Pourquoi nous continuons à parler de la sécurité des mots de passe

Version imprimable, PDF et e-mail

La meilleure chose que vous puissiez faire pour vous défendre contre le ransomware et autres cyberattaques est de protéger vos identifiants. Il existe des milliers d'articles sur les gestionnaires de mot de passe, sur les meilleures pratiques en la matière et sur l'authentification multi-facteurs. Les domaines réseau, applications SaaS et autres systèmes exigent souvent des mots de passe complexes lors de la création des identifiants. Par ailleurs, même les utilisateurs novices savent qu'ils ne doivent jamais dévoiler leur mot de passe. Mais alors, pourquoi ce sujet est-il encore d'actualité ?

D'après le rapport Verizon 2021 sur les violations de données (Data Breach Investigations Report), les pirates informatiques accordent plus de valeur aux identifiants qu'à n'importe quel autre type de données, même les données personnelles telles que les numéros de sécurité sociale. Le vol d'identifiants peut avoir de multiples répercussions : intrusion dans les systèmes, exfiltration de données, attaques de logiciels malveillants, fraudes diverses et variées… D'après ce même rapport, 80 % des attaques visant les applications web et au moins 60 % de toutes les attaques par ransomware ont pour origine un vol d'identifiants ou des attaques par force brute. Le credential stuffing concerne 23 % des incidents de sécurité subis par les entreprises étudiées dans le rapport.

Les identifiants volés les plus dangereux sont ceux qui restent actifs après le vol, puisqu'ils permettent aux pirates de se connecter au système ciblé en tant qu'utilisateurs authentifiés et de pouvoir y passer plus de temps sans qu'aucune intrusion ne soit détectée. Ces identifiants actifs sont particulièrement prisés des États-nations et des pirates appelés les « big game hunters » (chasseurs de gros gibier).

Comment les identifiants sont-ils utilisés dans les cyberattaques ?

Les identifiants obsolètes ont moins d'utilité, mais les pirates peuvent tout de même s'en servir de multiples manières. La plupart du temps, les données volées sont vendues à d'autres pirates, et les ensembles de données plus volumineux sont souvent vendus plus cher. Voici quelques exemples d'utilisation des identifiants dans les cyberattaques :

L'accès non autorisé : il s'agit de l'utilisation la plus évidente des identifiants. Les criminels utilisent les identifiants de connexion pour se connecter à un système et lancer une attaque.

Le credential stuffing : il s'agit d'une attaque automatisée consistant à utiliser des ensembles d'identifiants volés pour tenter de se connecter à des applications web. Peu importe si les identifiants sont valides ou obsolètes, puisqu'ils sont utilisés sur tout un éventail d'applications web.

Pour mieux comprendre, considérez votre identifiant et votre mot de passe comme une clé qui ouvre une porte verrouillée. Imaginez qu'un criminel dispose de tout un trousseau de clés, et qu'il essaie d'entrer en les essayant une par une. Cette porte peut mener à une banque, à un commerce, à un portail de santé, à un système de chauffage, de ventilation et de climatisation, ou à n'importe quel autre service en ligne. Si la clé fonctionne, le pirate aura accès à tout ce qu'il y a derrière la porte. Si la clé ne fonctionne pas, tant pis : le pirate a des millions de clés et toute une armée de bots qui tentent d'ouvrir de nombreuses portes à la fois.

Plusieurs enquêtes révèlent que les mots de passe sont souvent réutilisés et partagés. Selon toute probabilité, certains des identifiants volés fonctionneront donc sur plusieurs systèmes. Le credential stuffing est une attaque très courante.

Le password spraying : cette attaque est similaire au credential stuffing, puisqu'elle consiste à tester un seul mot de passe sur toute une liste de comptes utilisateur. Pour reprendre notre exemple, la clé représente ici un seul mot de passe plutôt que l'ensemble complet d'identifiants. Une fois que le criminel a testé une clé sur toutes les portes, il tente à nouveau d'ouvrir la première maison avec une autre clé. Cette méthode est particulièrement efficace sur les systèmes qui utilisent des mots de passe par défaut, comme les routeurs, les caméras de vidéosurveillance et autres appareils connectés. Ce type d'attaques montre bien pourquoi les criminels accordent de l'importance aux noms d'utilisateurs valides, même sans mot de passe associé.

La force brute : cette attaque est souvent comparée à l'utilisation d'un bélier sur une porte. En réalité, elle s'apparente plus au crochetage d'une serrure. Les attaques par force brute consistent à essayer de se connecter à un système en associant un nom d'utilisateur à une tentative de mot de passe. Il s'agit de tester toutes les combinaisons possibles de lettres, chiffres et symboles jusqu'à ce que l'attaque réussisse. La plupart de ces attaques commencent par le test de listes de mots, de mots de passe courants et d'ensembles de règles logiques, avant d'essayer de trouver le mot de passe en utilisant toutes les combinaisons possibles. Avec le temps, toutes les attaques par force brute finissent par fonctionner. Si votre mot de passe est complexe et qu'il ne figure dans aucune liste de mots, plusieurs années peuvent s'écouler avant que l'attaque par force brute parvienne à trouver le bon mot de passe.

Comment se protéger contre ce type d'attaques ?

Malgré les nombreuses actions de sensibilisation et les efforts de lutte contre la fraude en matière de sécurité des mots de passe, beaucoup d'entreprises sont toujours victimes d'attaques liées à des identifiants faibles ou exposés. La protection de vos identifiants doit être la priorité de votre plan de sécurité. La mise en place de bonnes pratiques en matière de gestions des mots de passe est une première étape importante, mais insuffisante. Les entreprises doivent protéger leur boîte de réception contre les tentatives de phishing. Elles doivent aussi proposer des formations de sensibilisation à la sécurité pour informer les utilisateurs finaux sur le phishing et les attaques par e-mail. En déployant la bonne application et en veillant à la sécurité périphérique, vous pourrez protéger votre entreprise contre ce type d'attaques.

Pour commencer, vérifiez la présence d'éventuelles menaces latentes sur votre boîte de réception. L'outil gratuit Email Threat Scanner identifie les e-mails malveillants qui ont réussi à déjouer vos mécanismes de sécurité et qui menacent votre entreprise. L'analyse des menaces est rapide et sécurisée. Elle n'affecte en rien les performances de votre messagerie. Cliquez ici pour vous lancer.



 

Leave a Reply

Your email address will not be published. Required fields are marked *

Remonter en haut de page
Tweeter
Partager
Partager