À mi-chemin de 2023, le vol d’informations d’identification est toujours une épine majeure dans le flanc des équipes informatiques. Le cœur du problème est la valeur des données pour les cybercriminels et l’évolution des techniques qu’ils utilisent pour s’en emparer. Le rapport Verizon Data Breach Investigations Report (DBIR) de 2023 a révélé que 83 % des violations impliquaient des acteurs externes, presque toutes les attaques étant motivées par des raisons financières. Parmi ces violations par des acteurs externes, 49 % impliquaient l’utilisation d’informations d’identification volées.
Nous explorerons pourquoi le vol d’informations d’identification est toujours une voie d’attaque aussi attrayante (et réussie) et examinerons comment les équipes de sécurité informatique peuvent riposter au second semestre 2023 et au-delà.
Les utilisateurs sont encore souvent le maillon faible
Les caractéristiques de nombreuses cyberattaques réussies sont la détermination, l’inventivité et la patience dont font preuve les acteurs de la menace. Bien qu’un utilisateur puisse repérer certaines attaques grâce à une formation à la sécurité et à la sensibilisation, il suffit d’une attaque bien conçue pour les attraper. Parfois, tout ce qu’il faut, c’est qu’un utilisateur soit pressé ou stressé. Les acteurs de la menace créent de fausses pages de connexion, des factures falsifiées (comme dans les attaques par compromission des e-mails professionnels) et redirigent les échanges d’e-mails pour inciter l’utilisateur final à renoncer à ses informations d’identification ou à ses fonds.
Le DBIR de Verizon a noté que 74% des violations incluent l’élément humain, soit par erreur humaine, utilisation abusive de privilèges, ingénierie sociale ou informations d’identification volées. Un point de données intéressant était que 50% de toutes les attaques d’ingénierie sociale en 2022 utilisaient une technique appelée « prétexte » – un scénario inventé qui incite un utilisateur à renoncer à ses informations d’identification ou à effectuer une autre action bénéfique pour l’attaquant. Cela montre que les attaquants savent que les utilisateurs sont souvent le maillon faible et qu’ils s’engagent à utiliser l’ingénierie sociale pour mettre la main sur les informations d’identification. Il s’agit souvent d’une voie plus facile vers une organisation que de pirater un élément technique d’un système informatique.
Violation d’un système par le biais d’informations d’identification volées
Les grandes organisations disposant de gros budgets de sécurité ne sont pas à l’abri des cyberattaques, même celles qui travaillent dans l’industrie de la cybersécurité. Norton Lifelock Password Manager propose une étude de cas récente sur les longueurs que les attaquants iront pour obtenir des mots de passe. Comme l’a noté le procureur général de l’État du Maine, Norton a informé près de 6 500 clients au début de 2023 que leurs données pourraient avoir été compromises. Grâce à une attaque par force brute utilisant des informations d’identification volées, les attaquants ont finalement trouvé des mots de passe fonctionnels et se sont rapidement connectés aux comptes clients, accédant potentiellement aux secrets clients stockés.
Bien que Norton IT ait alerté sur un grand nombre d’échecs de connexion et ait pris des mesures rapides, les clients de Norton Lifelock Password Manager étaient toujours compromis. Cela souligne la menace que représentent les informations d’identification volées dans les attaques. Quelle que soit la force de la sécurité d’une entreprise, il est difficile d’empêcher la réutilisation d’un mot de passe volé à une autre organisation moins protégée.
Comme l’a montré le rapport Verizon, près de la moitié (49 %) des violations de l’année dernière provenaient d’informations d’identification volées. Alors, où les attaquants achètent-ils ces informations d’identification piratées ? Et comment pouvez-vous savoir si vos utilisateurs ont également des mots de passe compromis ?
Trouver des secrets volés sur les marchés noirs
À l’instar des marchés noirs évolués d’autrefois, les marchés noirs en ligne vendant des informations d’identification volées sont de plus en plus courants. D’énormes ensembles de données composés de centaines de milliers d’informations d’identification volées sont disponibles à la vente tout en coûtant des cacahuètes à côté du gain possible qu’un ransomware réussi ou une attaque BEC pourrait avoir. Ces listes sont particulièrement utiles pour les attaquants non techniques qui n’ont pas les compétences nécessaires pour pirater eux-mêmes les systèmes informatiques.
Le récent démantèlement de Genesis Market a montré comment ces marchés évoluent. Proposant des «empreintes digitales numériques» à la vente, au lieu d’un simple nom d’utilisateur et mot de passe compromis, des identités continuellement mises à jour étaient disponibles pour un abonnement. Plus qu’un simple ensemble d’informations d’identification volées, ces empreintes digitales associées à un accès VPN proche qui permet à un attaquant un accès bien plus large que les informations d’identification volées seules peuvent offrir.
La nature souterraine ombragée de ces marchés les rend difficiles à découvrir et à supprimer. L’un peut être éradiqué et un autre surgir quelques jours plus tard. Alors que le coût médian d’une attaque par compromission de messagerie professionnelle s’élève à 50 000 USD rien qu’en 2023, l’achat d’informations d’identification volées est d’autant plus attrayant pour les pirates.
Protégez votre entreprise contre les identifiants volés
Avec 49 % des violations impliquant des identifiants volés et des marchés noirs numériques en évolution, tels que Genesis, les outils dédiés à la détection des mots de passe compromis sont essentiels pour les services informatiques surchargés. La politique de mot de passe Specops avec Breached Password Protection aide les utilisateurs à créer des mots de passe plus forts dans Active Directory avec des commentaires dynamiques et informatifs des clients et bloque l’utilisation de plus de 3 milliards de mots de passe compromis uniques.
Cela inclut les listes trouvées sur des sites Web sombres tels que Genesis et les mots de passe utilisés dans les attaques en ce moment sur les comptes de pot de miel Specops. Les équipes informatiques bénéficient d’une intégration AD étroite et d’interfaces utilisateur faciles à utiliser pour se conformer aux politiques de mot de passe complexes et empêcher l’utilisation d’informations d’identification faibles et compromises.
Vous souhaitez faire un premier pas vers une meilleure sécurité des mots de passe ? Analysez votre Active Directory avec Specops Password Auditor pour avoir une visibilité sur le nombre de mots de passe compromis qui pourraient déjà se trouver dans votre environnement existant. Commencez dès aujourd’hui à fermer les voies d’attaque faciles pour éviter des compromis majeurs à l’avenir.
