Vol de tokens cloud
Qu'est-ce que Vol de tokens cloud ?
Vol de tokens cloudVol de tokens OAuth, SAML ou de signature aupres d'un service d'identite cloud et rejeu pour usurper utilisateurs ou services sans avoir besoin de mots de passe.
Le vol de tokens cloud cible les bearer tokens de courte duree, refresh tokens et cles de signature emis par les services d'identite modernes. Les attaquants les recuperent depuis des endpoints compromis, des cookies de navigateur, des logs de synchronisation de boites mail, des variables CI/CD, ou en abusant de consentements OAuth. L'incident Microsoft Storm-0558 en 2023, ou une cle de signature MSA volee a servi a forger des tokens Exchange Online et a acceder a des boites gouvernementales, illustre la portee catastrophique d'une fuite de cle de signature. Defenses: stockage des cles dans HSM, conditional access avec posture, token binding et continuous access evaluation, detection d'anomalie a l'emission, rotation agressive du materiel de signature.
● Exemples
- 01
Storm-0558 forge des tokens Azure AD avec une cle MSA consumer volee (2023).
- 02
Pass-the-cookie: vol de cookies de session Microsoft 365 pour contourner la MFA.
● Questions fréquentes
Qu'est-ce que Vol de tokens cloud ?
Vol de tokens OAuth, SAML ou de signature aupres d'un service d'identite cloud et rejeu pour usurper utilisateurs ou services sans avoir besoin de mots de passe. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Vol de tokens cloud ?
Vol de tokens OAuth, SAML ou de signature aupres d'un service d'identite cloud et rejeu pour usurper utilisateurs ou services sans avoir besoin de mots de passe.
Comment fonctionne Vol de tokens cloud ?
Le vol de tokens cloud cible les bearer tokens de courte duree, refresh tokens et cles de signature emis par les services d'identite modernes. Les attaquants les recuperent depuis des endpoints compromis, des cookies de navigateur, des logs de synchronisation de boites mail, des variables CI/CD, ou en abusant de consentements OAuth. L'incident Microsoft Storm-0558 en 2023, ou une cle de signature MSA volee a servi a forger des tokens Exchange Online et a acceder a des boites gouvernementales, illustre la portee catastrophique d'une fuite de cle de signature. Defenses: stockage des cles dans HSM, conditional access avec posture, token binding et continuous access evaluation, detection d'anomalie a l'emission, rotation agressive du materiel de signature.
Comment se défendre contre Vol de tokens cloud ?
Les défenses contre Vol de tokens cloud combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Vol de tokens cloud ?
Noms alternatifs courants : Rejeu de tokens, Vol de tokens OAuth.
● Termes liés
- cloud-security№ 186
Fuite de cles cloud
Exposition accidentelle de cles cloud de longue duree dans des depots publics, images de conteneur, logs ou code client, souvent exploitee en quelques minutes.
- cloud-security№ 079
Attaque AWS IMDSv1
Vol des identifiants de role d'instance EC2 via des requetes GET non authentifiees vers l'endpoint historique IMDSv1, generalement par SSRF.
- cloud-security№ 505
Escalade de privileges IAM
Detournement de permissions IAM existantes dans le cloud pour obtenir des privileges superieurs, souvent par edition de policy, prise de role ou auto-attribution de droits admin.
- cloud-security№ 187
SSRF sur metadonnees cloud
Attaque SSRF qui exploite une application vulnerable pour interroger le service de metadonnees de l'instance du fournisseur cloud et voler des identifiants temporaires.
- attacks№ 1016
Détournement de session
Attaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants.