5 attaques d’identité qui exploitent les bris d’authentification

Les méthodes d’authentification traditionnelles qui reposent sur l’intégrité des noms d’utilisateur et des mots de passe sont généralement considérées comme étant brisées. En fait, l’authentification brisée (« broken authentication ») occupe la 2e place du Top 10 de l’OWASP pour les risques de sécurité des applications. Au fur et à mesure que les entreprises commencent à transférer des données plus sensibles vers des applications cloud pour tirer parti des gains de productivité, le périmètre traditionnel s’étend jusqu’à l’endroit à partir duquel l’utilisateur se connecte.

Autrement dit, l’identité devient le périmètre. Les agents de menace ont reconnu qu’il s’agit d’une faille de sécurité et exploitent la propension naturelle des employés à faire confiance à un courriel entrant provenant d’une source familière, ou leur tendance à réutiliser les mots de passe sur des comptes personnels et professionnels. Discutons des attaques d’identité les plus susceptibles d’avoir un impact sur votre organisation.

Attaque #1 : Campagnes d’hameçonnage

Pourquoi les campagnes d’hameçonnage sont-elles une méthode d’attaque si populaire? En termes simples, les chiffres sont en faveur de l’attaquant. Une campagne d’hameçonnage à grande échelle reconnait que les agents de menace n’ont besoin d’avoir accès qu’à quelques comptes ou à un seul compte administrateur pour compromettre l’entreprise. Pourtant, avec juste une légère touche d’ingénierie sociale et une liste d’adresses courriel, les attaques d’hameçonnage peuvent compromettre avec succès 1 employé sur 20, même d’une organisation bien formée. Le vol d’identité par hameçonnage est souvent la première étape d’une chaine de cyberattaques. Selon le rapport Verizon 2017 Data Breach Investigations, 81% des atteintes à la protection des données ont été commises à l’aide d’informations d’identité volées ou faibles.

  • L’attaquant se procure une liste de courriels ou de numéros de téléphone et conçoit un appel à l’action générique qui est pertinent pour cette liste (comme une fausse page de connexion Google).
  • Le message d’hameçonnage est largement diffusé, et l’attaquant attend de voir quelles informations d’identification sont collectées.
  • L’attaquant utilise les identifiants volés pour accéder aux données qu’il recherche ou adopte cette identité pour une attaque plus ciblée sur un employé de grande valeur.
Attaque #2 : Campagne d’harponnage

L’harponnage est une forme ciblée d’hameçonnage qui comprend souvent plus de recherche dans la conception de la liste cible et du message d’hameçonnage. À l’inverse des campagnes à grande échelle, l’harponnage se concentre généralement sur un petit nombre d’employés pour éviter les filtres automatisés. Le degré d’ingénierie sociale est également plus sophistiqué, les messages plus personnels et l’appel à l’action malveillant utilise des émotions comme la curiosité, la peur ou les récompenses.

  • L’attaquant choisit ses cibles avec soin, en faisant des recherches approfondies sur les ressources disponibles telles que les médias sociaux ou la présence sur le Web.
  • L’attaquant rédige un message d’hameçonnage conçu pour paraitre légitime, comme faire semblant d’être un collègue et faire référence à une situation d’actualité, comme une fête d’entreprise récente dont l’attaquant a appris l’existence en ligne.
  • La victime est amenée à entrer ses identifiants en faisant appel à ses émotions, comme la curiosité de voir les photos derrière une fausse page de connexion.
  • L’attaquant utilise les informations d’identification de la cible de grande valeur pour accéder à des données sensibles ou exécuter l’étape suivante de son attaque.
Attaque #3 : Bourrage d’identifiants

Le bourrage d’identifiants (credential stuffing) est une forme d’attaque par force brute qui tire parti de notre lutte pour sélectionner des mots de passe uniques sur nos différents comptes. Cela n’est guère surprenant si l’on considère que l’internaute américain moyen dispose de 150 comptes en ligne nécessitant un mot de passe. Pourtant, bon nombre d’entre nous ont vu leurs identifiants de compte compromis dans le cadre d’une atteinte à la protection des données (avez-vous vérifié les vôtres récemment?) Les attaquants utilisant le bourrage d’identifiants se servent de ces identifiants compromis sur plusieurs autres sites web pour vérifier si les détails de connexion sont réutilisés. Et ils le sont souvent : 73% des mots de passe sont des doublons, selon le rapport TeleSign 2016 sur la sécurité des comptes de consommateurs. Ces types d’attaques peuvent être perpétrées à grande échelle par des robots, ce qui augmente la probabilité que ces attaques affectent votre entreprise. Selon un rapport récent d’Akamai, « plus de 40% des tentatives de connexion mondiales sont malveillantes grâce aux attaques de bourrage d’identifiants pilotées par des robots. »

