Attaques basées sur les identifiants : types principaux, fonctionnement et stratégies de défense

Les attaques basées sur les identifiants demeurent une menace importante pour les organisations de toutes tailles. Selon le Rapport d’enquête sur les violations de données de Verizon (DBIR), les identifiants perdus ou volés constituent le moyen le plus courant pour les cybercriminels d’obtenir un accès initial aux systèmes. Google Cloud a indiqué que les systèmes avec des identifiants faibles ou inexistants étaient le principal vecteur d’accès initial, représentant 47 % des attaques d’environnements cloud au cours du premier semestre de l’année dernière dans leur Rapport Threat Horizon. Ces statistiques soulignent le besoin critique pour les professionnels informatiques et les administrateurs système de comprendre et d’atténuer ces attaques.

Les attaques basées sur les identifiants sont privilégiées par les pirates en raison de leur simplicité, de leur taux de réussite élevé et des récompenses importantes qu’elles offrent. En comprenant ces motivations, les professionnels informatiques et les administrateurs système peuvent mieux se préparer et mettre en œuvre des défenses efficaces pour protéger leur organisation. Nous couvrirons les types d’attaques par mot de passe les plus courants, leur fonctionnement et où vous devriez renforcer vos défenses pour éviter d’être compromis.

Qu’est-ce qu’une attaque basée sur les identifiants ?

Une attaque basée sur les identifiants est un type de cyberattaque où un adversaire tente de voler et d’utiliser à mauvais escient les identifiants d’utilisateur, tels que les noms d’utilisateur et mots de passe, pour obtenir un accès non autorisé aux systèmes, réseaux et applications. L’objectif principal de l’attaquant est de contourner les mesures de sécurité et d’usurper l’identité d’utilisateurs légitimes, obtenant ainsi l’accès à des informations et ressources sensibles. Ces attaques conduisent fréquemment à des violations de données, des pertes financières et des dommages à la réputation.

Types d’attaques par mot de passe

Les attaques ciblant les mots de passe se présentent sous plusieurs formes, chacune avec ses propres méthodes et implications. Voici quelques-uns des types les plus courants :

Attaques par force brute

Les techniques de force brute impliquent d’essayer systématiquement toutes les combinaisons possibles de caractères jusqu’à ce que le mot de passe correct soit trouvé. Bien que chronophages, elles peuvent être efficaces contre les mots de passe faibles ou courts.

Attaques par dictionnaire

Une attaque par dictionnaire de mots de passe implique l’utilisation d’une liste de mots, phrases ou mots de passe précédemment utilisés courants pour tenter systématiquement de se connecter au compte d’un utilisateur. Cette méthode repose sur le fait que beaucoup de personnes utilisent des mots de passe simples et facilement devinables, en faisant un moyen relativement rapide et efficace pour les attaquants d’obtenir un accès non autorisé.

Attaques hybrides

Une attaque par mot de passe hybride combine des éléments des attaques par dictionnaire et des attaques par force brute en utilisant une liste de mots courants et en y ajoutant divers caractères, chiffres ou autres variations. Cette approche augmente la probabilité de deviner des mots de passe complexes tout en restant plus efficace qu’une attaque par force brute pure.

Attaques par masque

Une attaque par mot de passe par masque utilise des modèles prédéfinis, tels que des jeux de caractères et positions spécifiques, pour deviner systématiquement les mots de passe. Cette méthode réduit l’espace de recherche en se concentrant sur les structures de mots de passe courantes, la rendant plus efficace qu’une attaque par force brute tout en restant efficace contre les mots de passe complexes.

Kerberoasting

Le Kerberoasting est une attaque basée sur les identifiants qui cible les comptes de service dans les environnements Active Directory. Elle implique de demander des tickets de service pour les comptes de service puis de les déchiffrer hors ligne pour obtenir le mot de passe du compte.

Bourrage d’identifiants

Les attaquants utilisent des listes d’identifiants volés d’une violation pour tenter d’accéder à d’autres comptes. Les méthodes de bourrage d’identifiants reposent sur la pratique courante des utilisateurs de réutiliser les mots de passe sur plusieurs sites.

