La cyberattaque de Klue frappe Huntress, HackerOne et 3 autres entreprises de cybersécurité

La cyberattaque de Klue frappe Huntress, HackerOne et 3 autres entreprises de cybersécurité

Une brèche chez la plateforme de veille concurrentielle Klue a déclenché un incident de chaîne d’approvisionnement impliquant des entreprises de cybersécurité parmi les plus connues du secteur. Huntress, HackerOne, Jamf, Recorded Future et Tanium ont toutes confirmé que des données ont été volées en conséquence directe de la compromission antérieure de Klue. Cet incident nous rappelle brutalement que même les organisations dont le modèle économique repose entièrement sur la protection des autres peuvent être mises à mal par un prestataire de confiance.

Quelles entreprises de cybersécurité ont été touchées et quelles données ont été volées

Les cinq victimes confirmées couvrent un large éventail du secteur de la cybersécurité. Huntress se concentre sur la détection et la réponse gérées pour les PME. HackerOne exploite l'une des plateformes de bug bounty et de divulgation de vulnérabilités les plus utilisées au monde. Jamf se spécialise dans la gestion des appareils Apple pour les entreprises. Recorded Future est un fournisseur de renseignement sur les menaces de premier plan. Tanium propose la gestion des terminaux et la sécurité à grande échelle.

Ces cinq entreprises sont clientes de Klue. Klue est une plateforme de veille concurrentielle qui aide les entreprises à suivre l’activité de leurs concurrents, en ingérant généralement des données provenant de divers outils métier connectés. C’est précisément cette connectivité qui en a fait une cible de grande valeur. Parce que Klue avait autorisé des intégrations avec les systèmes de ses clients, une brèche chez Klue pouvait être utilisée comme tremplin vers les environnements de ces clients sans jamais les attaquer directement.

Les données spécifiques volées à chaque entreprise n’ont pas été entièrement divulguées, mais l’exposition concernait des systèmes métier orientés clients plutôt que l’infrastructure opérationnelle purement interne.

Comment la brèche de Klue est devenue une attaque de la chaîne d’approvisionnement contre des fournisseurs de sécurité

Le mécanisme par lequel cela s’est propagé d’une seule société d’études de marché à cinq entreprises de cybersécurité illustre parfaitement pourquoi les attaques de la chaîne d’approvisionnement sont devenues si attrayantes pour les cybercriminels. Plutôt que d’essayer de compromettre directement un éditeur de sécurité bien protégé, l’attaquant compromet une cible en amont plus vulnérable qui détient déjà les clés.

Dans le cas de Klue, le vecteur d’attaque impliquait une vulnérabilité OAuth qui a permis à un groupe de pirates d’obtenir un accès non autorisé aux données CRM Salesforce connectées. Comme l’a rapporté un article précédent sur la brèche OAuth de Klue ayant permis le vol de données CRM Salesforce, le groupe de pirates connu sous le nom d’« Icarus » a exploité cette faille d’authentification pour se déplacer latéralement dans les environnements Salesforce de plusieurs clients de Klue. Une fois à l’intérieur de ces systèmes CRM, les attaquants ont eu accès à des données métier structurées que les entreprises traitent généralement comme très sensibles : dossiers clients, informations sur le pipeline, historique des transactions et contacts des comptes.

Il s’agit d’une compromission de la chaîne d’approvisionnement typique. Les organisations victimes n’ont commis aucune erreur technique dans la sécurisation de leur propre infrastructure. Leur exposition a résulté entièrement de la confiance accordée à un tiers qui, à son tour, n’a pas protégé correctement les intégrations OAuth qu’il gérait.

Pourquoi les entreprises de sécurité sont des cibles de grande valeur pour les cybercriminels

Il peut sembler contre-intuitif qu’un cybercriminel s’en prenne spécifiquement aux entreprises de cybersécurité. Ces organisations emploient des experts, maintiennent des programmes de sécurité matures et conçoivent souvent les outils mêmes qui servent à détecter et à répondre aux attaques.

