Barracuda full logo

5 façons dont les cybercriminels utilisent l’IA : vol d’accès et d’identifiants

Thèmes:
16 mai 2024
|
Christine Barry

Les acteurs de menaces ont adopté l’intelligence artificielle (IA) pour le phishing, les deepfakes, la génération de logiciels malveillants, la localisation de contenu, etc. Cette semaine, nous examinons comment ils utilisent cette technologie pour dérober des identifiants et accéder à des réseaux de grande valeur.

Les identifiants volés sont une mine d’or pour les cybercriminels, surtout s’il s’agit de noms d’utilisateur et de mots de passe à jour et fonctionnels. Les pirates utilisent ces identifiants pour accéder aux systèmes ou prendre le contrôle de comptes, avec un risque réduit de déclencher une alerte. Une fois que l’acteur malveillant a obtenu l’accès à un système, il commence généralement par effectuer une reconnaissance du réseau, augmenter les privilèges, exfiltrer des données et réaliser d’autres tâches qui le positionnent pour passer aux étapes suivantes. En fonction du pirate et de la victime, l’étape suivante peut être le lancement d’une attaque par ransomware ou la mise en place d’une menace persistante avancée (APT) telle que Volt Typhoon.

Le temps qui s’écoule entre cet accès initial au système et la découverte de la menace est appelé dwell time (ou « temps de séjour ». Il est plus facile pour les attaquants de prolonger leur temps de séjour dans un réseau s’ils peuvent se fondre dans le trafic réseau normal, et les identifiants volés leur facilitent la tâche.

Attaques par mot de passe

Les ensembles d’identifiants professionnels ne sont pas le seul moyen pour un criminel d’accéder à un système. Certaines attaques peuvent compromettre les points d’accès distants ou « deviner » rapidement les identifiants jusqu’à obtenir une combinaison fonctionnelle. Les acteurs malveillants profitent également de la mise en place d’identifiants par défaut par les administrateurs réseau. Les temps de séjour sont souvent plus courts lorsque l’accès initial implique des attaques par force brute, des kits d’exploitation ou d’autres événements ou schémas dans le système qui sortent du cadre du comportement normal et attendu. Les systèmes avancés de sécurité identifient ces événements et déclenchent une enquête. Un temps de séjour plus court signifie généralement moins de données volées et moins de dommages sur le réseau.

Les identifiants dérobés et l’accès non autorisé au système sont des passerelles vers des attaques de plus grande envergure, et les acteurs malveillants utilisent l’IA pour rendre ces passerelles plus accessibles. Nous avons déjà parlé de certaines de ces attaques :

Hameçonnage et ingénierie sociale : l’IA peut générer des e-mails d’hameçonnage qui imitent un langage et un style de communications légitimes. Ces e-mails générés par l’IA peuvent être très convaincants, surtout s’ils sont personnalisés ou basés sur une analyse de données collectées au préalable. Ces attaques peuvent capturer des identifiants ou inciter un utilisateur autorisé à fournir un accès aux pirates.

L’hypertrucage : Les acteurs malveillants recourent à l’IA pour élaborer des fichiers audio ou vidéo dans lesquels des hauts dirigeants ou d’autres personnes de confiance sont imitées. En 2019, l’un de ces acteurs a mené à bien une attaque d’hameçonnage par communication vocale (vishing) pour convaincre sa victime de transférer plus de 243 000 dollars à un faux fournisseur. En 2024, un groupe tout entier d’employés de banque a été hypertruqué au cours d’un appel Zoom pour tromper quelqu’un en direct. La victime a transféré 35 millions de dollars sur plusieurs comptes. Les cybercriminels combinent souvent l’usage d’e-mails d’hameçonnage générés par l’IA à des tactiques de manipulation psychologique et à des techniques d’hypertrucage.

Développement de logiciels malveillants : les acteurs de menaces utilisent l’IA générative (GenAI) pour créer des logiciels malveillants « intelligents » qui peuvent modifier leur code pour échapper à la détection par les systèmes de sécurité traditionnels. Ainsi, les équipes de sécurité ont plus de mal à identifier et à neutraliser les menaces. Les logiciels malveillants sont couramment utilisés pour dérober des identifiants et d’autres informations à partir de systèmes infectés.

Reconnaissance automatisée : l’IA peut traiter les données rapidement, ce qui signifie que les acteurs malveillants peuvent rapidement trouver des cibles et des vulnérabilités. Voici quelques exemples de stratégies mises en œuvre :

-- Analyse et cartographie des réseaux et identification des hôtes actifs, des ports ouverts, des services en cours d’exécution et des topologies de réseau.

-- Collecte d’informations auprès de sources publiques telles que les moteurs de recherche, les réseaux sociaux et les dépôts de code pour les renseignements open source (OSINT). Les pirates utilisent souvent ces informations pour lancer des attaques par hameçonnage et par ingénierie sociale.

-- Analyse des référentiels de code, des sites web et des applications pour détecter les erreurs de configuration et d’autres vulnérabilités.

-- Déploiement de chatbots d’IA qui automatisent les attaques d’ingénierie sociale comme l’hameçonnage ou le prétexte.

Ensembles d’identifiants de grande valeur

Il existe plusieurs façons pour les pirates d’utiliser des identifiants volés. Nous avons déjà mentionné l’intérêt de pouvoir se connecter à un système en tant qu’utilisateur autorisé. Des ensembles d’identifiants sont également couramment mis en vente sur des forums de cybercriminalité afin que d’autres pirates puissent les utiliser. En 2023, une société d’études sur les réseaux sociaux a révélé que les identifiants et d’autres informations de compte pouvaient se vendre de 6 à 45 dollars par compte

 

 

Un autre rapport publié plus tard dans l’année révèle que les identifiants d’un compte PayPal ont bien plus de valeur que celles d’un compte sur les réseaux sociaux, d’une boîte e-mail ou d’une carte de crédit. Les prix des identifiants PayPal sont principalement déterminés par le solde du compte. Cette étude a révélé que le prix moyen d’un compte PayPal était de 196,50 $ pour un solde moyen de 2 133,61 $.

