Gérer les identifiants Google Cloud compromis

Les identifiantsGoogle Cloud contrôlent l'accès à vos ressources hébergées sur Google Cloud. Pour sécuriser vos données et les protéger des pirates informatiques, vous devez gérer vos identifiants avec la plus grande vigilance.

Nous vous recommandons de protéger tous vos identifiants Google Cloud contre les accès non légitimes. Ces identifiants sont les suivants (liste non exhaustive) :

• Identifiants de service :

  • Clés privées de compte de service (fichiers JSON et p12)
  • Clés API
  • Secrets d'ID client OAuth2

• Identifiants d'utilisateur, créés et gérés sur des postes de travail de développeur ou d'autres ordinateurs :

  • Identifiants Google Cloud CLI

  • Identifiants par défaut de l'application

  • Cookies de navigateur

Les identifiants Google Cloud CLI sont stockés dans le répertoire d'accueil de l'utilisateur. Vous pouvez les lister dans Google Cloud CLI à l'aide de la commande gcloud auth list. Les identifiants par défaut de l'application sont stockés sur le poste de travail du développeur. Les cookies sont spécifiques au navigateur, mais sont généralement stockés sur le poste de travail du développeur.

Si vous pensez que vos identifiants ont été piratés, vous devez réagir immédiatement pour limiter les conséquences sur votre compteGoogle Cloud .

Surveiller le piratage des identifiants

Tenez compte des points suivants pour surveiller les cas potentiels de piratage :

• Surveillez les activités suspectes sur les comptes, telles que l'élévation des privilèges et la création de comptes multiples. Surveillez ces activités à l'aide de Cloud Audit Logs, de Policy Intelligence et de Security Command Center. Utilisez les services et fonctionnalités Security Command Center suivants :

  • Event Threat Detection pour identifier les menaces basées sur les activités d'administration, les modifications des groupes et les modifications des autorisations IAM (Identity and Access Management). Pour chaque catégorie de menace, des étapes d'investigation recommandées sont fournies pour vous aider à y répondre.
  • Service d'actions sensibles pour suivre les actions de votre organisation, de vos dossiers et de vos projets qui pourraient nuire à votre entreprise si elles étaient effectuées par une personne malveillante.

• Surveillez les connexions des utilisateurs à Google Workspace et Cloud Identity. Pour mieux suivre les problèmes, envisagez d'exporter les journaux vers Cloud Logging.

• Surveillez les secrets dans vos dépôts de code à l'aide d'outils tels que la détection d'anomalies ou l'analyse des secrets.

• Surveillez les anomalies dans l'utilisation des clés de compte de service à l'aide de Cloud Monitoring.

Assurez-vous que votre centre d'opérations de sécurité (SOC) est informé sans délai et dispose des playbooks, des outils et des accès nécessaires pour réagir rapidement en cas de suspicion de piratage d'identifiants. Activez les fonctionnalités SIEM et SOAR, telles que les playbooks, les workflows de réponse et les actions automatisées. Vous pouvez également intégrer Security Command Center à votre solution SIEM existante ou importer des journaux dans Google Security Operations pour une analyse plus approfondie.

Protéger vos ressources Google Cloud contre un identifiant dont la sécurité a été compromise

Si vous pensez que la sécurité d'un identifiant a été compromise, suivez dans les plus brefs délais les étapes décrites dans les sections suivantes, afin de protéger vos ressources.

Révoquer et recréer des identifiants

Si vous pensez que la sécurité d'un identifiant a été compromise, révoquez-le puis recréez-le. Agissez avec prudence pour éviter toute interruption de service résultant de la révocation des identifiants.

Pour recréer un identifiant, vous devez généralement en générer un nouveau, le transmettre à tous les services et utilisateurs qui en ont besoin, puis révoquer l'ancien identifiant.

Les sections suivantes fournissent des instructions spécifiques pour chaque type d'identifiant.

Remplacer une clé de compte de service

1. Dans la console Google Cloud , accédez à la page Comptes de service.

   Accéder à la page "Comptes de service"

2. Identifiez le compte de service concerné.

3. Créez une clé pour le compte de service.

4. Transmettez la nouvelle clé à tous les emplacements où l'ancienne clé était utilisée.

5. Supprimez l'ancienne clé.

Pour en savoir plus, consultez la section Créer des comptes de service.

Regénérer les clés API

1. Dans la console Google Cloud , accédez à la page Identifiants.

   Accéder à "Identifiants"

2. Créez une clé API à l'aide du bouton Créer des identifiants. Configurez la nouvelle clé de la même manière que la clé API piratée. Les restrictions de la clé API doivent correspondre, sous peine d'interruption.

3. Transmettez la clé API à tous les emplacements où l'ancienne clé était utilisée.

4. Supprimez l'ancienne clé.

Pour en savoir plus, consultez S'authentifier à l'aide de clés d'API.

Réinitialiser un secret d'ID client OAuth2

La modification d'un secret d'ID client provoque une interruption temporaire pendant le changement du secret.

