Barracuda full logo

Qu’est-ce qu’une identité non humaine ?

Thèmes:
14 avr. 2025
|
Paul Dughi

Les identités machine ou programmatiques, telles que les services, les applications, les scripts, les bots et autres agents automatisés, travaillent toutes en coulisse pour automatiser les workflows. En d’autres termes, les machines et systèmes parlent à d’autres machines sans intervention humaine.

Ces identités non humaines (NHI) s’authentifient automatiquement à l’aide de clés API, de jetons ou de certificats. Elles sont conçues pour automatiser et rationaliser les workflows, mais peuvent également engendrer des vulnérabilités. En effet, si l’un de ces systèmes ou machines est compromis, cela peut impacter d’autres systèmes.

Identités non humaines courantes

Bien que la liste soit longue, les types de NHI les plus fréquemment rencontrés sont les suivants :

  • Comptes de service : comptes à usage spécifique utilisés par des applications ou des scripts pour accéder à des systèmes ou à des ressources sans intervention humaine
  • Clés API : jetons utilisés pour authentifier des applications ou des services lors de l’appel d’API, souvent codés en dur ou mal gérés
  • Clients OAuth/jetons porteurs : identifiants utilisés par les applications pour obtenir des jetons d’accès et interagir avec d’autres systèmes dans le cadre d’une autorité déléguée
  • Certificats et clés privées : identifiants cryptographiques utilisés pour vérifier et sécuriser la communication entre les machines ou les services
  • Identités des appareils IoT : identifiants uniques attribués aux appareils connectés pour permettre leur authentification et leur interaction avec les services ou les réseaux cloud
  • Bots d’automatisation robotisée des processus (RPA) : bots logiciels qui effectuent des tâches répétitives et nécessitent l’accès à des applications ou à des données à l’aide d’identifiants stockés
  • Identités des conteneurs ou des pods : identités de machine attribuées aux conteneurs ou aux pods (par exemple, dans Kubernetes) pour accéder en toute sécurité à d’autres ressources natives du cloud

L’explosion des identités non humaines au cours des dernières années constitue une évolution majeure. Dans la plupart des systèmes, le nombre d’identités non humaines dépasse celui des utilisateurs humains. Par exemple, les secrets des NHI, tels que les comptes de service sur Kubernetes, sont 45 fois plus nombreux que les identités humaines dans les environnements DevOps. Beaucoup de ces secrets sont exposés et le restent. Une étude de GitGuardian a montré que 70 % des secrets détectés dans les référentiels publics en 2022 sont toujours actifs aujourd’hui.

L’adoption de l’IA dans le développement de code accentue certains risques. Si elle peut améliorer la production de code, les identifiants sont souvent exposés de manière inhabituelle par rapport aux pratiques de développement traditionnelles.

Les 10 principaux risques liés aux NHI selon l’OWASP

En raison de la prévalence d’identités non humaines, l’OWASP (Open Web Application Security Project) a publié une liste complète des vulnérabilités et des risques de sécurité les plus urgents liés à l’utilisation des NHI. Le Top 10 des risques liés aux identités non humaines selon l’OWASP – 2025 inclut des exploits potentiels destinés à aider les développeurs à mieux gérer et protéger les ressources.

1. Désactivation inappropriée

Le fait de ne pas désactiver ou supprimer les identités non humaines (comme les comptes de service ou les clés d’accès) lorsqu’elles ne sont plus nécessaires peut exposer les systèmes à des risques. Ces identifiants dormants peuvent être détournés par des pirates pour obtenir un accès non autorisé à des environnements sensibles.

2. Fuite de secrets

Les identifiants sensibles comme les clés API, les jetons ou les certificats peuvent être stockés accidentellement dans des endroits non protégés tels que le code, les fichiers de configuration ou les outils de chat. Si ces secrets sont divulgués, les pirates peuvent les utiliser pour se faire passer pour des services ou accéder à des systèmes restreints.

3. Identités non humaines tierces vulnérables

De nombreux outils de développement et services cloud reposent sur des composants tiers qui introduisent des identités non humaines dans votre écosystème. La compromission d’un service ou d’un plugin tiers peut conduire au vol ou à l’utilisation abusive des identifiants et des autorisations.

4. Authentification non sécurisée

Les identités non humaines reposent souvent sur des méthodes d’authentification obsolètes ou faibles pour connecter les services et les systèmes. L’utilisation de protocoles obsolètes ou une gestion inadéquate de l’authentification facilite l’usurpation d’identité par les pirates, leur permettant de se faire passer pour des composants de confiance.

5. NHI aux privilèges excessifs

Parfois, les identités non humaines bénéficient d’un accès plus important que nécessaire, simplement pour des raisons de commodité. Si l’une de ces identités est compromise, les pirates peuvent exploiter les autorisations excédentaires pour se déplacer latéralement ou intensifier leurs attaques.

