Cybersécurité : des jetons volés compromettent des comptes Snowflake

Des attaques visant Snowflake révèlent les risques liés aux intégrations SaaS : des accès légitimes détournés permettent l’exfiltration de données, soulignant l’importance du contrôle après authentification.

Une attaque qui révèle la fragilité des intégrations SaaS

Récemment, une série d’attaques sophistiquées a frappé des entreprises clientes de solutions cloud, mettant en lumière les failles potentielles dans l’écosystème des intégrations tierces. Au centre de l’affaire : Snowflake, dont plusieurs clients ont vu leurs données exfiltrées sans que les défenses classiques ne soient contournées. L’originalité de ces attaques ? Les cybercriminels ont exploité des jetons d’authentification dérobés à la faveur d’une faille survenue chez un intégrateur SaaS partenaire, s’offrant ainsi un accès totalement légitime aux systèmes ciblés.

L’accès légitime, nouveau terrain de jeu des attaquants

Selon les précisions obtenues par BleepingComputer, la compromission ne trouve pas son origine dans la plateforme centrale de Snowflake, mais bien dans une chaîne d’intégration tierce. Ces intermédiaires technologiques disposent souvent d’un accès automatisé et étendu, indispensable au bon fonctionnement des échanges entre services cloud. Mais lorsque leurs identifiants — jetons de session ou clés API — tombent entre de mauvaises mains, la brèche s’élargit rapidement. Cette mécanique souligne une évolution inquiétante : le recours à l’authentification légitime plutôt qu’à l’exploitation de failles techniques traditionnelles.

Des identités non humaines sous surveillance insuffisante

Shane Barney, Chief Information Security Officer chez Keeper Security, pointe du doigt ce phénomène : « L’exploitation d’intégrations de confiance représente aujourd’hui l’une des menaces majeures du cloud moderne. » Trop souvent, résume-t-il, la sécurité se concentre sur le contrôle à l’entrée — autrement dit l’authentification — et néglige ce qui se joue ensuite, une fois l’accès accordé. Or, c’est précisément ici que se glissent les attaquants grâce à ces accès persistants.

Pour faire face à ces risques croissants liés aux intégrations SaaS, plusieurs mesures apparaissent incontournables :

• appliquer strictement le principe du moindre privilège ;
  limiter la durée de vie des jetons d’accès ;
  renouveler fréquemment les identifiants ;
  renforcer la surveillance sur toute activité post-authentification.

Mieux gouverner les accès pour prévenir la prochaine vague

En somme, chaque maillon technologique exposé par une intégration devient un point sensible dans la chaîne de sécurité globale. Pour limiter la portée potentielle de telles attaques en cascade, il devient essentiel d’offrir aux identités non humaines — ces connecteurs automatiques et scripts d’intégration — le même niveau de gouvernance et de vigilance qu’aux utilisateurs privilégiés. Seule cette approche peut freiner le phénomène observé autour de Snowflake, où la simple validation initiale ne suffit plus : c’est bien sur l’ensemble du cycle de vie des accès que doit désormais porter l’attention.