Compromissions d'identifiants et d'identités : des attaques simples mais dévastatrices

Parmi les cyberattaques enregistrées au cours des dernières années, certaines des plus marquantes se distinguent par leur caractère destructeur et leur simplicité déconcertante.

On imagine souvent que les opérations de cyberattaques de grandes envergures impliquent des méthodes sophistiquées, faites d’algorithmes d’une extrême complexité. Mais en réalité, les plus grandes menaces viennent en général d’un élément plus simple et ô combien plus humain : nos propres identifiants.

Selon la CISA (Cybersecurity and Infrastructure Security Agency), plus de la moitié des attaques menées contre des pouvoirs publics et des infrastructures critiques exploitent des identifiants valides. Les identifiants dérobés sont même à l’origine de 86% des compromissions de sécurité touchant les plateformes et applications web (sites d’e-commerce, services de messagerie électronique, plateformes de stockage dans le cloud, réseaux sociaux, etc.).

Credential stuffing : le choix de la facilité

Parmi les techniques les plus récurrentes, la technique dite du credential stuffing n’est ni nouvelle ni particulièrement innovante : les attaquants récupèrent des noms d’utilisateurs et des mots de passe volés, puis utilisent des outils automatisés pour les tester sur différents sites web.

Pourquoi cette méthode est-elle efficace ? Parce que nous avons tendance à privilégier la commodité à la sécurité, en réutilisant les mêmes identifiants ad vitam æternam.

S’il est communément admis que la réutilisation des mots de passe pose un risque de sécurité, cela n’empêche pas les utilisateurs de le faire. Selon une étude menée par LastPass, 62% des professionnels utilisent encore le même mot de passe pour se connecter à plusieurs comptes. Le credential stuffing représente donc une véritable aubaine pour les attaquants : une stratégie à la fois simple, attractive et efficace.

Acheter des exploits zero-day coûteux, dénicher un hacker de génie ou simplement réutiliser des mots de passe obtenus ailleurs… pour les groupes cyber, le choix est vite fait. Et pourquoi en serait-il autrement ?

Même les groupes APT (menaces persistantes avancées), connus pour leurs tactiques sophistiquées, débutent par des méthodes plus économiques telles que la réutilisation d’identifiants. Ils réservent ainsi leur arsenal d’exploits zero-day, plus coûteux, aux situations dans lesquelles les techniques de base ont échoué.

Le credential stuffing touche aussi les grands groupes, tous secteurs confondus. Ces derniers mois, des incidents majeurs chez Orange Espagne ou encore PayPal ont ainsi abouti à la compromission de dizaines de milliers de comptes. Même Norton LifeLock, une entreprise de cybersécurité spécialisée dans la protection des identités, n’a pu y échapper : des hackers ont exploité des identifiants pour accéder aux gestionnaires de mots de passe des clients. 

Phishing : retour aux fondamentaux

Le credential stuffing n’est que la face visible des menaces qui pèsent sur les identités.

D’autres attaques très répandues, comme le phishing et l’ingénierie sociale, surfent aussi sur les faiblesses de la nature humaine et notre relatif laxisme quant aux mesures de sécurité essentielles. Prenons les campagnes de phishing : une technique aussi vieille qu’Internet, mais non moins redoutable. En se faisant passer pour des interlocuteurs légitimes, les phishers incitent les utilisateurs à leur révéler des informations sensibles, telles que des identifiants et des données personnelles. Les cybercriminels raisonnent ainsi : "sous quel prétexte ou quelle arnaque pouvons-nous inciter nos cibles à nous répondre et, in fine, à leur soutirer des informations de valeur ?".

Compromissions d’identifiants cloud et utilisateur

Pour prendre la mesure d’une compromission, il faut distinguer deux types de cibles : d’une part, les identifiants d’utilisateurs, de l’autre, les identifiants cloud. En effet, les dommages potentiels et la stratégie de réponse diffèrent selon la nature de la compromission. Les attaques par "credential stuffing" lancées contre des comptes d’utilisateurs individuels ont un impact certain, mais généralement limité à ces comptes.