6. Configurations de déploiement cloud non sécurisées

Les outils CI/CD cloud nécessitent souvent des identifiants pour déployer des logiciels, mais des erreurs de configuration, comme le stockage des identifiants en texte brut, peuvent exposer ces secrets. Si des pirates accèdent à ces identifiants, ils peuvent prendre le contrôle d’environnements de production.

7. Secrets de longue durée

Les secrets qui n’expirent jamais ou qui sont valables pendant de longues périodes sont particulièrement dangereux s’ils sont compromis. Un pirate ayant accès à un secret de longue durée pourrait l’exploiter pendant des mois ou des années sans être détecté.

8. Environnements non isolés

La réutilisation des mêmes identités non humaines dans différents environnements (ex. : développement, préparation, production) augmente les risques. Une compromission dans un environnement à faible risque pourrait conduire à un accès non autorisé à des systèmes critiques si les limites de l’identité ne sont pas respectées.

9. Réutilisation des NHI sur tous les systèmes

Bien que l’utilisation d’une même identité non humaine pour plusieurs systèmes ou services puisse sembler pratique, elle introduit un point de défaillance unique. Si un système est piraté, tous les autres systèmes utilisant la même identité peuvent également être exposés.

10. Utilisation abusive des NHI par les humains

Parfois, les développeurs utilisent des identités non humaines pour accéder manuellement aux systèmes, contournant ainsi les contrôles destinés aux utilisateurs humains. Cette pratique complique le suivi des activités et efface la responsabilité, créant ainsi des zones d’ombre dans la surveillance de la sécurité.

Attaques du monde réel

Compte tenu de l’ampleur considérable de la surface de menace des NHI, il n’est pas surprenant que des acteurs malveillants et des États-nations exploitent les failles de sécurité. Il peut être particulièrement difficile de les détecter, car les NHI interagissant avec les systèmes disposent d’une authentification intégrée pour contourner la détection des menaces.

Voici quelques violations récentes qui ont été attribuées à des problèmes d’identité non humaine.

GitHub Actions

Une attaque de la chaîne d’approvisionnement de GitHub Actions a entraîné une exposition généralisée des identifiants. Des pirates ont compromis le compte privilégié d’un mainteneur, ce qui leur a permis de modifier les balises des paquets et de rediriger les utilisateurs vers une charge utile malveillante conçue pour extraire les secrets des membres du serveur via des workflows CI/CD exposés publiquement.

Trésor américain

Le département du Trésor américain a subi une faille de sécurité majeure lorsque des pirates mandatés par l’État chinois ont exploité une clé API compromise de BeyondTrust, un fournisseur de cybersécurité tiers, pour accéder aux postes de travail des employés et à des documents non classifiés.

AWS

Plus de 230 millions d’environnements cloud ont été compromis en raison  d’identifiants stockés de manière non sécurisée. Les clés AWS, les jetons API et les mots de passe des bases de données ont été exposés, ce qui a permis aux pirates d’élever leurs privilèges.

The New York Times

La violation via GitHub du New York Times en janvier 2024 s’est produite lorsque des pirates ont exploité un jeton GitHub exposé, leur permettant de voler 270 Go de code source interne et de documentation informatique, qui ont ensuite été divulgués sur 4chan.

Snowflake

Des données sensibles provenant de plus de 165 entreprises ont été exposées à l’aide d’identifiants non sécurisés dépourvus d’authentification multifactorielle (MFA) et de rotation des identifiants. Les clés d’identifiant volées ont été utilisées pour accéder aux comptes Snowflake sans interaction humaine.

Dropbox

Les pirates ont abusé d’un compte de service en utilisant des clés API et des jetons OAuth pour pénétrer l’environnement de production de Dropbox Sign. Les données clients, les noms d’utilisateur et les mots de passe hachés ont été divulgués.

Sécuriser votre environnement

Dans la grande majorité des cas, les violations des NHI résultent d’une mauvaise sécurisation des secrets, des identifiants ou des environnements par les utilisateurs. L’attaque d’identité non humaine la plus courante découle d’une erreur humaine, ce qui montre l’importance cruciale de mettre en place des mesures de sécurité pour protéger les informations sensibles, quel que soit leur emplacement ou leur format.

S’abonner au blog Barracuda
Paul Dughi

Paul Dughi est journaliste en ligne et vétéran du secteur des médias. Il a occupé le poste de vice-président de la technologie pour un groupe de chaînes de télévision, ainsi que de président de six chaînes de télévision détenues et exploitées en Californie. Il est actuellement PDG de StrongerContent.com.

Billets associés :
À propos du cycle de publication de l'API
À propos du cycle de publication de l'API
 Pourquoi les API zombies sont une bombe à retardement pour votre entreprise
Pourquoi les API zombies sont une bombe à retardement pour votre entreprise
 Protection contre les bots scrapers d'IA générative : la puissance de Barracuda Advanced Bot Protection
Protection contre les bots scrapers d'IA générative : la puissance de Barracuda Advanced Bot Protection
 Threat Spotlight : Les robots malveillants évoluent pour devenir plus « humains »
Threat Spotlight : Les robots malveillants évoluent pour devenir plus « humains »
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.