Des bots de collecte d'identifiants vous attaquent en ce moment même

L'outil le plus précieux d'un pirate est un ensemble d'identifiants pour un système ciblé. Une grande partie de la cybercriminalité mondiale peut se résumer à l'obtention illégale du nom d'utilisateur et du mot de passe d'une personne. Les attaques par social engineering sont de plus en plus nombreuses et fréquentes, et les pirates perfectionnent leurs outils et leurs compétences. Alors que les criminels se perfectionnent dans le vol des mots de passe, le public se lasse d'entendre parler de la sécurité des mots de passe.  

Une étude menée en 2022 par AT&T révèle que 42 % des personnes interrogées réutilisent le même mot de passe sur plusieurs sites web et que 31 % utilisent leur date de naissance comme mot de passe. L'étude a également révélé que jusqu'à 38 % des personnes interrogées utiliseront un site web pour diffuser ou télécharger des vidéos, des jeux et de la musique, même si elles soupçonnent le site d'être malveillant. Malheureusement, ces personnes sont nos amis, notre famille et nos collègues, et leurs mauvais comportements en matière de cybersécurité sont la raison pour laquelle nous ne pouvons pas nous réjouir. Nous y reviendrons plus tard.

Pour l'instant, parlons d'abord de ceux d'entre nous qui sont proactifs en matière de sécurité des mots de passe. Nous ne partageons ni ne réutilisons nos mots de passe, et nous avons des gestionnaires de mots de passe ou un autre système qui nous aide à garder une trace de nos 70-100 (en moyenne) identifiants. Nous savons qu'il vaut mieux ne pas créer de compte sur un site web suspect pour obtenir un bon de réduction ou regarder un film en streaming. Mais nous ne maîtrisons pas encore totalement le niveau de sécurité de nos mots de passe.

Collecte d'identifiants

Le problème que nous rencontrons tous est que nous ne pouvons pas contrôler la sécurité des services en ligne que nous utilisons, pas plus que nous ne pouvons contrôler le système de sécurité de notre banque locale. Nous faisons confiance à nos fournisseurs de services qui font de leur mieux pour protéger nos données, mais toute entreprise peut être victime d'une attaque ciblée ou d'une chaîne d'approvisionnement compromise. Les pirates s'introduisent dans les systèmes par le biais d'attaques de type « zero-day » et de vulnérabilités non corrigées, ou ils incitent via l'ingéniérie sociale un employé à leur céder l'accès. Une fois qu'ils sont dans le système, ils recherchent les identifiants des comptes d'utilisateurs et d'autres informations qui les aideront à lancer d'autres attaques. Ces informations seront collectées le plus rapidement possible. Si vos données y figurent, ils vous ont eu.

Le vol et le stockage d'identifiants sont appelés « collecte d'identifiants » ou « collecte de mots de passe ». Il existe plusieurs tactiques différentes utilisées dans la collecte d'identifiants, et de nombreuses attaques en emploient plus d'une. Les e-mails de phishing, les sites web de phishing, les attaques par protocole de bureau à distance (RDP) et les attaques de type Man-in-the-Middle (MitM) peuvent tous être utilisés pour voler des identifiants, et ils peuvent être combinés pour capturer beaucoup d'informations en un clin d'œil.

Un exemple moderne est le schéma d'attaque du groupe nord-coréen APT38, qui utilise plusieurs types d'e-mails de phishing pour tromper les destinataires. Ils utilisent également de faux comptes de réseaux sociaux, des sites de phishing et des outils de post-exploitation pour extraire le maximum de chaque cible. Le Hacker News rapporte que cette activité « massive » de collecte d'identifiants est récente pour ce groupe, et inhabituelle pour un groupe agissant sous l'égide d'un État. Cela suggère que la Corée du Nord se concentre de plus en plus sur les identifiants et la collecte d'informations à grande échelle.

Infostealers (voleurs d'informations)

L'une des attaques les plus courantes consiste à envoyer un e-mail de phishing contenant un malware en pièce jointe.  Il est courant que les criminels utilisent des malwares connus sous le nom de « infostealer » pour collecter les données des utilisateurs d'un système.  Ce malware collecte les noms d'utilisateur et les mots de passe des navigateurs web, des applications de messagerie et d'autres logiciels.  La plupart d'entre eux collectent également d'autres données, telles que les informations relatives aux cartes de crédit et les journaux de conversation en ligne. Les infostealers sont facilement accessibles car les pirates qui ne peuvent pas développer leur propre infostealer peuvent acheter un abonnement auprès de fournisseurs de malwares en tant que service (Malware-as-a-Service - MaaS).  

Les sites web suspects mentionnés plus haut peuvent également collecter et partager les informations que vous avez fournies sur votre compte. Les sites web proposant des bons de réduction, des films gratuits ou des gros lots ne sont souvent que des attaques de phishing destinées à collecter les informations que vous fournissez.  Ces sites exploitent également les vulnérabilités de l'ordinateur d'un internaute pour installer un infostealer à son insu. L'ampleur du préjudice subi dépend du fait que l'ordinateur est en réseau ou qu'il stocke des informations sensibles sur le disque dur.