Par exemple, si un compte de messagerie personnel est compromis, l’attaquant peut accéder aux e-mails, aux contacts et utiliser les informations ainsi glanées pour mener d’autres campagnes de phishing. Toutefois, les dommages sont globalement restreints aux données et aux privilèges de cet utilisateur spécifique. Une compromission d’identifiants cloud peut quant à elle entraîner des conséquences beaucoup plus lourdes.

Ces identifiants présentent souvent des niveaux d’accès plus élevés, que les attaquants exploitent pour obtenir des droits d’accès privilégiés. Cette escalade des privilèges leur permet d’accéder non seulement aux données de l’utilisateur concerné, mais aussi potentiellement aux données de chaque utilisateur de l’infrastructure cloud. En compromettant des identifiants cloud, les attaquants obtiennent une sorte de passe-partout qui leur donne accès à tous les systèmes et données sensibles de l’environnement.

Les dangers des compromissions de clés d’accès

D’après notre équipe de recherche, l’une des principales méthodes de compromission des environnements consiste à utiliser des clés d’accès AWS exposées dans des référentiels de code. Ce type d’exposition survient lorsque les développeurs incluent par inadvertance des clés sensibles dans le code source public, une erreur dont les cybercriminels s’empressent de tirer profit.

Une fois ces clés entre leurs mains, les attaquants peuvent les utiliser pour accéder aux ressources AWS. Parfois, les hackers vont plus loin et créent des profils de connexion qui leur permettent d’accéder manuellement à la console d’administration AWS, ce qui leur permet d’étendre encore leur emprise sur l’environnement cloud infiltré. Ils ont alors toute latitude pour manipuler les ressources cloud, accéder aux données sensibles, voire créer des instances malveillantes.

L’authentification multifacteur (MFA) est-elle la solution ?

La plupart des responsables sécurité recommandent de bien appliquer les pratiques fondamentales de protection des identifiants et des identités, en particulier l’authentification multifacteur (MFA). En effet, en respectant les principes de sécurité de base, que ce soit à titre personnel ou professionnel, il est possible de protéger ses données contre la grande majorité des menaces. Cela passe notamment par des contrôles efficaces des identités, comme des clés d’accès et des méthodes MFA performantes.

Toutefois, il faudra malheureusement s’attendre à une recrudescence des attaques par phishing tant que les utilisateurs n’auront pas adopté de techniques MFA plus solides, à l’image de FIDO2, une série de normes technologiques visant à réduire le recours aux mots de passe pour la sécurité en ligne.

Comment protéger efficacement nos identifiants ?

Si l’authentification MFA s’avère indispensable, elle ne constitue en revanche qu’une pièce du puzzle. Nous devons modifier nos habitudes et utiliser la technologie à notre avantage pour prévenir et détecter les menaces. Dans ce contexte, la pédagogie joue un rôle essentiel. Sensibiliser les utilisateurs aux dangers de la réutilisation d’identifiants et promouvoir l’utilisation de gestionnaires de mots de passe sécurisés peut contribuer à réduire de façon significative les vulnérabilités. Des mots de passe robustes et uniques pour chaque compte sont les premiers remparts contre la compromission des identifiants. Mais pour maîtriser réellement la sécurité des identités, les entreprises doivent aussi compter sur l’automatisation et les analyses intelligentes.

Les menaces qui pèsent sur les identités sont très élusives. Il est donc important de surveiller activement les activités humaines et autres au sein de votre environnement pour détecter les comportements inhabituels, symptomatiques d’une attaque en cours.

C’est pourquoi les entreprises optent pour des plateformes de sécurité qui intègrent l’intelligence artificielle et le machine learning pour décrypter les comportements utilisateurs et signaler rapidement toute anomalie.