Mais cette expertise est à double tranchant. Les entreprises de sécurité détiennent des données extrêmement sensibles. La plateforme de HackerOne, par exemple, se situe à l’intersection de la recherche de vulnérabilités et de la divulgation en entreprise. Recorded Future agrège des renseignements sur les menaces qui, entre de mauvaises mains, pourraient révéler ce que les défenseurs savent et ignorent sur les menaces actives. Huntress bénéficie d’une visibilité approfondie sur les réseaux de milliers de petites entreprises. Un adversaire qui accède à l’un de ces systèmes obtient non seulement des données, mais aussi des renseignements stratégiques sur l’écosystème de sécurité dans son ensemble.

De plus, les fournisseurs de sécurité sont souvent profondément intégrés aux environnements de leurs clients, précisément parce que leurs produits exigent un accès privilégié pour fonctionner. Cette intégration augmente la surface d’attaque, au lieu de la réduire. Les entreprises visées par l’incident Klue n’ont pas été compromises par leurs propres produits, mais la valeur de ce qui était accessible via leurs systèmes CRM était probablement suffisamment importante pour que l’effort en vaille la peine.

Ce schéma fait écho à d’autres incidents de chaîne d’approvisionnement très médiatisés où des fournisseurs intermédiaires ont servi de point d’entrée dans des organisations par ailleurs bien défendues. Les plateformes d’études de marché et de veille concurrentielle, qui se connectent régulièrement aux CRM et aux outils de vente pour ingérer et analyser des données, représentent une catégorie de risque émergente que de nombreuses équipes de sécurité n’ont pas historiquement priorisée dans leurs évaluations des fournisseurs.

Ce que cela signifie pour vous

Si vous travaillez pour ou avec l’une des entreprises touchées, la première chose à faire est de vérifier si vos données de compte ou vos informations commerciales se trouvaient dans les environnements Salesforce qui ont été consultés. Contactez directement le fournisseur et demandez des précisions sur les catégories de données exposées.

Plus largement, cet incident renforce plusieurs pratiques concrètes pour toute organisation qui évalue son exposition aux risques :

• Auditez régulièrement vos intégrations OAuth et tierces. Toute plateforme autorisée à se connecter à votre CRM, messagerie ou outils métier repose sur une relation de confiance qui doit être examinée et limitée aux autorisations minimales nécessaires.
• Segmentez l’accès de manière rigoureuse. Les fournisseurs ne devraient recevoir que l’accès aux données nécessaires à l’exécution de leur fonction spécifique. Un outil de veille concurrentielle qui a besoin de données de suivi de la concurrence n’a pas besoin d’un accès complet au CRM.
• Appliquez des stratégies de défense en profondeur sur l’ensemble de votre écosystème de fournisseurs. Aucun contrôle de sécurité unique n’est suffisant. Superposer la surveillance, les contrôles d’accès et la détection d’anomalies sur les intégrations fournisseurs réduit le rayon d’impact de toute compromission.
• Traitez votre liste de fournisseurs comme faisant partie de votre surface d’attaque. Chaque outil SaaS auquel votre organisation se connecte est un point d’entrée potentiel. Des examens périodiques des informations d’accès détenues par chaque fournisseur peuvent révéler une exposition inattendue avant qu’un attaquant ne le fasse.

L’incident Klue constitue une étude de cas utile sur le fonctionnement concret des attaques de la chaîne d’approvisionnement. Les attaquants n’ont pas eu besoin de battre Huntress ou HackerOne sur leur propre terrain. Ils ont trouvé un point d’entrée plus vulnérable, l’ont exploité et ont collecté ce qui s’y trouvait. Pour les utilisateurs soucieux de leur vie privée comme pour les organisations sensibilisées à la sécurité, la leçon est que votre niveau de sécurité n’est jamais plus fort que l’intégration la plus faible de votre écosystème de fournisseurs. Examiner ces connexions dès maintenant, avant le prochain incident, est la chose la plus concrète que toute organisation puisse faire.