Les comptes compromis sont utilisés à des fins militaires - Arrêtez la compromission des informations d'identification dès maintenant

Compromission des données d'identification : ce que vous devez savoir

Les comptes d'utilisateurs compromis ont toujours été le risque de cybersécurité le plus important - et le plus simple - dans l'entreprise. Selon le rapport 2022 Data Breach Investigations Report de Verizon, le vol d'informations d'identification a été le vecteur privilégié de plus de 40% des attaques en 2022. Les informations d'identification des utilisateurs représentent également 63% des données volées - ce qui montre clairement que votre organisation n'est pas la seule à en comprendre la valeur.

Après tout, le moyen le plus simple de "pénétrer" dans un système ou d'accéder à des données ou à des actifs précieux est de disposer de la "clé" fournie par les informations d'identification légitimes de l'utilisateur. Mais voici ce qui est alarmant : Les cas de compromission d'informations d'identification et de comptes d'utilisateurs sont de plus en plus fréquents.

Comment les données d'identification sont-elles compromises ?

Le vol d'informations d'identification ne commence pas toujours par des exploits avancés - la plupart des attaques par compromission d'informations d'identification commencent par de simples erreurs, une mauvaise hygiène numérique ou la réutilisation de mots de passe. Les attaquants savent qu'il est plus facile d'entrer avec des informations d'identification valides que d'entrer par effraction.

Les voies d'accès les plus courantes sont les suivantes :

• Phishing et ingénierie sociale : La méthode la plus répandue pour voler les identifiants de connexion, souvent déguisés en demandes légitimes de réinitialisation de mot de passe ou en invitations à collaborer.
• Attaques par force brute et par dictionnaire : Des outils automatisés devinent des mots de passe compromis faibles ou réutilisés jusqu'à ce qu'ils obtiennent l'accès.
• Les voleurs d'informations et les enregistreurs de frappe : Les Malware collectent silencieusement les mots de passe stockés ou les données de remplissage automatique des navigateurs et des gestionnaires de mots de passe.
• Abus d'OAuth et de jetons : Les attaquants incitent les utilisateurs à accorder des autorisations d'accès excessives à des applications malveillantes.
• Revente sur le web obscur : Les décharges massives d'informations d'identification provenant de brèches antérieures alimentent de nouvelles vagues d'abus d'informations d'identification dans de nombreux services

Chacun de ces points d'entrée cible le maillon le plus faible - la confiance humaine - et l'exploite pour infiltrer les systèmes sans déclencher d'alarme immédiate.

Comprendre la compromission des données d'identification dans un monde post-pandémique 

Selon Microsoft, les attaques visant les mots de passe et les informations d'identification des utilisateurs ont augmenté de 74% en 2022, au rythme de 921 attaques par seconde. Une proportion stupéfiante de 75% des attaques par ransomware d'origine humaine a également été exécutée à l'aide de comptes d'utilisateurs compromis qui disposaient d'un accès élevé. En fait, les informations d'identification compromises sont aujourd'hui la source la plus courante de cyberattaque à laquelle les organisations sont confrontées.

Qu'est-ce qui explique l'augmentation du nombre de comptes compromis ? Les employés sont à l'origine de 22% des fuites de données, dont 36% sont le fait d'employés mécontents.  Et comme l'a fait remarquer Verizon, l'un des types de données les plus prisés par les cybercriminels est celui des informations d'identification. La plupart des entreprises s'adaptent à l'idée d'une main-d'œuvre hybride et ont mis en place des politiques de BYOD, des applications basées sur le cloud pour la productivité et le partage, etc. Dans l'ère post-pandémique, tout cela s'ajoute à un paysage numérique - ou paysage des menaces - beaucoup plus vaste. Plus de comptes et plus d'identifiants. Plus d'activités à distance et hors réseau.  Tout cela aboutit à un risque accru de violation, car la sécurité de l'identité ne peut pas suivre assez rapidement. Prenez par exemple cette statistique : seulement 40% des entreprises n'ont pas mis en place de MFA ou ont mis en place un MFA faible, ce qui laisse de nombreux appareils et comptes non sécurisés.