 

 

Une troisième étude réalisée en 2023 a révélé que les ensembles d’identifiants de certains comptes de cryptomonnaie et de traitement des paiements pouvaient coûter des milliers de dollars.

 

 

Les méthodologies utilisées dans les trois études présentent certaines similitudes, mais ne sont pas identiques. Vous observerez probablement des différences entre les chiffres si vous y regardez de plus près, mais ces exemples mettent en évidence la valeur des identifiants.

Les pirates utilisent souvent des identifiants dérobés lors d’une violation pour attaquer un autre service. Ces attaques reposent sur trois méthodes courantes, et l’IA est capable de toutes les automatiser :

Le credential stuffing (ou bourrage d’identifiant) : les acteurs malveillants utilisent les milliards d’identifiants volés disponibles sur le dark web pour accéder à plusieurs comptes. Il s’agit de l’un des types d’attaques par mot de passe les plus répandus, et il est efficace car de nombreuses personnes utilisent le même nom d’utilisateur et le même mot de passe pour se connecter à plusieurs services.

Le password spraying (ou pulvérisation de mots de passe) : il s’agit d’une attaque automatisée visant à faire correspondre quelques mots de passe répandus avec de nombreux noms d’utilisateur connus. Pour les pirates, cette attaque est particulièrement efficace contre les services cloud, les points d’accès distants et les fournisseurs d’authentification unique.

Les attaques par force brute : il s’agit de processus automatisés basés sur les tentatives et les erreurs qui permettent de deviner les mots de passe en utilisant toutes les combinaisons de caractères. Dans ce cas, aucun identifiant connu n’est utilisé, bien que les attaques aient souvent recours à des noms d’utilisateur et à des mots de passe par défaut connus, ainsi que des listes des mots de passe les plus courants.

Protégez-vous

Pour vous défendre et défendre votre entreprise contre le vol d’identifiants généré par l’IA, vous devez mettre en place des politiques de sécurité strictes, former et sensibiliser les utilisateurs et miser sur des solutions de sécurité avancées.

Mesure de protection

Description

Utilisez des mots de passe complexes

Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe complexes et n’utilisez jamais le même mot de passe pour plusieurs comptes.

Activez l’authentification multifacteur (MFA)

Pour vous authentifier, l’authentification multifacteur utilise une combinaison de facteurs : une information que vous connaissez et un élément que vous possédez. Un nom d’utilisateur et un mot de passe (que vous connaissez) ne suffisent pas pour se connecter. Vous avez également besoin d’un dispositif ou d’un jeton matériel (que vous possédez) pour confirmer votre demande de connexion.

Surveillez les attaques par hameçonnage

Vérifiez la source des e-mails et faites preuve de prudence avec les messages qui vous demandent des informations sensibles ou vous encouragent à cliquer sur un lien.

Systèmes de mise à jour et de correctifs

Les analyses réseau alimentées par l’IA recherchent les vulnérabilités de vos applications et de vos périphériques réseau. Maintenez les logiciels à jour et appliquez les correctifs de sécurité dès que possible.

Utilisez des outils de sécurité basés sur l’IA

Utilisez une protection complète du réseau et des points de terminaison avec une sécurité basée sur l’IA capable de détecter une activité inhabituelle ou un trafic inattendu sur le réseau.

Informez-vous et informez les autres

Organisez ou encouragez des campagnes de sensibilisation à la sécurité qui permettront aux employés d’identifier les menaces par e-mail, les attaques basées sur l’IA et l’ingénierie sociale et de se défendre.

Surveillez l’activité des comptes

Vérifiez régulièrement vos comptes et configurez des alertes automatisées pour être averti en cas d’activité inhabituelle.

Utilisez des connexions sécurisées

Évitez d’envoyer ou d’accéder à des informations sensibles sur les réseaux publics et veillez à utiliser en permanence une communication chiffrée (HTTPS).

Adoptez les principes zero trust

Les principes zero trust permettent de vérifier en permanence l’identité et la fiabilité des appareils et des utilisateurs. Même lorsque des acteurs malveillants dérobent des identifiants, les principes zero trust peuvent refuser la connexion en fonction du type d’appareil, de l’heure ou de l’emplacement de l’utilisateur.

Pour obtenir plus de détails sur les attaques par mot de passe, consultez l’article « Password protection in the age of AI » sur le blog d’Emre.

Une série d’articles de blog ne pourra jamais aborder toutes les façons dont les criminels utilisent l’IA pour lancer des attaques, mais nous espérons que cette série en cinq parties vous donnera quelques idées pour vous protéger de ces menaces. Pour en savoir plus sur l’IA et la cybersécurité, consultez notre eBook, Sécuriser demain : Guide du RSSI sur le rôle de l’IA dans la cybersécurité.

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 Les cybercriminels sont de plus en plus jeunes... et plus dangereux
Les cybercriminels sont de plus en plus jeunes... et plus dangereux
Lazarus Group : Un syndicat criminel avec un drapeau
Lazarus Group : Un syndicat criminel avec un drapeau
 Le côté obscur de GenAI : implications stratégiques pour la défense cybernétique
Le côté obscur de GenAI : implications stratégiques pour la défense cybernétique
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.