Mandiant révèle le vol massif de données chez Snowflake

L'alerte est donnée par Mandiant, spécialiste en cybersécurité : des centaines de clients de Snowflake, géant du stockage de données dans le cloud, ont été victimes d'un vol massif de données. Une brèche inquiétante qui remet en question la sécurité des environnements cloud et appelle à renforcer les mesures de protection.

Snowflake victime d'une campagne de piratage à grande échelle

Mandiant, en charge de l'investigation aux côtés de Snowflake, estime qu'environ 165 entreprises clientes ont vu leurs précieuses données dérobées par des cybercriminels. Parmi les victimes déjà confirmées, on retrouve des poids lourds comme Ticketmaster ou LendingTree. Et la liste risque encore de s'allonger, puisque Mandiant qualifie cette campagne malveillante "d'en cours".

En cause : l'utilisation par les hackers d'identifiants volés pour s'introduire dans les instances Snowflake des clients et exfiltrer les données. Des mots de passe parfois très anciens, certains remontant à 2020, récupérés via des infections par des infostealers (voleurs d'informations). Preuve que la négligence en matière de cyberhygiène se paie cash.

Les attaques s'appuient sur des identifiants volés pour accéder à l'environnement Snowflake du client et, in fine, exfiltrer des données de valeur.

- Mandiant

L'authentification multifacteur, grande absente

Snowflake a admis qu'il n'y avait pas eu de brèche directe de ses systèmes, pointant plutôt du doigt le non-usage de l'authentification multifacteur (MFA) par les clients touchés. Une fonctionnalité de sécurité pourtant cruciale, mais pas imposée par défaut sur la plateforme. Un choix discutable qui facilite la tâche des cybercriminels.

Face à l'ampleur de l'incident, Snowflake dit plancher sur un plan pour rendre obligatoire la MFA. Mais sans calendrier précis à ce stade. Une réaction un peu tardive, alors que des centaines d'identifiants cliente circulent déjà dans la nature. Changer les mots de passe ou forcer l'activation de la double authentification aurait permis de limiter les dégâts.

UNC5537 : des hackers motivés par l'appât du gain

Derrière ces piratages en série se cache UNC5537, un gang de cybercriminels encore peu connu mais très actif. Son mode opératoire : extorquer les victimes en menaçant de diffuser leurs données ou de les revendre au plus offrant. Une tactique lucrative et croissante dans le monde de la cybercriminalité, où les données d'entreprise valent de l'or.

La majorité des identifiants volés utilisés par UNC5537 proviennent d'anciennes infections par des infostealers, certaines remontant à 2020.

- Mandiant

Renforcer la sécurité du cloud, une priorité absolue

Ce piratage massif met en lumière les failles de sécurité qui persistent dans les environnements cloud, pourtant plébiscités par les entreprises. Stocker ses données dans le "nuage" ne dispense pas d'appliquer les bonnes pratiques de cybersécurité. Au contraire, cela implique une vigilance accrue et des contrôles renforcés.

Pour les clients Snowflake, c'est un signal d'alarme fort :

• Activer sans délai l'authentification multifacteur
• Changer régulièrement les mots de passe et bannir ceux trop anciens
• Monitorer en continu les accès à la plateforme pour détecter toute activité suspecte
• Sensibiliser les équipes aux risques et bonnes pratiques

Autant de mesures indispensables pour protéger ce précieux capital données. Car ce n'est pas le cloud qui sécurise les données, mais bien la façon dont on l'utilise. Un principe de responsabilité partagée qu'il est urgent d'appliquer. Avant qu'un nouveau vol massif ne fasse les gros titres.