Risques et conséquences de la compromission des informations d'identification

Lorsque les identifiants de connexion tombent entre de mauvaises mains, les dommages vont au-delà de la perte de données. Le véritable coût réside dans l'impact opérationnel et l'impact sur la réputation d'une violation réussie.

• Exposition des données : Les comptes compromis permettent aux pirates d'accéder directement à des informations sensibles, qu'il s'agisse de dossiers de clients, de propriété intellectuelle ou de communications internes.
• Perturbation des activités : Les attaquants peuvent exploiter les informations d'identification compromises pour déployer des ransomware ou manipuler des transactions financières.
• Pénalités réglementaires : L'accès non autorisé aux données constitue souvent une violation des lois sur la protection de la vie privée, ce qui entraîne des amendes et des violations de la conformité.
• Prise de contrôle de compte (ATO) : Les acteurs de la menace utilisent des informations d'identification valides pour se faire passer pour des cadres, réinitialiser le MFA ou lancer des campagnes de phishing internes.
• Les angles morts des opérations de sécurité : Parce que ces actions semblent "légitimes", elles contournent souvent les défenses périmétriques traditionnelles et les seuils d'alerte.

En bref, les informations d'identification compromises ne se contentent pas d'ouvrir une porte - elles créent une voie de confiance permettant aux attaquants d'opérer de manière invisible.

Types de vols de documents d'identité

Il existe d'innombrables variétés d'attaques, de stratagèmes et de complots visant à récolter les informations d'identification compromises. Mais la plupart d'entre elles peuvent être classées en trois catégories :

• Attaques par force brute: Une attaque par force brute consiste à vérifier ou à deviner systématiquement le mot de passe d'un compte ciblé. L'attaquant utilise généralement des algorithmes sophistiqués pour tester toutes les combinaisons possibles jusqu'à ce qu'il trouve la bonne. 51% des cybercriminels utilisent cette méthode simple dans leur arsenal, en raison de sa commodité et de son efficacité à percer les faiblesses de la sécurité des nuages.
• Le "Credential Stuffing" : Grâce à la multiplication des violations de données au cours des dernières années, il existe aujourd'hui d'immenses quantités d'informations d'identification compromises disponibles à l'achat sur le dark web, souvent pour quelques centimes d'euros chacune. Dans une attaque par bourrage d'identifiants, un cybercriminel achète des identifiants compromis, puis les "bourre" dans des pages de connexion de systèmes, de réseaux et d'applications jusqu'à ce qu'il tombe sur un compte d'utilisateur compromis. On parle également de recyclage des informations d'identification, car il s'agit essentiellement d'utiliser les informations d'identification compromises qui ont été volées lors d'une attaque précédente (généralement par force brute). Cybersecurity Insiders rapporte que 34% des organisations ont subi des attaques de type "credential stuffing".
• Ingénierie sociale (Phishing) : L'utilisation de méthodes d'ingénierie sociale créatives, comme le phishing, pour voler des informations d'identification est encore plus fréquente que le fait de deviner des mots de passe ou d'acheter des informations d'identification compromises. IBM signale que le phishing a été la principale méthode utilisée pour obtenir des informations d'identification dans plus de 41% des organisations, 62% de ces attaques utilisant le spear phishing (hameçonnage). Pour preuve, la fréquence des attaques de phishing a augmenté de 50% vers la fin de 2022, IBM soulignant que les attaques réussies ont exposé les informations d'identification des utilisateurs et ont coûté en moyenne 4,91 millions de dollars de dommages.

Comment prévenir la compromission des informations d'identification ?

