Par William Culbert, directeur Europe du Sud de BeyondTrust (anciennement Bomgar)
Si vous deviez être à la source d’une cybermenace, que feriez-vous d’un cache de mots de passe volé lors d’une compromission ? Si vous êtes assez compétent, vous pourriez viser la source par une attaque en force ciblée ou tenter de monétiser votre butin en le revendant sur le Dark Web. Les plus subversifs des cybercriminels pourraient relier les données à d’autres sources et constituer un plus grand référentiel de cibles, si les identités compromises réutilisaient le même mot de passe pour plusieurs comptes et services. Les plus vicieux des agresseurs pourraient se muer en pickpockets qui persisteront aussi longtemps qu’il le faut, jusqu’à casser vos comptes en ligne. Si vous pensez que ce n’est pas possible, souvenez-vous de cette attaque « à l’ancienne » perpétrée dans le secteur financier, il y a quelques mois à peine.
De plus, pour obtenir l’accès persistant à vos comptes financiers, les criminels vont pouvoir avoir recours à une méthode perfide : extraire massivement des fonds de plusieurs distributeurs automatiques en même temps, en laissant très peu de temps pour réagir avant que les transactions soient effectives. La Harvard Business Review a publié un article sur ces types de menaces. Elles peuvent survenir suite à des vulnérabilités ou après le vol de caches de codes pin et mots de passe. Le criminel dispose ainsi d’un vecteur d’attaque privilégié et peut voler de l’argent à tout le monde, en même temps. Si vous pensez que ce type de vecteur de cyberattaque date de plusieurs années et ne pourrait pas se reproduire maintenant que les indicateurs de compromission sont bien connus, vous vous trompez.
Comprendre et atténuer les menaces des voleurs de mots de passe
Chaque fois qu’un individu ou qu’un groupe connaît les mots de passe d’un autre groupe de personnes ou de ressources, une attaque « pickpocket » peut se produire. L’incident le plus médiatisé ces dernières années concerne Edward Snowden (et oui, absolument tout le monde dans le gouvernement et dans l’industrie de la sécurité est fatigué d’entendre son nom). Snowden a obtenu les identifiants de ses collègues illégalement pour dérober des informations en se servant de mots de passe volés et de terminaux ayant les autorisations nécessaires pour accéder aux données sensibles. Les utilisateurs n’étaient pas conscients du vol, les mots de passe n’étaient jamais modifiés et les informations ont été dérobées petit à petit, pour éviter tout risque d’être détecté. Ce type de vol de données qui s’inscrit dans la longueur est également arrivé à Yahoo et Starwood, même si les formes d’attaque privilégiée étaient légèrement différentes et non perpétrées en une seule fois.
Malheureusement, cela ne suffit pas pour comprendre la menace. Les menaces visant les mots de passe de type pickpocket peuvent être perpétrées de l’intérieur ou de l’extérieur. Elles peuvent se produire aussi bien dans notre vie privée que dans des entreprises, organisations ou administrations. La menace s’appuie sur le concept d’une entité qui connaîtrait de trop nombreux identifiants et mots de passe de quelqu’un (ou quelque chose) d’autre. Les identifiants s’obtiennent illégalement avec l’intention malveillante de les réutiliser.
Nous voici donc confrontés à un dilemme de sécurité : comment atténuer ce type de menace. Voici quelques stratégies pour atténuer le risque :
- Ne réutilisez jamais un mot de passe pour deux ressources. Chaque application et ressource devrait avoir son propre mot de passe unique. N’utilisez jamais les mêmes identifiants au travail et à la maison. En entreprise, envisagez un gestionnaire de mots de passe capable de stocker, de faire tourner automatiquement et d’attribuer des mots de passe aux bonnes personnes en fonction de leur rôle. Ainsi, le pickpocket ne pourra pas accumuler des mots de passe puisque ceux-ci changent constamment et suivent un modèle d’attribution.
- Si la solution prend en charge l’authentification MFA ou 2FA, utilisez-la. Si votre mot de passe a été révélé d’une manière ou d’une autre, la technologie multifactorielle ou bifactorielle peut aider à contrer les tentatives d’authentification non autorisée si un pickpocket s’en empare. De plus, utiliser cette technologie avec des informations contextuelles (comme la source IP) renforcera le modèle de sécurité pour empêcher les accès aux positions géolocalisées non autorisées.
- Changez fréquemment vos mots de passe. Ou plutôt ne maintenez pas des mots de passe statiques sur de longues périodes. Ceci fait écho à la première recommandation. Souvent, même en présence d’un gestionnaire de mots de passe, nous ne forçons pas assez fréquemment la rotation des mots de passe, surtout dans la vie privée. Pensez à changer vos mots de passe aussi fréquemment que vous changez les batteries de votre détecteur de fumée. Pensez-y au moins deux fois par an, au moment du passage de l’heure d’été à l’heure d’hiver, et vice-versa ! Si vous êtes un professionnel de la cybersécurité curieux, vous devez savoir que les derniers conseils de la NIST précisent qu’il n’est pas utile de faire tourner les mots de passe d’un utilisateur fréquemment. C’est vrai pour les utilisateurs standard qui ne partagent ou n’entrent pas des identifiants de façon répétée dans différents systèmes. Mais ce n’est pas une bonne pratique pour les comptes de service, les comptes privilégiés ou toute autre combinaison identifiant/mot de passe possiblement connue de plusieurs personnes. Ceci nous ramène au point d’origine : pourquoi les mots de passe volés par des pickpockets et le fait de les connaître constitue-t-il une menace.
A mesure que les vecteurs d’attaques privilégiées continuent d’évoluer, toutes les entreprises doivent prendre conscience de la menace liée aux pickpockets de mots de passe. Quiconque, en interne comme en externe, amené à connaître des mots de passe obtenus illégalement, est un pickpocket potentiel.