Se connecter
Pourquoi les hackers adorent les attaques par usurpation d'identifiants
Si les Advanced Persistent Threats (APT) et autres cyber-attaques sophistiquées dominent les gros titres, la majeure partie des violations de sécurité se produisent en silence, par le biais de méthodes simples, mais efficaces. Les attaques par usurpation d'identifiants, bien qu'elles puissent manquer de sophistication, nécessitent peu d'efforts et génèrent d'importants taux de réussite.
Avec tous les identifiants volés disponibles sur le dark web, les hackers n'ont pas besoin de compétences complexes. Tout ce qu'il leur faut, ce sont les bons identifiants de connexion. C'est pour cela qu'il est essentiel d'être averti lorsque ses identifiants ont été compromis.
Dans cet article, nous nous intéressons aux attaques par usurpation d'identifiants : comment fonctionnent-elles ? Pourquoi les cybercriminels les privilégient ? Et enfin, comment protéger son entreprise ?
Qu'est-ce qu'une attaque par usurpation d'identifiants ?
Dans une attaque par usurpation d'identifiants, les hackers tentent d'obtenir un accès non autorisé à des systèmes ou des données en dérobant, en devinant ou en compromettant par quelque autre biais que ce soit des identifiants de connexion, tels que des noms d'utilisateur et des mots de passe. Ces attaques peuvent prendre bien des formes différentes ; cela peut aller des méthodes par force brute employées pour deviner des mots de passe simples à grande échelle, à des techniques de hameçonnage sophistiqués qui trompent volontairement les utilisateurs en les incitant à entrer volontairement leurs identifiants sur de faux sites web.
Une fois que les hackers disposent d'identifiants valides, souvent, cela leur permet de naviguer librement au sein des systèmes en se faisant passer pour des utilisateurs légitimes, ce qui rend les intrusions plus difficiles à détecter.
Comment les attaques par usurpation d'identifiants fonctionnent ?
Selon la méthode employée, les attaques par usurpation d'identifiants peuvent présenter différents niveaux de sophistication, nécessitant parfois le recours à des outils et des méthodes spécialisées pour voler des identifiants. Les attaques par force brute consistent à tester systématiquement toutes les combinaisons de caractères possibles jusqu'à trouver le bon mot de passe. Si elles demandent beaucoup de temps, elles peuvent néanmoins être très efficaces sur les systèmes protégés par des mots de passe faibles ou courts.
Les attaques hybrides sont plus efficaces que les méthodes par force brute, car elles associent des attaques par dictionnaires recensant des mots courants avec l'ajout de caractères, de chiffres ou de variations à des techniques par force brute. Cette approche augmente considérablement les chances de craquer des mots de passe complexes.
D'autres méthodes d'attaque courantes consistent notamment à cibler les comptes de services Active Directory (c'est ce qu'on appelle le Kerberoasting, attaque ciblant les tickets Kerberos), ou encore à escalader les attaques sur un grand nombre de comptes via pulvérisation de mots de passe. Microsoft en a lui-même subi les conséquences, puisqu'il a récemment subi une attaque par pulvérisation de mots de passe qui a compromis un certain nombre de comptes mail de l'entreprise.
Un mode d'attaque prisé par les hackers
Les attaques par usurpation d'identifiants figurent parmi les techniques préférées des hackers car elles exploitent l'un des maillons faibles de la cybersécurité : le comportement humain, et la difficulté pour les humains de mémoriser et de gérer des mots de passe complexes. Pour compenser cette faille, les utilisateurs ont tendance à réutiliser un même mot de passe sur plusieurs comptes ou à choisir des identifiants faibles, faciles à deviner. C'est ce qui en fait des cibles de choix pour une partie des modes d'attaque évoqués plus haut.
Une fois que les hackers ont mis la main sur des identifiants valides, ils peuvent contourner les mesures de sécurité conventionnelles, jouir d'un accès non autorisé à des données sensibles et augmenter leurs privilèges au sein du système hacké. Les identifiants volés peuvent également être revendus sur le dark web ou servir à lancer d'autres attaques.