Pulvérisation de mots de passe

Similaire aux techniques de force brute, mais au lieu d’essayer de nombreux mots de passe sur un compte, les attaquants essaient quelques mots de passe courants sur de nombreux comptes. Une méthode de pulvérisation de mots de passe est moins susceptible de déclencher des verrouillages de compte. Microsoft a récemment été touché par un piratage réussi par pulvérisation de mots de passe.

Rançongiciel

Bien que le rançongiciel ne soit pas strictement une attaque basée sur les identifiants, elles commencent souvent de cette façon. Une étude a révélé que dans presque 40 % des attaques de rançongiciel l’année dernière, les cybercriminels ont utilisé des identifiants légitimes ou des attaques par force brute pour obtenir l’accès initial aux environnements des victimes.

Comment les attaquants volent-ils les identifiants ?

1. Hameçonnage : Cela implique de tromper les utilisateurs pour qu’ils révèlent leurs identifiants par le biais d’e-mails, sites web ou messages trompeurs. Les attaques d’hameçonnage utilisent souvent l’ingénierie sociale pour exploiter la psychologie humaine et la confiance.
2. Enregistrement de frappe : Logiciel malveillant qui enregistre les frappes au clavier pour capturer les identifiants de connexion lorsqu’ils sont tapés. Les enregistreurs de frappe peuvent être installés par divers moyens, y compris les e-mails malveillants et les téléchargements.
3. Attaques de l’homme du milieu (MitM) : Les attaquants interceptent et modifient la communication entre deux parties pour voler les identifiants. Cela peut se produire sur des réseaux non sécurisés ou par le biais d’appareils compromis.
4. Courtiers d’accès initial : Les courtiers d’accès initial obtiennent des identifiants volés par des moyens comme les trois méthodes ci-dessus, puis les vendent sur le dark web et les forums souterrains ou par des canaux privés au plus offrant.

Comment fonctionne une attaque basée sur les identifiants

Pour comprendre comment prévenir les attaques basées sur les identifiants, il est essentiel de savoir comment elles se déroulent typiquement. Les techniques et outils exacts utilisés peuvent varier, mais il y a un processus typique que nous nous attendrions à voir dans la plupart des attaques reposant sur les identifiants. Voici une ventilation étape par étape d’un scénario d’attaque courant :

1. Reconnaissance : L’attaquant recueille des informations sur l’organisation cible, telles que les noms d’employés, adresses e-mail et services couramment utilisés. Cela peut être fait par l’ingénierie sociale, les données publiques ou les violations précédentes.
2. Collecte d’identifiants : L’attaquant utilise diverses méthodes pour obtenir des identifiants. Cela pourrait impliquer de voler des mots de passe via des logiciels malveillants ou l’hameçonnage. Ou ils peuvent choisir d’essayer une attaque par force brute ou utiliser des listes de mots de passe violés connus et tenter le bourrage d’identifiants.
3. Tentative d’accès : Avec les identifiants choisis, l’attaquant tente de se connecter aux systèmes ou applications de la cible. Il utilisera probablement des outils automatisés pour accélérer ce processus.
4. Escalade de privilèges : Une fois à l’intérieur, l’attaquant cherche des moyens d’escalader ses privilèges. Cela pourrait impliquer d’exploiter des vulnérabilités, d’utiliser des identifiants volés supplémentaires ou l’ingénierie sociale.
5. Mouvement latéral : L’attaquant peut se déplacer latéralement dans le réseau pour accéder à d’autres systèmes et ressources, augmentant la portée de la violation. L’un des avantages des identifiants volés est que l’attaquant peut apparaître comme un utilisateur final légitime.
6. Exfiltration de données/Déploiement de logiciels malveillants : Avec des privilèges élevés, l’attaquant peut accéder et exfiltrer des données sensibles, telles que des dossiers financiers, des informations personnelles ou de la propriété intellectuelle. Il peut choisir de déployer des logiciels espions ou des rançongiciels à ce stade.
7. Effacement des traces : Pour éviter la détection, l’attaquant peut supprimer les journaux, installer des portes dérobées ou utiliser d’autres techniques pour effacer ses traces. Certains attaquants persisteront dans le système d’une organisation pendant longtemps sans être détectés.

