Failles sur les équipements cyber : menaces sur le cloud

Les équipements de sécurité, rendus vulnérables par des pratiques de conception dépassées ?

Le CERT-FR avait pointé ce risque l'an passé, dans un rapport listant une dizaine de failles détectées au sein de solutions présentes notamment en bordure de réseau. Il avait notamment évoqué l'absence de cloisonnement logique entre fonctions et l'utilisation de frameworks web obsolètes.

Début 2025, le Clusif avait donné de l'écho à ces constatations dans le cadre de son Panocrim. L'ANSSI fait de même dans sa dernière publication sur l'état de la menace sur le cloud. "L'exploitation de vulnérabilités dans des équipements de bordure (tels que des équipements VPN) constitue un point d'entrée privilégié par une vaste gamme d'acteurs malveillants", explique-t-elle en synthèse.

Les deux premiers exemples d'attaques que l'agence avance pour illustrer la menace sur le cloud ont impliqué de tels équipements. L'une, passée par des pare-feu Palo Alto, (CVE-2024-3400), a entraîné le chiffrement du SI d'un opérateur de communications électroniques, avec plusieurs semaines d'indisponibilité. L'autre s'est appuyée sur des produits Citrix NetScaler (CVE-2023-4966) et a exposé au ransomware Lockbit un opérateur de SaaS pour le domaine de la santé.

L'ANSSI évoque d'autres attaques traduisant l'état de la menace sur le cloud. En voici quelques-unes.

Des attaques à des fins lucratives

Après un ransomware, un hébergeur dépose le bilan

En août 2023, l'hébergeur danois CloudNordic perd l'intégralité des données de ses clients après le chiffrement de tous ses serveurs, systèmes de sauvegarde inclus. Les attaquants auraient tiré profit d'une migration de serveurs. Dans cet intervalle, les systèmes de gestion et de sauvegarde du prestataire auraient été installés sur un réseau partagé composé de serveurs potentiellement déjà compromis. Après cet incident, CloudNordic a déposé le bilan. Comme sa société soeur AzeroCloud, qui aurait aussi été compromise.

Vol de données d'authentification chez Okta

En septembre-octobre 2023, un acteur malveillant muni d'identifiants d'authentification volés accède au système d'assistance client d'Okta. Il obtient des fichiers d'archives HTTP téléversés par des clients. Certains contiennent des cookies et des jetons de session. Une compromission qui aurait permis de se latéraliser vers le SI de Cloudflare, client d'Okta.

Compromission de la chaîne d'approvisionnement : l'exemple JumpCloud

En juin 2023, JumpCloud (IAM SaaS) est ciblé par le mode opératoire UNC4899, réputé nord-coréen. Une campagne de phishing leur ayant permis d'obtenir un accès de niveau développeur, les attaquants se sont ensuite latéralisés et ont diffusé une application JumpCloud piégée vers des clients de l'éditeur. Des entités spécialisées dans le secteur des cryptomonnaies étaient ciblées.

Les clients de Snowflake visés, surtout ceux sans MFA

En juin 2024, Snowflake se retrouve au centre d'une campagne de cyberattaques liée au mode opératoire UNC5537, sans compromission préalable de son SI. Plus d'une centaine de ses clients sont visés, par l'intermédiaire d'authentifiants d'accès utilisateurs semblant avoir été volés via des infostealers. La majorité n'utilisaient pas de MFA. "Au moins une société française a indiqué à l'ANSSI avoir détecté des activités malveillantes sur une de ses instances Snowflake", nous précise-t-on.

Quand le minage de cryptos passe par Docker

En octobre 2024, le fournisseur Aqua Security signale l'utilisation, par le mode opératoire TeamTNT, de serveurs web et de registres Docker compromis pour distribuer un outil d'intrusion (Sliver) et des cryptomineurs.
Ce même mode opératoire aurait, en janvier 2023, compromis une partie de l'environnement cloud d'une entreprise française du secteur de la santé. L'accès initial se serait fait depuis un serveur hôte de conteneur Docker exposé sur Internet. Se seraient ensuivies une latéralisation vers l'infra cloud et la création de VM pour le minage de cryptomonnaies.

ESXi ciblé par des ransomwares

En 2023, le groupe Scattered Spider (UNC3944) exploite des accès au portail client de MGM Casinos pour se latéraliser sur l'environnement cloud de l'entreprise. Avec le ransomware BlackCat, ils chiffrent les hyperviseurs ESXi.

Des attaques à des fins d'espionnage et de déstabilisation

Microsoft Exchange, une affaire diplomatique

En mai 2023, le mode opératoire Storm-0558 (dit lié à la Chine) permet à des attaquants d'accéder à des centaines de boîtes Exchange, certaines appartenant à des représentants du gouvernement et du Congrès américains. Les jetons utilisés pour accéder à ces boîtes ont été créés grâce à une clé MSA (Microsoft Account) datant de 2016. Elle avait été volée en 2021 sur un environnement de débogage, au sein d'une capture instantanée consécutive à un crash du système de gestion de clés de signature client.

HPE, compromis de SharePoint à Outlook

En 2023, le mode opératoire Nobelium permet de compromettre les environnements de messagerie cloud (Microsoft 365) de HPE. Les attaquants accèdent aux boîtes de plusieurs employés, dont des spécialistes de la cybersécurité. L'intrusion découlerait d'une première compromission ayant impliqué l'exfiltration de plusieurs fichiers du SharePoint de l'entreprise.

Log4Shell, fatal en Israël

En juillet 2022, le mode opératoire Mango Sandstorm, réputé lié à l'Iran, entraîné la compromission de serveurs de plusieurs entités israéliennes, notamment grâce à la faille Log4Shell. La latéralisation sur le cloud se fait grâce au service AdSync et en exploitant les comptes utilisateurs ADConnect et AADConnect. La porte s'ouvre pour la destruction d'environnements Azure.

Le cloud comme infrastructure pour les attaquants

En novembre 2023, des entités en Asie sont ciblées par la backdoor GoGra, qui utilise l'API Microsoft Graph pour interagir avec C2, hébergé sur des services Microsoft Mail.
Autre backdoor à utiliser cette API : Onedrivetools, pour récupérer une charge utile localisée sur OneDrive. Elle aurait servi à cibler des ESN en Europe et aux États-Unis.
Le mode opératoire FireFly (Chine) se sert aussi de l'API, à des fins d'exfiltration à travers un outil accessible publiquement et chargé de déposer sur un Google Drive les données récoltées.

Dans le même esprit, l'ANSSI cite les modes opératoires Kimsuky et StarCruft (Corée du Nord). Le premier utilise OneDrive et Google Drive comme infra pour ses C2. Le second utilise notamment pCloud. L'agence mentionne aussi le cas d'une ESN dont un des développeurs a été contacté via une plate-forme de freelancing et incité à télécharger du code malveillant en dissimulant les flux via l'API GitHub.

À consulter en complément :

Les lignes directrices de l'ANSSI sur l'IA générative
Ses conseils d'architecture pour les services DNS
Ses recommandations pour la sauvegarde des SI