Analyse d'une attaque par pulvérisation : le cas de Microsoft
En janvier 2024, Microsoft a été victime d'une cyber-attaque orchestrée par le groupe de hackers russes Midnight Blizzard (également connu sous le nom de Nobelium). Les hackers ont lancé une attaque par pulvérisation de mots de passe, qui consiste à tester un mot de passe faible ou couramment utilisé sur plusieurs comptes. En bombardant les comptes d'utilisateurs de mots de passe compromis connus, le groupe criminel a réussi à infiltrer un ancien compte de test hors production et, soit grâce aux privilèges existants du compte, soit en escaladant ces privilèges après la prise de contrôle, est parvenu à exfiltrer des e-mails et des pièces jointes d'un certain nombre de comptes Microsoft.
L'équipe de sécurité de Microsoft a réussi à détecter rapidement l'intrusion et à empêcher les hackers d'aller plus loin. Néanmoins, cet incident rappelle l'importance de la sécurité des mots de passe : dans ce cas de figure, un compte inactif à faibles privilèges a permis aux hackers d'accéder à des données internes sensibles. C'est bien simple : il leur suffit d'accéder à un seul compte pour infiltrer une organisation. C'est pour cela que les entreprises devraient analyser en continu leur environnement Active Directory pour détecter toute compromission d'identifiants.
Mesures défensives à prendre contre les attaques de mots de passe
Comme dans le cas de l'attaque de Microsoft, la majorité des attaques par usurpation d'identifiants ne sont pas complexes d'un point de vue technique, mais elles sont néanmoins très efficaces, surtout si l'on dispose d'outils et d'équipements spécialisés. Ainsi, pour se protéger contre ces attaques, les organisations peuvent mettre en place des contrôles et des procédures de sécurité rudimentaires.
Protéger tous les comptes
Les organisations doivent suivre et contrôler tous les comptes d'utilisateurs, qu'ils soient actifs ou inactifs, pour pouvoir détecter toute activité suspecte. Les équipes de sécurité privilégient souvent la sécurité des comptes dotés d'importants privilèges, mais les comptes oubliés ou à faibles privilèges peuvent eux aussi être utilisés par les hackers pour procéder à des mouvements latéraux et escalader les privilèges, par le biais desquels ils pourront accéder à des systèmes et des données sensibles.
Appliquer des politiques de mots de passe robustes
En mettant en place des politiques de mots de passe robustes, les organisations peuvent plus facilement imposer l'emploi de mots de passe forts. Par exemple, une politique de mots de passe robuste peut être assortie de dictionnaires sur mesure qui bloqueraient certains termes propres à l'organisation, certains mots courants ou certaines associations faibles (ex. : mots de passe comportant des séries de caractères prévisibles, comme « azerty » ou « 123456 »).
Mettre en place l'authentification multifacteurs (MFA)
La MFA permet d'apporter une couche supplémentaire de protection contre les attaques par usurpation d'identifiants en allant plus loin que les simples noms d'utilisateurs et mots de passe. Ainsi, même si un hacker réussit à voler ou deviner les identifiants d'un utilisateur, il se trouvera bloqué par la demande d'un facteur supplémentaire (ex. : code à usage unique, vérification biométrique ou clé de sécurité). Cela réduit considérablement le risque d'accès non autorisé, les mots de passe compromis ne suffisant plus à eux seuls à infiltrer un compte.
Mettre en place des mesures et des contrôles robustes de la sécurité d'Active Directory
Des contrôles réguliers d'Active Directory peuvent permettre de déceler les comptes inutilisés et inactifs, mais également les points de vulnérabilité liés aux mots de passe. En déployant des outils capables de contrôler en continu votre Active Directory à la recherche de mots de passe compromis, vous pouvez vous assurer que les utilisateurs n'utilisent aucun identifiant compromis lors d'intrusions antérieures.
En résumé, pour se protéger contre les attaques par usurpation d'identifiants, les organisations doivent faire preuve de vigilance à l'égard de la sécurité de leurs mots de passe. Des contrôles réguliers d'Active Directory peuvent aider à déceler les comptes inutilisés et inactifs avant qu'ils ne deviennent problématiques pour la sécurité. Par ailleurs, appliquer des politiques de mots de passe robustes, mettre en place des systèmes de MFA et contrôler en continu l'absence d'identifiants compromis sont des mesures efficaces pour empêcher les attaques par usurpation d'identifiants.
Pour scanner continuellement votre Active Directory à une base de données croissante recensant plus de 4 milliards de mots de passe uniques compromis, essayez gratuitement Specops Password Policy dès aujourd'hui.
Sur le même thème
Voir tous les articles Cybersécurité
Par Philippe Leroy
5 min.Par La rédaction
Par Clément Bohic
Par Eric Antibi *
Par Clément Bohic
