Que puis-je faire en cas d’activité non autorisée sur mon compte AWS ?

Solution

Si vous soupçonnez une activité non autorisée sur votre compte AWS, commencez par effectuer les étapes suivantes pour vérifier s’il s’agit effectivement d’une activité non autorisée. Ensuite, corrigez l’activité non autorisée sur votre compte AWS. Enfin, sécurisez l’utilisateur racine de votre compte AWS grâce à l’authentification multifactorielle (MFA).

Remarque : si vous ne parvenez pas à vous connecter à votre compte, consultez Que dois-je faire en cas de problème de connexion ou d’accès à mon compte AWS ?

Vérification de la présence d’une activité non autorisée sur votre compte AWS

Identifier les actions non autorisées effectuées par des identités IAM de votre compte

1. Déterminez quand le mot de passe utilisateur ou la clé d’accès de chaque utilisateur de la Gestion des identités et des accès AWS (AWS IAM) a été utilisé pour la dernière fois. Pour savoir comment faire, consultez Generate credential reports for your AWS account.
2. Déterminez quels utilisateurs IAM, groupes d’utilisateurs, rôles et politiques ont été utilisés récemment. Pour savoir comment faire, consultez View last accessed information for IAM.

Identifier les accès non autorisés ou les modifications apportées à votre compte

Pour en savoir plus, consultez Comment puis-je surveiller l’activité des comptes d’utilisateurs, de rôles et de clés d’accès AWS spécifiques d’IAM ? Consultez également Comment puis-je mettre fin à une activité inhabituelle non autorisée sur les ressources de mon compte AWS ?

Identifier la création de ressources ou d’utilisateurs IAM non autorisés

Pour détecter une utilisation non autorisée des ressources, y compris des services et des frais sur votre compte, examinez les points suivants :

• Cost and Usage Reports de votre compte
• La référence de vérification AWS Trusted Advisor
• La page des factures et de l’utilisation de la console de gestion AWS

Remarque : vous pouvez également utiliser l’Explorateur de coûts AWS pour consulter les frais et activités associés à votre compte. Pour plus d’informations, consultez Comment puis-je utiliser l’Explorateur de coûts AWS pour analyser mes dépenses et mes activités ?

Si vous avez constaté qu’aucune activité non autorisée n’a été effectuée sur votre compte, vous n’avez aucune autre action à entreprendre.

Si vous avez constaté qu’il s’agissait bien d’une activité non autorisée, passez à la section suivante pour y remédier sur votre compte AWS.

Correction des activités non autorisées sur votre compte

Si vous recevez une notification d’AWS concernant une activité irrégulière sur votre compte, commencez par suivre les instructions ci-dessous. Répondez ensuite à la notification dans le centre AWS Support en confirmant les actions que vous avez effectuées.

Rotation et suppression des clés d’accès aux comptes exposés

Vérifiez la notification d’activité irrégulière envoyée par AWS Support pour détecter les clés d’accès aux comptes exposés. Si des clés apparaissent dans la liste, effectuez ces opérations :

1. Création d’une nouvelle clé d’accès AWS.
2. Modifiez votre application pour utiliser la nouvelle clé d’accès.
3. Désactivation de la clé d’accès d’origine.
   Important : ne supprimez pas encore la clé d’accès d’origine. Désactivez uniquement la clé d’accès d’origine.
4. Vérifiez que votre application ne présente aucun problème. En cas de problème, réactivez temporairement la clé d’accès d’origine pour y remédier.
5. Si votre application est pleinement fonctionnelle après la désactivation de la clé d’accès d’origine, supprimez cette clé d’origine.
6. Supprimez les clés d’accès de l’utilisateur racine du compte AWS que vous n’utilisez plus ou que vous n’avez pas créées.

Pour en savoir plus, consultez Clés d’accès sécurisées et Manage access keys for IAM users.

Rotation des informations d’identification des utilisateurs IAM éventuellement non autorisés

1. Ouvrez la console IAM, puis sélectionnez Utilisateurs dans le volet de navigation.
2. Choisissez le nom du premier utilisateur IAM de la liste. La page Résumé des informations sur l’utilisateur IAM s’ouvre.
3. Dans l’onglet Autorisations, dans la section Politiques d’autorisation, recherchez celle nommée AWSCompromisedKeyQuarantineV2.Si l’utilisateur est soumis à cette politique, il faut procéder à une rotation des clés d’accès pour l’utilisateur.
4. Répétez les étapes 2 et 3 pour chaque utilisateur IAM de votre compte.
5. Supprimez les utilisateurs IAM que vous n’avez pas créés.
6. Modifiez les mots de passe de tous les utilisateurs IAM que vous avez créés et que vous souhaitez conserver.

