Les attaques basées sur les identités sont aujourd’hui l’une des menaces les plus graves qui pèsent sur les entreprises.
D’après l’équipe de threat intelligence X-Force d’IBM, les cybercriminels s’appuient de plus en plus sur des identités volées — et moins sur la technique pure — pour s’infiltrer dans les systèmes des entreprises. Mais quels sont les types d’attaques auxquels vous devez faire attention ? Que peut faire votre entreprise pour protéger au mieux vos employés de ces attaques ?
Dans cet article, nous allons explorer les méthodes utilisées par les hackers pour mener des attaques basées sur les identités, ainsi que l’approche multicouche à déployer pour atténuer le risque.
L’essor des attaques basées sur les identités
Le nombre d’attaques basées sur les identités ne cesse d’augmenter. Comme le montre un rapport CrowdStrike, 80 % des attaques sont le fait d’un vol d’identité ou d’identifiants. Un rapport IBM montre que les attaques liées aux identités constituent désormais le premier vecteur de cybercriminalité au monde, avec une augmentation annuelle de 71 %. Face à ces statistiques éloquentes, on comprend facilement que les attaques basées sur les identités représentent un problème de plus en plus pressant pour les entreprises.
Types d’attaques basées sur les identités
Les cybercriminels ne s’appuient pas sur un seul type d’attaque : ils mettent en œuvre plusieurs tactiques jusqu’à trouver une brèche.
Les formes les plus courantes d’attaques basées sur les identités sont les suivantes :
Campagnes de phishing à grande échelle
Le phishing est peut-être la forme la plus courante d’attaque basée sur les identités. Pour ces campagnes de grande ampleur, le cybercriminel se procure une longue liste d’adresses e-mail.
Il crée puis envoie un message de phishing générique contenant un appel à l’action spécifique. Par exemple, il peut s’agir d’envoyer au destinataire une fausse page de connexion. Il espère qu’au moins quelques personnes tomberont dans le piège, se rendront sur le faux site Web et renseigneront leurs identifiants.
L’attaquant peut alors utiliser ce nom d’utilisateur et ce mot de passe légitimes pour accéder à des données sensibles.
Campagnes de spear-phishing
Le spear-phishing diffère des campagnes de phishing standard en ce qu’il cible des individus spécifiques au lieu de s’en prendre à un grand nombre de personnes.
Les attaquants choisissent soigneusement leur cible et effectuent des recherches minutieuses à leur sujet en s’aidant des réseaux sociaux et du Web afin de récolter un maximum d’informations personnelles sur leur victime. Ils rédigent ensuite un message hautement personnalisé faisant référence à certains détails spécifiques (en mentionnant par exemple une conférence récente à laquelle la cible a participé) afin de persuader leur victime.
L’attaquant cherche à pousser la victime à effectuer une action spécifique (se rendre sur une fausse page de connexion ou cliquer sur un lien malveillant, par exemple) dans le but de voler ses identifiants ou d’installer un malware pour prolonger l’attaque.
Credential stuffing
Les habitudes ont la vie dure, et nombreux sont les utilisateurs qui recyclent le même mot de passe sur plusieurs comptes.
Une enquête financée par Microsoft a conclu que 73 % de la population utilisait des mots de passe identiques sur leurs comptes personnels et leurs comptes professionnels.
Les attaques par « credential stuffing » (ou bourrage d’identifiants) exploitent cette faiblesse : leurs auteurs récupèrent des identifiants issus d’anciennes compromissions de sites Web ou en les achetant sur des sites de revente de mots de passe, puis ils utilisent des outils automatisés pour essayer ces identifiants sur différents sites Web.
Password spraying
Autre tendance particulièrement humaine : la simplicité. Nous préférons les mots de passe faciles à retenir aux combinaisons aléatoires de lettres, chiffres et symboles.
Sachant cela, les attaquants déploient des attaques de type « password spraying » (ou pulvérisation de mots de passe) : ils utilisent des listes de mots de passe courants répondant à la politique de complexité du domaine ciblé.
Au lieu d’essayer plusieurs mots de passe pour un utilisateur spécifique, le cybercriminel essaie le même mot de passe courant sur plusieurs comptes en vue d’échapper à toute détection.
Techniques « Pass-the-hash »
Les attaques « Pass-the-hash » sont de plus en plus courantes dans les entreprises : One Identity rapporte que 95 % des participants à une enquête sur le sujet ont déjà subi des perturbations de leur activité à la suite d’une attaque pass-the-hash.
L’attaquant met la main sur le hachage de mot de passe d’un utilisateur, récupéré à partir d’un système compromis. Ensuite, il utilise ce hachage pour s’authentifier auprès d’autres systèmes sans avoir à reconstruire le mot de passe lui-même.
Cette technique permet même aux attaquants de pivoter au sein d’un réseau pour accéder à des données sensibles.