  • L’attaquant acquiert des informations d’identification à partir d’un site de violation de site web ou d’un site de vidage de mots de passe.
  • Des outils automatisés sont utilisés pour tester les identifiants sur un grand nombre de sites différents.
  • Lorsqu’une connexion réussie se produit, l’attaquant récupère les données sensibles ou exécute l’étape suivante de son attaque.
Attaque #4 : Pulvérisation de mots de passe

La pulvérisation de mots de passe est une autre forme d’attaque par force brute par laquelle un attaquant profite de notre tendance à se fier à des mots de passe courants comme « password1 » – qui, selon Pwned Passwords, est apparu dans plus de 2,3 millions de fors dans une violation de données!

  • L’attaquant utilise une courte liste de mots de passe fréquemment utilisés qui correspondent à la politique de complexité du domaine.
  • Au lieu d’essayer plusieurs mots de passe pour un même utilisateur, l’attaquant utilise le même mot de passe fréquent dans plusieurs comptes, permettant d’éviter la détection.
  • Une fois que l’attaquant a réussi à se connecter, il récupère les données sensibles ou exécute l’étape suivante de son attaque.
Attaque #5 : Man-in-the-Middle (MitM)

Une attaque MitM contre une organisation est une attaque très ciblée qui peut donner lieu à une prise complète des informations d’identification et des données en transit si elle est exécutée correctement. Après avoir intercepté une connexion réseau, un attaquant peut également profiter d’un « détournement de session » qui compromet la session Web en volant le jeton de session.

  • L’attaquant intercepte une connexion réseau, souvent en tirant parti d’outils pour imiter un point d’accès sans fil légitime (comme celui qu’on trouve dans un café).
  • Si les données sont chiffrées, l’attaquant peut tenter de déchiffrer les données en incitant l’utilisateur à installer un certificat malveillant ou une autre technique.
  • Si l’attaque réussit avant l’authentification initiale, les informations d’identification peuvent être volées car l’attaquant surveille toutes les entrées utilisateur.
  • Alternativement, l’attaquant vole le jeton de session et parvient à s’authentifier dans le compte et d’exécuter l’étape suivante de son attaque.

Compte tenu de ces risques identitaires, le NIST recommande aux entreprises de mettre en place l’AMF dans le cadre de leurs directives sur l’identité numérique. Découvrez comment Okta peut aider à prévenir les attaques d’identité sur votre entreprise.

Comment l’authentification multifactorielle (AMF) peut prévenir ces attaques d’identité

Au fur et à mesure que l’identité devient le nouveau périmètre de sécurité, les entreprises qui adoptent une approche de la sécurité basée sur l’identité constatent que ces attaques peuvent être évitées sans affecter l’expérience utilisateur. Bien qu’il soit certainement important d’informer les employés de ces attaques d’identité et de mettre en œuvre les meilleures pratiques de sécurité comme le chiffrement des données et l’étiquetage des certificats, la mise en œuvre de l’AMF dans vos applications réduira considérablement les risques d’attaques réussies. L’AMF prévient les attaques d’hameçonnage en exigeant un deuxième facteur pour accéder aux données d’entreprise sensibles, comme une confirmation vers l’appareil mobile de l’utilisateur pour authentification, et empêchant du même coup l’attaquant de s’authentifier dans l’application. Par conséquent, l’AMF empêche également le bourrage d’identifiants et la pulvérisation de mots de passe, car des identifiants volés ou faibles ne sont pas suffisants pour y accéder. Si l’AMF est associée à des solutions d’identification modernes, les entreprises peuvent également établir des politiques contre l’utilisation de mots de passe communs ou compromis qui rendent les employés vulnérables à ces attaques. La minimisation des messages  incitatifs d’AMF devrait également être une considération clé, et en mettant en œuvre l’AMF adaptative moderne, les défis du deuxième facteur ne sont relevés que dans des scénarios plus risqués, par exemple lorsque la connexion se fait hors du réseau de l’entreprise. De plus, les entreprises peuvent appliquer des politiques d’AMF particulièrement strictes pour les applications critiques ou les utilisateurs privilégiés, offrant ainsi une couche de défense efficace contre les attaques d’harponnage (spear-phishing). Enfin, l’AMF peut prévenir les attaques de MitM en s’assurant qu’en cas de vol de justificatifs d’identité en transit, un deuxième facteur est toujours nécessaire pour accéder au compte. Les attaques encore plus sophistiquées qui tentent de voler un mot de passe unique dans le cadre de l’attaque peuvent être évitées en utilisant des authentificateurs plus sûrs comme une clé de sécurité U2F.

0

Qu’en pensez-vous?