  • TouchVPN
  • Betternet VPN

Toutes ces extensions ont été mises à jour depuis, mais toute personne ayant une version plus ancienne devrait se considérer à risque. Comment cela s’est-il produit ? Phishing bien sûr !

Comment Cloudflare protège les identifiants

Ce qu’ils font maintenant – Comment ils entreposent les identifiants

Sécurité du système

Ils ont construit leurs systèmes de façon à ce qu’ils soient sécuritaires de par leur conception. Dans certains cas, c’est aussi simple que de s’assurer que les données sensibles soit restreintes ou rendues totalement inaccessibles. Dans d’autres cas, il a fallu construire des systèmes de manière à les protéger contre un large éventail d’attaques courantes.

Mots de passe : Cloudflare entrepose les mots de passe des utilisateurs dans une base de données sécurisée utilisant un hachage complexe qui utilise l’algorithme bcrypt() basé sur blowfish.

Clés API :  Les clés API sont uniques et ils sont générés à l’aide d’un mélange de AES (Rijndael 256), SHA256 et beaucoup d’entropy. Une fois générées par ces algorithmes de hachage, les clés API sont également stockées dans une base de données sécurisée à laquelle seule une poignée de personnes ont accès.

Au niveau du back-end

Tous les appels à ces bases de données sensibles sont audités et stockés dans des journaux qui remontent au tout début de Cloudflare. Lors d’un récent exercice de vérification, Cloudflare a été en mesure d’examiner et de déterminer l’heure exacte à laquelle une clé API a été générée pour un client en 2013.

L’accès aux journaux d’audit et aux systèmes critiques, comme les bases de données, est limité à une poignée d’ingénieurs de production et de personnel de sécurité. Tous les accès du personnel sont également consignés et stockés en toute sécurité à des fins de vérification.

Enfin, tous les appels programmatiques à ces bases de données sont effectués par le biais de procédures stockées liées à des comptes dédiés. Le SQL dynamique n’est pas autorisé.

En transit

Toutes les connexions sont établies par HTTPS et les jetons ou les identifiants sensibles ne sont jamais exposés en transit.

Dans l’interface utilisateur

Pour accéder à votre tableau de bord, vous avez besoin du courriel de votre compte, de votre mot de passe, et en supposant que vous l’avez activé, (vous devriez vraiment le faire si vous ne l’avez pas fait) votre code 2FA.

Si tout cela est correct et que l’adresse IP que vous utilisez est celle que vous utilisez normalement, vous êtes connecté. Si l’adresse IP n’est pas connue, Cloudflare envoie une alerte e-mail à votre adresse e-mail enregistrée pour vous avertir de l’événement.

Si votre compte est Pro, Business ou Entreprise, cet e-mail contient également un “Multi Factor Authentication” ou un code MFA. Tant que ce code n’est pas saisi, les tentatives de connexion sont bloquées.

Assurez-vous que l’email enregistré sur votre compte Cloudflare est correct et qu’il s’agit d’un email que vous pouvez consulter rapidement. Plus vous réagissez vite à une alerte, mieux c’est !

Clés API

Les clés API sont des choses très sensibles. Ils ont autant de pouvoir que votre mot de passe mais bénéficient relativement de peu de protections dans les navigateurs web. C’est pourquoi Cloudflare travaille fort pour rendre leur API encore plus sûre.

Leur première amélioration, publiée la semaine dernière, était de protéger la clé API contre les logiciels malveillants – comme une extension de navigateur malveillant – en ajoutant un CAPTCHA à la fonction “View API Key”.

Ce changement signifie que même si un logiciel malveillant parvient à voler votre mot de passe, il ne peut pas facilement demander et récolter votre clé API.

Comment vous pouvez contribuer à assurer la sécurité de votre compte

  • Activez la validation à 2 étapes (2FA) et assurez-vous que votre adresse e-mail est correcte. Plus vite vous verrez une alerte, plus vite vous pourrez prendre des mesures pour verrouiller votre compte.

  • Manipulez vos identifiants avec soin, ne les entrez JAMAIS sur un site autre que Cloudflare.com et en cas de doute, vérifiez les empreintes digitales du certificat du site Web :

SHA 256 – 12 C4 A5 74 7E D5 6E 37 2C 87 89 02 25 E4 CD 51 89 6D 8E AD 7D 55 CF 76 BF D1 9B 6B 74 6C 70 D0

SHA1 – D4 AD AB 1B 95 72 8D 3D 6D 6E 26 4A 70 70 70 B1 1E 88 2F CA 71 67 67

  • Vérifiez régulièrement les extensions de votre navigateur. Si vous en voyez une que vous ne reconnaissez pas, enlevez-la immédiatement. Rappelez-vous que, comme tous les logiciels, les mises à jour régulières des extensions de navigateur sont également importantes.
  • Changez votre clé API régulièrement, surtout si vous craignez qu’elle n’ait été exposée.

  • Ne stockez pas votre clé API (ou vos informations d’identification) dans des dépôts publics. Une façon d’y parvenir est de vous assurer que vous ne stockez pas votre clé API dans l’arborescence des sources de votre application. Un nombre important de fuites accidentelles vers GitHub se produisent parce que cela a été négligé.

  • Soyez très prudent lors de l’intégration de clés ou d’informations d’identification dans les clients que vous exposez publiquement. N’exposez pas votre clé d’API de cette façon.

    L’ingénierie inverse n’est pas difficile et de nombreuses organisations l’ont appris à la dure.

  • Révisez votre code avant de le publier. Utilisez un outil qui fait partie de vos processus CI ou Build pour vérifier automatiquement les fuites accidentelles de clés.

    Combien de fois avons-nous vu les clés API des grandes institutions fuitées parce qu’elles ont été accidentellement publié dans GitHub ? Ne soyez pas cette personne.

  • IBM a d’excellents conseils de sécurité supplémentaires pour les organisations qui construisent des clients ou des applications avec des APIs ici

  • Enfin, cela peut paraître évident, mais faites attention en cliquant sur les liens dans les courriels. Même les développeurs Chrome expérimentés se font parfois piéger !

En espérant que cela vous ai éclairé. Les commentaires sont ouverts si vous avez été victime d’un phising ou d’une extension navigateur vérolée.