Y a-t-il des mots de passe compromis dans votre réseau ?

Vous pouvez découvrir combien de vos utilisateurs finaux utilisent des mots de passe violés avec un scan rapide de votre Active Directory avec notre outil d’audit gratuit : Specops Password Auditor. L’outil est en lecture seule et ne stocke pas les données d’Active Directory, ni ne fait de modifications à Active Directory. Vous obtiendrez un rapport exportable facile à comprendre détaillant les vulnérabilités liées aux mots de passe qui pourraient être utilisées comme points d’entrée pour les attaquants. Téléchargez gratuitement ici.

Pourquoi les pirates privilégient-ils les attaques basées sur les identifiants ?

Les compromissions de comptes ont représenté presque un tiers des cyberattaques mondiales l’année dernière, en faisant le vecteur d’accès initial le plus courant pour les acteurs de menace, selon le rapport Threat Intelligence Index d’IBM X-Force. Les pirates privilégient les attaques basées sur les identifiants pour plusieurs raisons convaincantes, en faisant une menace prévalente et persistante dans le paysage de la cybersécurité.

« Ce que vous voyez vraiment, c’est un moment de révélation de la part des acteurs de menace dans le passage à quelque chose qui fonctionne », a déclaré Charles Henderson, associé directeur mondial et responsable d’IBM X-Force. « Ce que cela établit, c’est que les criminels ont compris que les identifiants valides sont le chemin de moindre résistance, et le moyen le plus facile d’entrer. »

Voici un examen plus approfondi de pourquoi ces attaques sont si attrayantes pour les acteurs malveillants :

1. Facilité d’exécution

Les attaques basées sur les identifiants sont relativement simples à réaliser, surtout comparées à des méthodes plus complexes comme les exploits zero-day ou les logiciels malveillants avancés. Les outils et techniques pour ces attaques sont largement disponibles et peuvent être facilement automatisés, réduisant le temps et l’effort requis par l’attaquant.

2. Taux de réussite élevé

Le taux de réussite des attaques basées sur les identifiants est élevé en raison des comportements humains courants et des pratiques organisationnelles. Beaucoup d’utilisateurs réutilisent les mots de passe sur plusieurs comptes, et certaines organisations ont des politiques de mots de passe faibles. Cela facilite l’accès des attaquants à plusieurs systèmes avec un seul ensemble d’identifiants.

3. Faible risque de détection

Beaucoup de mesures de sécurité traditionnelles, telles que les pare-feu et les logiciels antivirus, sont conçues pour détecter et bloquer le trafic ou les fichiers malveillants. Les attaques basées sur les identifiants imitent souvent le comportement d’utilisateur légitime, les rendant plus difficiles à détecter. Quand un attaquant utilise des identifiants valides, il peut se fondre dans le trafic normal et éviter de déclencher des alertes de sécurité. Cela leur permet d’opérer furtivement et pendant des périodes prolongées.

4. Rentabilité

Pour les pirates, les attaques basées sur les identifiants sont rentables. Elles nécessitent des ressources minimales et peuvent être exécutées en utilisant des outils gratuits ou peu coûteux. Une fois à l’intérieur d’un système, les attaquants peuvent accéder à une richesse de données précieuses, y compris des dossiers financiers, des informations personnelles et de la propriété intellectuelle. Les récompenses potentielles, telles que l’accès à des données sensibles ou le gain financier, dépassent souvent largement les coûts.

5. Large gamme de cibles

Les attaques basées sur les identifiants peuvent cibler une large gamme de systèmes et services, des applications web et comptes e-mail aux réseaux internes et services cloud. Cette polyvalence en fait un outil versatile dans l’arsenal d’un pirate, leur permettant d’exploiter plusieurs points d’entrée.

