Les principaux vecteurs d’attaque des comptes privilégiés

Ces dernières années, quelques-unes des entreprises les plus renommées au monde ont été victimes d’une série de compromissions de données dévastatrices. Chaque compromission induit des coûts faramineux en termes de préjudices financiers et de réputation.

Mais ce que vous ignorez peut-être, c’est que nombre de ces compromissions ont commencé par une cyberattaque ayant réussi à exploiter un compte privilégié mal sécurisé. 

Les grandes entreprises comptent généralement des milliers de comptes privilégiés. Et ils sont souvent laissés sans surveillance. Ce peut aussi bien être des initiés, d’anciens salariés, des hackers et des criminels financés par les états qui exploitent ces comptes privilégiés non gérés. Ils peuvent alors avoir accès anonymement et extraire les données les plus stratégiques de votre entreprise.

Les entreprises doivent s’assurer que leurs comptes privilégiés sont sûrs et que tous les identifiants de ces comptes stratégiques sont continuellement mis à jour. Et cela exige de savoir comment ces comptes privilégiés sont attaqués.

Voici six des vecteurs d’attaque de compte privilégié les plus courants

1. Les comptes partagés 

Pour simplifier et accélérer les choses, les admins IT réutilisent souvent le même mot de passe sur de multiples systèmes et le partagent avec d’autres administrateurs. C’est très pratique pour les équipes IT. Mais si un hacker ou un initié malveillant se procure ce mot de passe si facilement partagé, il obtient instantanément l’accès à l’ensemble des systèmes du réseau

2. N’y touchez pas et tout se passera bien 

De grandes entreprises disposent de comptes privilégiés spécialisés appelés comptes de service. Ces types de comptes sont difficiles à identifier et à suivre, si bien que l’on change rarement leurs mots de passe. Mais même si le personnel IT s’efforce de les mettre à jour, le risque est grand que ce changement provoque une panne de système. L’attitude par défaut consiste donc à laisser faire. Ce peut être une position regrettable si l’un de ces anciens mots de passe statiques tombe entre de mauvaises mains.

3. Les exploits sociaux 

Un e-mail apparemment inoffensif peut très bien être l’œuvre finement ciselée d’un dangereux cybercriminel. Un utilisateur privilégié infiltré sur un réseau d’entreprise qui clique sur le mauvais lien peut sans le savoir conférer à un agresseur des droits supérieurs d’accès au réseau. De même, un hacker intelligent pourrait convaincre un utilisateur manquant de vigilance de lui révéler son mot de passe.

4. L’attaque en force 

Ce modèle de piratage "old school" utilise des outils librement accessibles sur Internet (comme des "tables rainbow") pour casser des mots de passe faibles et s’infiltrer sur le réseau.

5. Anciens admins IT et sous-traitants 

D’anciens salariés et sous-traitants quittent souvent leur emploi en laissant leurs mots de passe de comptes privilégiés actifs. Et ce souvent longtemps après la fin de leur contrat de travail. Ceci signifie que ce n’est pas parce que quelqu’un n’est plus votre salarié qu’il n’a plus accès à ses anciens systèmes. Soyez vigilants !

6. Les mots de passe par défaut 

De nombreux terminaux et applications sont préconfigurés avec des mots de passe par défaut souvent rendus publics. A défaut d’être changés, ces mots de passe par défaut sont la porte d’entrée idéale pour un hacker.   

Une fois l’accès privilégié obtenu

Une fois qu’un cybercriminel a eu accès à un identifiant privilégié par l’un de ces vecteurs d’attaque internes ou externes, il peut s’en servir pour rebondir de système en système. Il peut alors établir une cartographie de l’infrastructure IT et en extraire de précieuses informations à loisir.

La sécurité des comptes privilégiés

En se dotant d’une solution automatisée de gestion des accès privilégiés, les entreprises peuvent localiser les comptes privilégiés dans tout leur système, leur attribuer des identifiants uniques et complexes, régulièrement mis à jour, et contrôler les accès. Ainsi, si un mot de passe privilégié est volé par un cybercriminel, l’accès demeure limité dans le temps et l’individu ne peut pas de déplacer vers et accéder à d’autres comptes. L’entreprise s’assure dès lors que ses actifs IT stratégiques demeurent verrouillés et sécurisés.

Annonces Google