Selon Unit 42 (Palo Alto Networks), cet article examine les risques critiques liés aux tokens OAuth mal gérés dans les environnements cloud, en s’appuyant sur des cas récents comme l’incident Salesloft Drift.
L’analyse montre que des tokens OAuth compromis peuvent contourner les défenses traditionnelles et faciliter des attaques de supply chain via des intégrations tierces. Les usages malveillants de ces tokens permettent un accès persistant et silencieux aux ressources cloud, en dehors des contrôles classiques. 🔐🔗
Sur le plan technique, l’article fournit des recommandations détaillées pour la sécurité des tokens OAuth, incluant la mise en place d’un inventaire des tokens, l’application de durées de vie courtes avec rotation régulière, l’utilisation de solutions sécurisées de gestion des secrets, la centralisation des logs d’authentification, la détection d’anomalies liée aux accès par token, et des procédures automatisées de révocation.
Des contrôles spécifiques sont décrits pour gérer les intégrations dormantes, chiffrer correctement le stockage des tokens et établir des capacités de monitoring afin de repérer des schémas d’usage inhabituels des tokens.
TTPs décrits ou illustrés par les cas étudiés: compromission de tokens OAuth pour contourner les défenses, exploitation d’intégrations tierces pour des attaques de supply chain, et détection d’usages anormaux de tokens. Il s’agit d’un article de recommandations de sécurité visant à fournir un cadre pratique de gestion de posture, de stockage et de surveillance en exécution des tokens OAuth.
🔗 Source originale : https://unit42.paloaltonetworks.com/third-party-supply-chain-token-management/