1. Passez à l'authentification sans mot de passe et à l'authentification "résistante au phishing

Le moyen le plus efficace de réduire le risque de vol de mot de passe est de cesser d'utiliser les mots de passe comme principal mécanisme d'authentification !  Plusieurs fournisseurs de services d'identité en tant que service (IDaaS) proposent désormais des mécanismes d'authentification sans mot de passe qui permettent aux utilisateurs de se connecter en toute transparence à des systèmes grâce à leurs empreintes digitales ou à la reconnaissance de leur visage. Non seulement cette forme d'authentification est plus sûre, mais elle réduit également les frictions en facilitant la connexion de vos utilisateurs finaux !

2. Mettez en œuvre une politique de mot de passe fort

Si l'absence de mot de passe n'est pas envisageable pour votre entreprise, un autre moyen efficace de réduire le risque de compromission des informations d'identification consiste simplement à rendre les informations d'identification elles-mêmes plus difficiles à compromettre. Cela signifie qu'il faut élaborer et appliquer une politique de mots de passe forts qui exige de tous les utilisateurs qu'ils suivent les meilleures pratiques établies pour créer - et changer régulièrement - des mots de passe forts, et s'assurer que les mots de passe ne sont pas réutilisés sur des appareils, des applications ou d'autres comptes.

3. Formez vos utilisateurs

La compromission d'informations d'identification et de comptes d'utilisateurs relève du risque d'initié, et le risque d'initié est un problème humain. L'un des moyens les plus efficaces de résoudre les problèmes des gens est de leur parler. Pourtant, un tiers des travailleurs affirment que leur entreprise n'a pas dispensé de formation supplémentaire en matière de cybersécurité depuis que la pandémie a radicalement changé le lieu, le moment et la manière dont ils travaillent. Une formation régulière sur les meilleures pratiques en matière de gestion des mots de passe et sur la manière de reconnaître et d'éviter le phishing peut s'avérer très utile.

4. Utilisez un gestionnaire de mots de passe

L'un des moyens les plus simples d'aider vos utilisateurs à conserver des mots de passe forts est d'utiliser un gestionnaire de mots de passe. Ces outils sont omniprésents et de plus en plus économiques et conviviaux. Mais les deux choses à retenir ici sont les suivantes : 1) assurez-vous que le gestionnaire de mots de passe lui-même est sécurisé et bien protégé contre le piratage, et 2) assurez-vous que les utilisateurs tirent parti de la fonction de génération automatique, disponible dans presque tous les gestionnaires de mots de passe actuels, qui génère des mots de passe (et les mémorise) avec une complexité et un caractère aléatoire bien plus importants qu'un être humain ne pourrait jamais le faire.

5. Utilisez l'authentification multifactorielle (MFA)

L'AMF peut facilement arrêter un attaquant dans son élan. Ils peuvent avoir des informations d'identification compromises, mais il est presque certain qu'ils n'auront pas accès à la forme secondaire (ou tertiaire) de vérification de l'identité (comme un code d'accès à usage unique envoyé à l'appareil mobile de l'utilisateur légitime).  Yubico rapporte que plus de 24% des entreprises sont en train de mettre en œuvre un système de gestion de l'accès à l'information (MFA) de nouvelle génération, résistant au phishing et conforme aux directives fédérales, tandis que 32% envisagent de le faire.

6. Se concentrer sur les comptes à privilèges

Le but ultime des attaques par compromission d'informations d'identification est d'accéder à des données ou à des actifs précieux. Il n'est donc pas surprenant que les employés de haut rang et les autres personnes disposant d'un accès privilégié soient les cibles les plus importantes. La solution est double : Premièrement, concentrez-vous sur l'audit des privilèges d'accès. Le rapport de Verizon a révélé que plus de 80% des employés abusent de leur niveau d'accès - un argument suffisant pour invoquer le principe du moindre privilège. Deuxièmement, renforcez les protocoles de gestion des accès pour vos comptes privilégiés (désormais audités). Microsoft souligne que dans 88% des attaques de ransomware, le MFA n'a pas été mis en œuvre pour les comptes sensibles et à privilèges élevés, tandis que le rapport de Yubico révèle que seuls les administrateurs informatiques, leurs équipes et les tiers sont suffisamment couverts par le MFA.

