est édifiant.
Il ressort que des sésames sans aucune sécurité, tels que 123456, admin et password restent toujours largement utilisés. La méthode qui consiste à les complexifier en ajoutant simplement un caractère spécial est insuffisante. Les trois exemples les plus courants Pass@123, P@ssw0rd, Aa@123456 ne résistent pas aux attaques par force brute.
Le NIST (Institut national des normes et de la technologie américain) conseille de se concentrer davantage sur l’augmentation de la longueur des mots de passe. La longueur des sésames la plus utilisée est de huit caractères, correspondant à ce critère obligatoire imposé par la quasi-totalité des sites dans le monde. Un autre travers dénoncé par Specops est la réutilisation des mots de passe sur quatre comptes ou plus. Problème, si ces données d’authentification volées se retrouvent sur l’annuaire l’Active Directory d’une organisation, elles permettent l’accès à tous les autres mots de passe. Lesquels peuvent aussi servir pour l’usage d’un VPN. Le risque est alors maximal. Un outil gratuit permet d’analyser les vulnérabilités de l’Active Directory.
Des codes de sécurité d’accès en vente sur le Darkweb
Les Initial Access Brokers (IABs) se spécialisent dans le commerce d’identifiants volés sur le dark web et les forums clandestins, fréquentés par les pirates. Ce que confirment les outils d’analyse des menaces (Threat Intelligence). Ces codes d’authentification volés sont utilisés pour lancer des attaques telles que des campagnes de phishing (hameçonnage) et autres. Ceci autorise ensuite la persistance des attaques, l’accès à long terme permettant de collecter des données et de se déplacer latéralement. Des menaces difficiles à détecter, car considérées comme légitimes par les logiciels et politiques de sécurité.Des méthodes d’attaque multiples et variées
Le périmètre d’entrées dans le SI par les pirates est très large. D’abord via les navigateurs, Chrome, Firefox et Edge et autres qui recèlent des mots de passe enregistrés, des cookies et des données de session. Les clients de messagerie sont aussi des vecteurs d’attaques pour voler les identifiants de connexion. Les identifiants des clients FTP restent également des cibles pour les intrusions. Autres vecteurs d’attaque, les fichiers de configuration ou contenant des liens vers des emplacements de stockage de données.L’exfiltration des sésames volés fait appel aux requêtes HTTP/HTTPS pour envoyer les données à un serveur distant. Enfin, les serveurs de Command & Control (C2) envoient des données actualisées et les reçoivent à des fins d’exécution de code malveillant.
Parmi les logiciels malveillants les plus utilisés pour voler des secrets d’authentification, Redline est le plus connu suite à la compromission de comptes Google/YouTube.
Vidar et sa version professionnelle Vidar Pro s’en prennent, entre autres, aux fichiers d'aide Microsoft Compiled HTML Help (CHM). Il est distribué via les services de logiciels malveillants comme PrivateLoader. Raccoon Stealer est un InfoStealer (voleur d’informations) proposé à la vente sur le darkweb. Comme toute application légale, il est loué sur une base mensuelle.