Si vous utilisez des informations d’identification de sécurité temporaires, consultez Revoke IAM role temporary security credentials.

**Vérifiez l’historique de vos événements AWS CloudTrail pour détecter toute activité non autorisée **

1. Ouvrez la console AWS CloudTrail, puis choisissez Historique des événements dans le volet de navigation.
2. Vérifiez les activités non autorisées, telles que la création de clés d’accès, de politiques, de rôles ou d’informations d’identification de sécurité temporaires.
   Important : veillez à vérifier l’heure de l’événement pour confirmer que les ressources ont été créées récemment et qu’elles correspondent à l’activité irrégulière.
3. Supprimez les clés d’accès, les politiques, les rôles ou les informations d’identification de sécurité temporaires que vous avez identifiées comme non autorisées.

Pour en savoir plus, consultez la section Working with CloudTrail Event history.

Supprimer les ressources inconnues ou non autorisées

1. Ouvrez la console de gestion AWS.
2. Vérifiez que toutes les ressources de votre compte sont celles que vous avez lancées. Vérifiez et comparez la consommation du mois précédent à celle du mois en cours. Recherchez toutes les ressources dans toutes les régions AWS, même dans les régions où vous n’avez jamais lancé de ressources. Par ailleurs, vous devez porter une attention particulière aux types de ressources suivants :
   • Instances Amazon EC2, instances Spot et Amazon Machine Images (AMI), sans oublier les instances arrêtées
   • Groupes Auto Scaling
   • Volumes et instantanés d’Amazon Elastic Block Store (Amazon EBS)
   • Clusters Amazon Elastic Container Service (Amazon ECS)
   • Référentiels Amazon Elastic Container Registry (Amazon ECR)
   • Fonctions et couches AWS Lambda
   • Instances Amazon Lightsail
   • Domaines Amazon Route 53
   • Instances de blocs-notes Amazon SageMaker
3. Supprimez les ressources inconnues ou non autorisées. Pour savoir comment faire, consultez Comment puis-je résilier les ressources actives dont je n’ai plus besoin sur mon compte AWS ?

Important : si vous devez garder des ressources à disposition pour les enquêtes, pensez à les sauvegarder. Par exemple, si vous devez retenir une instance EC2 pour des raisons réglementaires, de conformité, ou juridiques, créez un instantané Amazon EBS avant de résilier l’instance.

Restauration de ressources sauvegardées

Si vous aviez configuré des services pour conserver des sauvegardes, récupérez ces sauvegardes à partir de leur dernier statut connu non compromis.

Pour restaurer des types précis de ressources AWS, consultez les rubriques suivantes :

• Restoring an Amazon EBS volume or an EC2 instance
• Restoring to a DB snapshot pour les instances de la base de données Amazon Relational Database Service (Amazon RDS)
• Restoring previous versions pour les versions d’objets Amazon Simple Storage Service (Amazon S3)

Vérification des informations de votre compte

Vérifiez que toutes les informations suivantes sont conformes dans votre compte :

• Nom du compte et adresse e-mail
• Coordonnées principales
• Coordonnées alternatives

Remarque : pour en savoir plus sur les bonnes pratiques en matière de sécurité des comptes AWS, consultez Quelles sont les meilleures pratiques pour sécuriser mon compte AWS et ses ressources ?

Sécurisation de l’utilisateur racine de votre compte avec la MFA

L’utilisateur racine du compte AWS dispose d’un accès privilégié aux services et ressources AWS, par conséquent, il est recommandé d’activer l’authentification multifactorielle (MFA). La MFA fournit un second facteur pour vos informations d’authentification, ce qui réduit le risque de compromission de votre mot de passe. Vous pouvez activer jusqu’à huit appareils MFA pour chaque utilisateur IAM ayant accès à la console de gestion AWS.

Remarque : l’activation de la MFA pour l’utilisateur racine affecte uniquement les informations d’identification de ce dernier. Les utilisateurs IAM du compte sont des identités distinctes dotées de leurs propres informations d’identification et chaque identité possède sa propre configuration MFA.

Pour activer la MFA, consultez Secure your root user sign-in with MFA et MFA in IAM.

Informations complémentaires

Guide de résolution des incidents de sécurité AWS

Recommandations relatives aux audits de sécurité AWS