Comment identifier la compromission des informations d'identification avant que le compte ne soit endommagé ?

Comme d'autres formes de menaces et de risques liés aux initiés, les informations d'identification compromises proviennent en fin de compte de problèmes liés au facteur humain : mauvaise hygiène des mots de passe, phishing, etc. L'avantage est que de petits changements peuvent avoir un impact significatif sur les risques liés au facteur humain ; l'inconvénient est que les humains seront toujours imparfaits (et que les cybercriminels sont incroyablement efficaces pour exploiter les erreurs des utilisateurs), de sorte que les comptes d'utilisateurs compromis ne peuvent pas être entièrement évités. Par conséquent, s'il est certainement utile d'investir du temps et du budget dans la prévention, il est également essentiel d'investir dans des stratégies de détection des anomalies et des irrégularités qui signalent la compromission des comptes - et d'enquêter et de réagir rapidement et efficacement.

Assurez-vous d'avoir une visibilité sur les terminaux - à distance, dans le nuage, sur le réseau et hors réseau

Les premiers signaux de fumée d'une compromission des informations d'identification apparaissent souvent sur les terminaux des utilisateurs. Les équipes de sécurité doivent donc disposer d'une visibilité sur les points d'extrémité, qui s'étend aux activités sur le réseau et hors réseau, puisque les modèles de travail à distance et flexibles signifient que les utilisateurs travaillent de plus en plus en dehors du réseau privé virtuel. Si vous ne l'avez pas encore fait, l'automatisation de la gestion de l'inventaire des points d'extrémité est la première étape pour obtenir cette visibilité. Vous devez également avoir une visibilité sur l'activité sur le web et dans le nuage, étant donné que le courrier électronique hébergé sur le web et dans le nuage est désormais la norme dans de nombreuses organisations.

Fixez une base de référence pour la "normalité" - afin d'obtenir un signal clair du risque réel.

Si vous pouvez voir toutes les activités des utilisateurs et des fichiers, y compris sur les terminaux, sur le web et dans le nuage, il est beaucoup plus facile de répondre à la question : "À quoi ressemble la normalité ?" Cette base de référence vous aide à éliminer le bruit de l'activité quotidienne - tous les mouvements de fichiers et de données qui définissent la culture de collaboration moderne - et à reconnaître plus rapidement et avec plus de précision lorsque les comportements des utilisateurs sortent des normes. En bref, lorsque vous commencez à voir des utilisateurs accéder à des fichiers, les déplacer, les renommer ou les partager d'une manière ou à des moments qui ne correspondent pas au modèle, vous disposez d'un signal de risque très fiable qui nécessite un examen immédiat plus approfondi.

Accélérer votre enquête et votre réponse - Atténuer les dommages

La même visibilité contextuelle approfondie de toutes les activités des utilisateurs et des fichiers est un puissant carburant pour accélérer votre enquête et votre réponse aux comptes d'utilisateurs potentiellement compromis. Les équipes de sécurité peuvent rapidement consulter des informations contextuelles sur les mouvements de fichiers et de données afin d'identifier les comptes d'utilisateurs concernés, les systèmes ou les actifs auxquels on a accédé, ainsi que les données ou les fichiers affectés - jusqu'à savoir quand et où ces données précieuses ont été déplacées. L'enquête approfondie conduit à une réponse rapide et adaptée, qu'il s'agisse de verrouiller des comptes ou des appareils, de prendre des mesures juridiques proactives pour protéger l'entreprise ou de transmettre l'incident aux autorités pour qu'elles interviennent. En outre, la visibilité immédiate, approfondie et contextuelle permet de réduire le délai entre la détection des informations d'identification compromises et la neutralisation de la menace, ce qui permet d'atténuer et de minimiser les dommages causés par la compromission d'un compte utilisateur.

Découvrez comment Mimecast Incydr peut vous aider à détecter les informations d'identification compromises et à vous protéger contre les pertes de données dues à des comptes utilisateurs compromis.