1. Dans la console Google Cloud , accédez à la page Identifiants.

   Accéder à "Identifiants"

2. Sélectionnez l'ID client OAuth2 dont la sécurité a été compromise et modifiez-le.

3. Cliquez sur Réinitialiser le code secret.

4. Transférez le nouveau secret dans votre application.

Pour en savoir plus, consultez les pages Configurer OAuth 2.0 et Utiliser le protocole OAuth 2.0 pour accéder aux API Google.

Supprimer les identifiants Google Cloud CLI en tant qu'administrateur

En tant qu'administrateur Google Workspace, supprimez l'accès à Google Cloud CLI de la liste des applications connectées de l'utilisateur. Pour en savoir plus, consultez la section Afficher et supprimer l'accès des applications tierces.

Lorsque l'utilisateur accède à nouveau à Google Cloud CLI, il lui est automatiquement demandé de réautoriser l'application.

Supprimer les identifiants Google Cloud CLI en tant qu'utilisateur

1. Ouvrez la liste des applications ayant accès à votre compte Google.

2. Supprimez Google Cloud CLI de la liste des applications connectées.

Lorsque vous accédez à nouveau à Google Cloud CLI, il vous est automatiquement demandé de réautoriser l'application.

Révoquer les identifiants par défaut de l'application en tant qu'administrateur

Si vous pensez qu'un identifiant par défaut de l'application a été piraté, vous pouvez le révoquer. Cette procédure peut entraîner une panne temporaire jusqu'à la recréation du fichier d'identifiants.

En tant qu'administrateur Google Workspace, supprimez l'accès à la bibliothèque Google Auth de la liste des applications connectées de l'utilisateur. Pour en savoir plus, consultez la section Afficher et supprimer l'accès des applications tierces.

Révoquer les identifiants par défaut de l'application en tant qu'utilisateur

Si vous pensez qu'un identifiant par défaut de l'application que vous avez créé a été piraté, vous pouvez le révoquer. Cette procédure peut entraîner une panne temporaire jusqu'à la recréation du fichier d'identifiants. Cette procédure ne peut être effectuée que par le propriétaire de l'identifiant piraté.

1. Installez et initialisez Google Cloud CLI, si ce n'est pas déjà fait.

2. Autorisez gcloud CLI avec votre identité d'utilisateur, et non avec un compte de service :

    gcloud auth login
   

   Pour en savoir plus, consultez S'authentifier pour gcloud CLI.

3. Révoquez les identifiants :

     gcloud auth application-default revoke
   

4. Vous pouvez également supprimer le fichier application_default_credentials.json. L'emplacement de ce fichier dépend de votre système d'exploitation :

   • Linux, macOS : $HOME/.config/gcloud/
   • Windows : %APPDATA%\gcloud\

5. Recréez le fichier d'identifiants :

    gcloud auth application-default login
   

Invalider les cookies de navigateur en tant qu'administrateur

Si vous pensez que des cookies de navigateur ont été piratés, les administrateurs Google Workspace peuvent déconnecter un utilisateur de son compte.

De plus, imposez immédiatement un changement de mot de passe.

Ces actions invalident tous les cookies existants, et l'utilisateur est invité à se reconnecter.

Invalider les cookies de navigateur en tant qu'utilisateur

Si vous pensez que vos cookies de navigateur ont été piratés, déconnectez-vous de votre compte Google et modifiez votre mot de passe immédiatement.

Ces actions invalident tous vos cookies existants. La prochaine fois que vous accéderez àGoogle Cloud, vous devrez vous reconnecter.

Rechercher des accès et des ressources non autorisés

Après avoir révoqué les identifiants piratés et restauré votre service, vérifiez tous les accès à vos ressources Google Cloud . Vous pouvez utiliser Logging ou Security Command Center.

Dans Logging, procédez comme suit :

1. Examinez vos journaux d'audit dans la consoleGoogle Cloud .

   Accéder à l'explorateur de journaux

2. Recherchez toutes les ressources potentiellement concernées et assurez-vous qu'aucune des activités du compte (concernant plus particulièrement les identifiants piratés) ne révèle un comportement inhabituel.

Dans Security Command Center, procédez comme suit :

1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

   Accéder

2. Si nécessaire, sélectionnez votre projet ou votre organisation. Google Cloud

3. Dans la section Filtres rapides, cliquez sur un filtre approprié pour afficher le résultat dont vous avez besoin dans le tableau Résultats de la requête de résultats. Par exemple, si vous sélectionnez Event Threat Detection ou Container Threat Detection dans la sous-section Nom à afficher pour la source, seuls les résultats du service sélectionné s'affichent dans les résultats.

   Le tableau est rempli avec les résultats de la source sélectionnée.

4. Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Category. Le volet de détails du résultat se développe pour afficher un résumé des détails du résultat.

5. Pour afficher tous les résultats issus des actions du même utilisateur, procédez comme suit :

   1. Dans le volet des détails du résultat, copiez l'adresse e-mail située à côté de Adresse e-mail principale.
   2. Fermez le volet.

