Une fois l'accès obtenu, les attaquants peuvent se faire passer pour des utilisateurs légitimes et se déplacer latéralement dans les systèmes, mettant ainsi en péril les données et les opérations sensibles. Il est donc primordial pour les défenseurs d’explorer les moyens de détecter rapidement les piratages de session pour prévenir de l'utilisation abusive des identifiants et du vol des jetons de session.
La compromission des informations d'identification
La compromission des identifiants est la conséquence la plus fréquente des attaques par hameçonnage. Dans ces scénarios, les pirates informatiques incitent les utilisateurs à saisir leurs identifiants dans un service contrôlé par l'adversaire (par exemple, des pages de connexion malveillantes imitant des services légitimes). Ces leurres de phishing sont généralement diffusés par e-mail, SMS et même par communication vocale (hameçonnage vocal), chacun étant conçu pour créer un sentiment d'urgence ou de légitimité.Une fois que la victime a saisi son nom d'utilisateur et son mot de passe, le pirate informatique les capture et peut réutiliser les identifiants pour obtenir un accès non autorisé, compromettant ainsi le compte cible. De nombreuses protections existent pour prévenir ce type d'attaque, telles que l'authentification multifacteur et des exigences d'authentification supplémentaires. Bien que cette attaque puisse être assez sophistiquée, elle nécessite souvent peu d'efforts et un coût d'exécution minimal.
La compromission de jeton
La compromission d'un jeton est un peu plus complexe que celle des identifiants. Une session est une série de communications entre un client et un serveur. Après l'authentification, le serveur renvoie généralement un jeton de session. Ce jeton permet au client de maintenir une communication authentifiée avec le serveur pendant toute sa durée de validité. Le détournement de jeton consiste à prendre le contrôle de cette communication authentifiée.Un autre aspect clé de la compromission de jetons est que, lorsqu'un adversaire vole un jeton de session, il confirme déjà que l'utilisateur a réussi l'authentification multifacteur. Cela contourne efficacement l'authentification multifacteur, rendant la compromission de jetons considérablement plus dangereuse qu'une compromission d'identifiants classique.
La compromission de jetons peut s'avérer techniquement complexe, car elle nécessite qu'un attaquant se positionne entre le client et le serveur pour intercepter les communications. Cependant, des outils open source comme EvilGinx simplifient de nombreux défis techniques, facilitant ainsi l'interception et le vol potentiel de jetons de session par les attaquants.
De l’importance des méthodes de prévention du détournement de session
Une fois qu'un attaquant a compromis une identité, par l'un des moyens mentionnés ci-dessus, il peut se faire passer pour cette identité sur un service cible. Les attaquants ciblent généralement des utilisateurs hautement privilégiés, leur permettant ainsi d'accéder à des données sensibles et d'effectuer des actions privilégiées. Même si un attaquant compromet un utilisateur faiblement privilégié, il peut souvent effectuer une reconnaissance détaillée de l'environnement afin de trouver d'autres opportunités d'exploitation.De la difficulté de détecter le détournement de session avec des règles statiques
Passons maintenant en revue quelques règles de détection courantes pour ce type d'attaques et leurs échecs fréquents. Cette liste n'est pas exhaustive.|
Règle de détection |
Ce qu'elle recherche |
Défis |
| Détection d'ID de session réutilisé | Jetons de drapeaux utilisés sur plusieurs adresses IP | Faux positifs provenant des VPN ou des déplacements des utilisateurs |
| Détection d'anomalies de l'agent utilisateur | Suivi des modifications des empreintes digitales du navigateur | Facilement usurpé par les attaquants |
| Suivi de géolocalisation | Détecte les scénarios de voyage impossibles | Inefficace en raison du changement mondial du travail à distance, du BYOD et des VPN |
| Nouvelle détection IP | Recherche des adresses IP jamais vues auparavant dans l'environnement | Nécessite une base de données de ce qui a été vu |
La science des données pour une détection efficace
La compromission des identifiants et des jetons reste l'une des menaces les plus difficiles à contrer par les seules détections statiques. Si ces dernières peuvent être efficaces lorsqu'elles sont appuyées par une liste prédéfinie d'indicateurs de compromission (IOC), elles s'avèrent insuffisantes face à l'évolution rapide des menaces car elles s'adaptent lentement, et les adversaires exploitent cette lacune.Le véritable avantage réside dans l'intégration de la science des données à l'ingénierie de détection. Car la science des données permet de créer des profils comportementaux plus précis et ainsi de détecter les activités réellement anormales. En exploitant l'apprentissage automatique et l'analyse comportementale, nous pouvons mettre en évidence des anomalies que les méthodes de détection traditionnelles passeraient autrement inaperçues. Les détections statiques s'appuient sur des schémas connus ; la science des données nous permet de découvrir l'inconnu.
Par Thomas Manierre, Directeur EMEA Sud de BeyondTrust