Attaques Man-in-the-Middle (MitM)
Dans une attaque MitM (ou « homme du milieu »), l’attaquant intercepte une connexion au réseau, généralement en se faisant passer pour un point d’accès WiFi légitime.
Lorsqu’un utilisateur se connecte à ce point d’accès malveillant, l’attaquant peut surveiller toutes ses actions, y compris la saisie d’identifiants.
S’il parvient à ses fins, l’attaquant est en mesure de voler les identifiants ou les jetons de session de sa victime afin de s’authentifier sur les comptes de celle-ci et d’accéder à des données sensibles ou de poursuivre son attaque.
Une approche multicouche de la sécurité
À l’heure où l’identité incarne le nouveau périmètre de sécurité des entreprises, celles-ci doivent s’occuper en urgence de la sécurité des comptes et des mots de passe. Les identifiants faibles, recyclés et compromis représentent souvent le premier point d’entrée pour les attaquants. En fait, le rapport d’enquête Verizon 2023 sur les compromissions de données indique que 50 % de l’ensemble des violations trouvent leur origine dans des identifiants volés ou faibles.
Pour atténuer le risque associé aux attaques basées sur les identités, les entreprises doivent adopter une approche multicouche de la sécurité. Cette approche passe par plusieurs mesures :
Mettre en place des politiques de mots de passe forts : les politiques de mots de passe forts sont essentielles pour s’assurer que les individus n’utilisent pas de mots de passe faibles faciles à deviner. Vous pouvez envisager de déployer un logiciel de gestion des politiques de mot de passe, comme Specops Password Policy, qui vous aide à appliquer les exigences relatives à la force des mots de passe et empêche la prolifération des mots de passe faibles.
Par ailleurs, Specops Password Policy confronte en permanence votre Active Directory à notre base de données comptant plus de quatre milliards de mots de passe compromis connus. Les utilisateurs dont le mot de passe est compromis reçoivent une notification et sont immédiatement invités à changer leur mot de passe.
Auditer régulièrement votre Active Directory : pour protéger vos comptes, vous devez auditer régulièrement votre environnement Active Directory pour y rechercher les mots de passe faibles ou compromis.
En outre, vous devez identifier et supprimer de façon proactive les comptes obsolètes ou inactifs, susceptibles d’être exploités par les hackers.
Les audits vous aident à identifier les vulnérabilités et à mettre en place des actions appropriées. Par exemple, Specops Password Auditor est un outil gratuit en lecture seule qui recherche les vulnérabilités liées aux mots de passe dans votre Active Directory. Vous bénéficiez ainsi d’un aperçu facile à comprendre des risques liés aux mots de passe au sein de votre entreprise.
Mettre en œuvre l’authentification multifacteur (MFA) : assurez-vous que l’authentification multifacteur est déployée pour tous vos utilisateurs finaux sur toutes vos applications.
La MFA ajoute une couche de sécurité supplémentaire en demandant aux utilisateurs de fournir un second critère d’authentification en plus de leur nom d’utilisateur et mot de passe : il peut s’agir d’un mot de passe à usage unique envoyé sur téléphone mobile ou de données biométriques, par exemple.
Se protéger de l’ingénierie sociale : le service d’assistance de votre entreprise est une cible de choix pour les hackers : après tout, les membres de l’équipe informatique qui répondent aux téléphones et aux messages envoyés au helpdesk sont les gardiens des procédures de réinitialisation de mot de passe. Si un attaquant est capable de mener à bien une attaque par ingénierie sociale sur votre service d’assistance, il peut accéder à vos systèmes et faire des ravages.
Demandez plutôt à MGM Resorts : après que des hackers ont réussi à accéder aux systèmes de l’entreprise, cette dernière a connu des interruptions de service à répétition, des arrêts de plusieurs jours et des pertes estimées à plusieurs millions de dollars.
Les solutions automatisées peuvent fournir à votre service d’assistance une couche de protection supplémentaire. Par exemple, Specops Secure Service Desk aide le personnel de votre helpdesk à vérifier l’identité des utilisateurs, ce qui réduit l’exposition aux attaques par ingénierie sociale.
Redoublez de vigilance face aux menaces en constante évolution
Les entreprises doivent rester vigilantes pour se protéger de façon pérenne contre les attaques basées sur les identités.
Adoptez une approche multifactorielle pour maintenir le risque auquel vous êtes exposé à un niveau faible.
Déployez des politiques de mots de passe robustes, auditez régulièrement vos comptes, mettez en place la MFA et utilisez des outils comme les solutions Specops Software, et vous réduirez le risque de succomber à ces attaques de plus en plus sophistiquées et envahissantes.
Vous cherchez à sécuriser vos mots de passe dans toute votre entreprise ? Contactez-nous pour échanger avec un expert.