   3. Dans l'éditeur de requêtes, saisissez la requête suivante :

      access.principal_email="USER_EMAIL"
      

      Remplacez USER_EMAIL par l'adresse e-mail que vous avez copiée précédemment.

      Security Command Center affiche tous les résultats associés aux actions effectuées par l'utilisateur que vous avez spécifié.

Supprimer toutes les ressources non autorisées

Vérifiez qu'il n'existe aucune ressource inhabituelle (telles que des machines virtuelles, des applications App Engine, des comptes de service, des buckets Cloud Storage, etc.) à laquelle les identifiants piratés tenteraient d'accéder.

Une fois que vous êtes certain d’avoir identifié toutes les ressources non autorisées, vous pouvez choisir de les supprimer immédiatement. Ceci est particulièrement important pour les ressources Compute Engine, car les pirates informatiques peuvent utiliser des comptes piratés pour exfiltrer des données ou compromettre d'une autre manière vos systèmes de production.

Vous pouvez également isoler les ressources non autorisées afin de permettre à vos propres équipes d'investigation d'effectuer une analyse supplémentaire.

Contacter Cloud Customer Care

Pour obtenir de l'aide sur la recherche des journaux Google Cloud et des outils nécessaires à vos étapes d'investigation et d'atténuation des risques, contactez le service client et déposez une demande d'assistance.

Gérer les pertes d'accès aux comptes

Si vous n'arrivez pas du tout à accéder à votre compte, voici quelques options à envisager :

• Utilisez le formulaire de récupération de compte Google Workspace, disponible dans la Google Workspace Admin Toolbox. Pour en savoir plus, consultez Récupérer l'accès administrateur à votre compte.

• Si un pirate informatique crée des ressources frauduleuses alors que vous êtes complètement bloqué et que vous avez droit à l'assistance, procédez comme suit :

  1. Dans une fenêtre de navigation privée, accédez à l'outil de dépannage pour contacter l'assistance.

  2. Sélectionnez Oui, puis cliquez sur Envoyer une demande.

  3. Remplissez et envoyez le formulaire en indiquant vos coordonnées.

• Si un pirate informatique crée des ressources frauduleuses alors que vous êtes complètement bloqué et que vous n'avez pas de droit d'accès à l'assistance, procédez comme suit :

  1. Dans une fenêtre de navigation privée, accédez à l'outil de dépannage pour contacter l'assistance.

  2. Répondez aux questions comme suit :

     Question de l'outil de dépannage	Sélection requise
     Disposez-vous d'un droit d'accès à l'assistance ?	Non
     Votre période d'essai sans frais est-elle en cours ?	Non
     Êtes-vous l'administrateur de la facturation d'un compte de facturation GCP (Google Cloud) ?	Non
     Rencontrez-vous l'une de ces situations ?	Je n'ai plus accès à mon projet GCP ni à mon compte de facturation, et je dois le récupérer.

  3. Cliquez sur Envoyer une demande à notre équipe de récupération d'accès.

  4. Remplissez et envoyez le formulaire de contact non authentifié avec vos informations, y compris les ID de compte de facturation ou les indicateurs de paiement que vous pouvez fournir pour valider votre identité.

Bonnes pratiques pour éviter les problèmes liés aux identifiants piratés

Cette section décrit les bonnes pratiques que vous pouvez mettre en œuvre pour éviter les problèmes liés aux identifiants piratés.

Séparer les identifiants du code

Gérez et stockez vos identifiants indépendamment de votre code source. La transmission accidentelle des identifiants et du code source à un site de gestion de sources comme GitHub est une situation fréquente, qui rend vos identifiants vulnérables au piratage.

Si vous utilisez GitHub ou un autre dépôt public, vous pouvez mettre en œuvre des outils tels que la détection des anomalies ou l'analyse des secrets, qui vous avertit des secrets exposés présents dans vos dépôts GitHub. Pour empêcher le commit des clés dans vos dépôts GitHub, envisagez d'utiliser des outils tels que git-secrets.

Utilisez des solutions de gestion des secrets telles que Secret Manager et Hashicorp Vault pour stocker vos secrets, les alterner régulièrement et appliquer le principe du moindre privilège.

Mettre en œuvre les bonnes pratiques relatives aux comptes de service

Pour protéger les comptes de service, consultez les bonnes pratiques d'utilisation des comptes de service.

Limiter la durée des sessions

Pour forcer la réauthentification périodique, limitez la durée d'activité des sessions pour les comptes Google et Google Cloud . Pour en savoir plus, consultez les ressources suivantes :

• Définir la durée de session pour Google Workspace

• Définir la durée de session pour les services Google Cloud

• Définir la durée de session pour Cloud Identity

Limiter les accès à l'aide de VPC Service Controls

Pour limiter l'impact des identifiants piratés, définissez des périmètres de service à l'aide de VPC Service Controls. Lorsque vous configurez VPC Service Controls, les ressources situées à l'intérieur du périmètre ne peuvent communiquer qu'avec les autres ressources situées dans ce périmètre.