Microsoft va limiter la menace pour les API Azure DevOps avec PAT •
Français
Microsoft apporte un jeton d’accès personnel (PAT) granulaire à ses API Azure DevOps REST pour tenter de réduire les dommages pouvant survenir lorsque des informations d’identification sont divulguées ou volées.
Cette décision intervient des semaines après que la société de cybersécurité Praetorian a expliqué comment ses chercheurs ont pu accéder aux réseaux d’entreprise internes des entreprises utilisant GitHub, propriété de Microsoft, pour leurs outils CI/CD. Ils ont compromis l’accès à GitHub via une fuite accidentelle de PAT et ont qualifié la version bêta de GitHub pour les jetons d’accès à grain fin de “pas dans la bonne direction”.
Les PAT sont des alternatives aux mots de passe pour authentifier l’identité d’une personne accédant à un système ou à un site Web, ainsi que les développeurs utilisant des API et des scripts. Dans ce cas, ils sont utilisés pour s’authentifier dans Azure DevOps.
Un PAT intègre une foule d’informations. Pour Azure DevOps, il inclut les informations d’identification de sécurité d’une personne et identifie l’utilisateur, les organisations auxquelles il peut accéder et l’étendue de l’accès. Alors que les cybercriminels changent de tactique, passant de la compromission des systèmes au vol d’informations d’identification afin d’accéder aux réseaux d’entreprise, les jetons deviennent une cible riche.
“Ils sont aussi critiques que les mots de passe, vous devez donc les traiter de la même manière”, a déclaré Microsoft le mois dernier.
Selon le rapport de Praetorian, un développeur peut divulguer par inadvertance un PAT de plusieurs manières : hameçonnage, compromission de son ordinateur portable personnel ou inclusion par erreur dans les journaux de ligne de commande.
Pour réduire la menace pesant sur ses PAT, l’équipe Azure DevOps a récemment créé une portée granulaire PAT pour toutes les API REST Azure DevOps, a écrit Barry Wolfson, chef de produit pour Azure DevOps, dans un article de blog cette semaine. Les étendues OAuth2 permettent aux organisations de limiter l’accès accordé à un PAT.
« Auparavant, un certain nombre d’API Azure DevOps REST n’étaient pas associées à une portée PAT, ce qui amenait parfois les clients à consommer ces API à l’aide de PAT à portée complète », écrit Wolfson.
“Les larges autorisations d’un PAT complet (toutes les autorisations de leur utilisateur correspondant), entre les mains d’un acteur malveillant, représentent un risque de sécurité important pour les organisations, étant donné la possibilité d’accéder au code source, à l’infrastructure de production et à d’autres actifs précieux. .”
Il a encouragé les développeurs utilisant un PAT complet à migrer vers un PAT avec une portée spécifique pour éliminer les accès inutiles. Dans le même temps, il a suggéré une politique de plan de contrôle qui impose des restrictions sur la création d’API complètes.
L’initiative de l’équipe Azure DevOps intervient moins d’un mois après une décision similaire de GitHub, qui a introduit en octobre la version bêta publique des PAT à granularité fine.
Auparavant, les PAT fournissaient des autorisations “très grossières”. Ils ont donné accès à presque tous les référentiels et organisations dont disposaient les utilisateurs du jeton, sans contrôle ni visibilité sur l’organisation des utilisateurs, selon un article de blog de Hirsch Singhal, chef de produit chez GitHub.
Cela a changé, écrit Hirsch.
“Les jetons d’accès personnels précis donnent aux développeurs un contrôle granulaire sur les autorisations et l’accès au référentiel qu’ils accordent à un PAT”, dit-il. “Les administrateurs de l’organisation ont également le contrôle, avec des politiques d’approbation et une visibilité complète pour les jetons qui accèdent aux ressources de l’organisation.”
Les jetons à granularité fine obtiennent des autorisations à partir d’un ensemble de plus de 50 autorisations granulaires qui contrôlent l’accès aux API d’organisation, d’utilisateur et de référentiel de GitHub. ®