Trois attaques d’identifiants bien connues

1. LinkedIn (2012) : Un attaquant a volé des millions d’identifiants d’utilisateur, y compris les adresses e-mail et mots de passe hachés, et les a ensuite publiés sur le dark web. Cette violation a souligné l’importance de politiques de mots de passe robustes et de l’AMF.
2. Uber (2016) : Les pirates ont accédé aux données personnelles de 57 millions d’utilisateurs et chauffeurs Uber en utilisant des identifiants volés d’un dépôt GitHub. Uber a payé une rançon pour garder la violation secrète, ce qui a ensuite conduit à des problèmes juridiques et de réputation.
3. Capital One (2019) : Un ancien employé d’Amazon a utilisé un pare-feu mal configuré pour accéder aux serveurs de Capital One et voler les informations personnelles de plus de 100 millions de clients. L’attaquant avait accès à des identifiants mal stockés, conduisant à l’une des plus grandes violations de données de l’histoire.

Comment prévenir les attaques par mot de passe

Prévenir les attaques basées sur les identifiants nécessite une approche multicouche qui combine solutions techniques, politiques et éducation des utilisateurs. Voici quelques stratégies clés :

1. Authentification multifacteur (AMF) : L’AMF ajoute une couche supplémentaire de sécurité en exigeant que les utilisateurs fournissent deux facteurs de vérification ou plus pour accéder. Cela réduit significativement le risque d’accès non autorisé même si les mots de passe sont compromis. L’AMF est disponible pour tous types d’accès et de comptes, aussi votre connexion Windows. L’AMF devrait être non négociable et est sans doute la mesure la plus importante de cette liste.
   L’AMF rend beaucoup plus difficile pour les attaquants d’obtenir un accès non autorisé, même s’ils ont des identifiants volés. Cependant, l’AMF n’est pas un moyen infaillible de se protéger contre les attaques basées sur les identifiants. Les attaquants peuvent encore contourner l’AMF par des méthodes comme l’hameçonnage, l’ingénierie sociale ou l’exploitation de vulnérabilités dans l’implémentation de l’AMF.
2. Politiques de mots de passe robustes : Imposez l’utilisation de phrases de passe robustes et uniques. Cela réduit grandement les chances que les comptes d’utilisateur soient compromis par les techniques de force brute.
3. Éducation des utilisateurs : Formez les employés à reconnaître et éviter les tentatives d’hameçonnage, et à utiliser des pratiques sécurisées lors de la manipulation des identifiants. Une formation régulière de sensibilisation à la sécurité peut aider à réduire le risque que les identifiants tombent entre de mauvaises mains en raison d’une erreur humaine.
4. Audits et surveillance réguliers : Effectuez des audits réguliers des comptes d’utilisateur et surveillez l’activité de connexion inhabituelle. Implémentez des systèmes de détection d’intrusion (IDS) et des outils de gestion des informations et événements de sécurité (SIEM) pour détecter et répondre aux menaces potentielles.
5. Architecture réseau sécurisée : Utilisez des protocoles réseau sécurisés et chiffrez les données en transit pour prévenir les attaques de l’homme du milieu. Segmentez votre réseau pour limiter l’impact d’une violation.
6. Plan de réponse aux incidents : Développez et maintenez un plan de réponse aux incidents pour rapidement adresser et atténuer l’impact d’une attaque basée sur les identifiants. Testez et mettez à jour régulièrement le plan pour vous assurer qu’il reste efficace.
7. Vérifiez les identifiants compromis : Même les mots de passe robustes peuvent être volés. Specops Password Policy scanne continuellement votre Active Directory contre une base de données de plus de quatre milliards de mots de passe compromis uniques. Les utilisateurs finaux avec des mots de passe violés sont alertés et forcés de changer vers un nouveau mot de passe sûr. Ne laissez pas votre organisation vulnérable aux attaques basées sur les identifiants. Contactez-nous et nous vous configurerons un essai gratuit.