Certains infostealers sont introduits directement dans le réseau d'une victime par un criminel. Comme la plupart des attaques, celle-ci est généralement rendue possible suite à une erreur humaine. Les appareils mal configurés, non corrigés ou non administrés peuvent présenter des failles de sécurité que les botnets peuvent identifier et associer à un exploit. Les pirates utilisent ces failles pour initier la phase suivante de l'attaque.

L'incident GoAnywhere est un exemple de collecte qui a eu recours à l'intrusion dans le système et au dumping d'identifiants. Le gang Clop Ransomware a exploité une faille de type « zero-day » (CVE-2023-0669) pour créer un compte RDP donnant accès au serveur GoAnywhere Managed File Transfer (MFT). Une fois l'accès obtenu, ils ont utilisé un système de récupération (dump) d'identifitants LSASS pour voler des informations sur les comptes et accéder aux entreprises qui utilisent le service GoAnywhere. L'attaque a exposé plus de 1 000 000 de personnes qui utilisent les services des clients de GoAnywhere. IBM a décrit cette attaque en détail ici.

Credential Stuffing

Alors pourquoi les criminels sont-ils si intéressés par la conservation des identifiants de tout un chacun ? En fin de compte, les identifiants de connexion permettent des attaques plus ambitieuses et plus rentables.

Les vastes collections de noms d'utilisateur et de mots de passe rendent possible le credential stuffing. Ces attaques automatisées utilisent des réseaux de botnets pour tester des ensembles d'identifiants volés sur plusieurs cibles.  L'OWASP décrit le credential stuffing ici:

Les listes d'identifiants de connexion volés ailleurs sont testées au regard des mécanismes d'authentification de l'application afin de déterminer si les utilisateurs ont réutilisé les mêmes identifiants de connexion. Les noms d'utilisateur (souvent des adresses e-mail) et les mots de passe volés ont pu être obtenus directement depuis une autre application par le pirate, achetés sur une place de marché criminelle ou obtenus via des dumps de données émanant de failles de sécurité publiques.

Contrairement à le déchiffrement des identifiants OAT-007, le Credential Stuffing n'implique pas de force brute ou de supposition de valeurs ; au contraire, la légitimité des identifiants utilisés dans d'autres applications est testée.

Les attaques par credential stuffing permettent à un pirate d'identifier un seul identifiant valide qui pourrait permettre à des infostealers et à d'autres malwares d'accéder au réseau. C'est pourquoi nos amis, notre famille et nos collègues de travail sont la cause de tant de problèmes. En réutilisant le mot de passe de leur entreprise chez PayPal ou Chick-fil-A, ils nous mettent tous en danger par inadvertance.

Le credential stuffing n'est pas la seule attaque automatisée qui utilise de grandes collections d'informations de connexion. Notre article de blog explique comment les attaques par password spraying (bourrage de mots de passe) et par force brute peuvent utiliser des listes de mots et des ensembles de règles pour accéder à un système. Même les identifiants obsolètes peuvent être utiles aux pirates grâce à ces outils automatisés. Pour plus d'informations sur le mode de fonctionnement de ces attaques, reportez-vous aux menaces automatisées de l'OWASP.

Que faire ?

Il est très important de créer des mots de passe uniques pour tous les comptes.  Adoptez cette démarche dès maintenant et demandez à vos amis, à votre famille et à vos collègues de faire de même, car 42 % d'entre eux ont besoin d'être sensibilisés ou de se voir rappeler cette nécessité. Vous pouvez renforcer la sécurité des mots de passe en utilisant des phrases secrètes, des mots de passe complexes et l'authentification multifactorielle lorsque cela est possible. Si vous utilisez un gestionnaire de mots de passe et que vous veillez à ce que vos informations ne soient pas divulguées, vous pourrez facilement modifier le mot de passe unique divulgué.

Gardez à l'esprit qu'il suffit d'un seul jeu d'identifiants pour permettre une violation massive de données. Un jeu d'identifiant valide n'ouvre pas seulement la porte à un système.  Il ouvre cette porte en toute discrétion. Un pirate qui se connecte avec des identifiants valides pourra généralement accéder plus rapidement à un réseau qu'un pirate qui enfonce la porte. C'est plus de temps pour explorer le réseau, trouver et voler des données, pirater les backups de données, se familiariser avec le comportement des utilisateurs et lancer d'autres attaques au moment opportun. Les administrateurs peuvent minimiser cette menace grâce à des alertes d'accès aux identifiants qui repèrent les mouvements latéraux et d'autres comportements inhabituels.

Les sites web et les applications web doivent être protégés par un firewall d'application web qui protègera vos formulaires de connexion contre les attaques d'identifiants. Les firewalls applicatifs protègent également vos sites contre les analyses qui recherchent des vulnérabilités non corrigées et d'autres failles de sécurité.

Barracuda Application Protection

Barracuda offre une sécurité applicative puissante qui protège vos applications et vos API contre les attaques DDoS et les attaques avancées de bots. Barracuda WAF-as-a-Service peut être configuré en quelques minutes à l'aide de notre assistant de déploiement. Barracuda Application Protection bloque les attaques automatisées en leur opposant une défense féroce qui les stoppe avant qu'elles ne s'attaquent à votre site. Vous pouvez la tester dans votre environnement dès maintenant et gratuitement pendant 30 jours.