Si les cyber-violations font généralement la une des journaux, les modes d’attaques attirent parfois davantage l’attention des médias du fait de leur caractère unique. Parmi eux, la pulvérisation de mots de passe, encore méconnue des entreprises, constitue une véritable menace pour la protection des identités.
Selon le dernier rapport Cost of Data Breach d’IBM, les informations d’identification compromises émergent comme le vecteur d’attaque initial le plus courant en 2021. Elles seraient responsables de près de 20 % des failles. Il ressort également que 44 % de ces dernières impliquent des vols d’informations personnelles client (PII) avec un coût approximatif de 139 € par dossier perdu ou volé en 2021 contre environ 155 € en 2020. Ces violations de données, qui impliquent des identifiants de connexion compromis, telles que le « password spraying » ou la pulvérisation de mots de passe, constituent un véritable défi de sécurité pour les entreprises.
Si les cyber-violations font généralement la une des journaux, les modes d’attaques attirent parfois davantage l’attention des médias du fait de leur caractère unique. Parmi eux, la pulvérisation de mots de passe, encore méconnue des entreprises, constitue une véritable menace pour la protection des identités.
Dans le cas d’une compromission par password spraying, un cybercriminel tente de deviner les identifiants de connexion d’un groupe d’utilisateurs d’un même domaine, en utilisant des mots de passe courants, tels que « 123456 » ou « azerty ». Grâce à une liste de mots de passe faciles à identifier, les pirates peuvent ainsi accéder à une centaine de comptes en une seule attaque. La « variable connue » est donc le mot de passe, et non le nom du compte.
Le password spraying se différencie ainsi des attaques par force brute où les hackers utilisent le nom d’utilisateur. De plus, ce type d’attaque est souvent automatisé et se déroule lentement, ce qui rend sa détection difficile au sein de l’entreprise. La cause principale de ces attaques par force brute, qui donnent aux hackers un accès non autorisé aux systèmes critiques d’une organisation, reste la simplicité des mots de passe choisis par des utilisateurs pour sécuriser leurs comptes.
Mots de passe courants, un vecteur d’attaque lucratif
Des identifiants de connexion courants, trop simples et donc faciles à déchiffrer facilitent la tâche des hackers qui cherchent à s’infiltrer dans les systèmes critiques d’une entreprise. Les trois tactiques les plus fréquemment observées par les experts en cybersécurité sont l’achat de listes d’identifiants, les compromissions de mots de passe trop simples ou trop répandus, et la détection de combinaisons de connexion.
Pour lancer une attaque de type password spraying, les cybercriminels commencent souvent par acheter une liste d’identifiants volés sur le darkweb. Cependant, il arrive que ceux-ci croisent également leur propre liste avec les modèles des adresses électroniques professionnelles (par exemple, prenom.nomdefamille@entreprise.com) ainsi qu’une liste de personnes qui travaillent dans cette entreprise (à partir de LinkedIn, par exemple). De plus, les cybercriminels trouvent facilement les mots de passe les plus courants, soit grâce à des listes publiées chaque année dans des rapports ou des études, soit en établissant une liste de mots de passe souvent utilisés et moins évidents, à l’aide de recherches supplémentaires.
Une fois qu’un cybercriminel dispose d’une liste de noms d’utilisateur et de mots de passe, il sera plus à même de tester une combinaison d’identifiants de connexion valide. Pour accéder à ces ressources, un système automatisé qui teste un mot de passe avec chaque utilisateur, puis répète ce processus, est utilisé afin d’éviter d’être entravé par des politiques de verrouillage de compte ou des bloqueurs d’adresse IP, qui limitent les tentatives de connexion.
Les effets de ce type de cyberattaque sur une entreprise varient en fonction du rôle de la personne dont le compte a été piraté ; s’il s’agit d’un compte utilisateur, les données personnelles de ce dernier risquent alors d’être usurpées ou dérobées. Cependant, s’il appartient à des administrateurs, les cybercriminels pourraient accéder aux informations critiques pour l’entreprise et prendre le contrôle des systèmes.
Face aux risques de compromissions par pulvérisations de mots de passe, les entreprises peuvent encourager leurs employés à favoriser la longueur du mot de passe – plus difficiles à mémoriser – au lieu de sa complexité, ce qui le rend moins évident à deviner pour les cybercriminels. De plus, la révision et la réduction régulière du nombre de personnes ayant accès aux systèmes critiques sont nécessaires. Si leur nombre augmente, les cybercriminels atteindront alors plus facilement ces systèmes par pulvérisation de mots de passe.
Les solutions d’authentification forte : un obstacle pour les cybercriminels
Pour éviter les attaques par password spraying, l’authentification forte est essentielle. En effet, elle limite la capacité d’un pirate à recourir à cette méthode pour pénétrer dans les systèmes d’une entreprise, et réduit considérablement les comportements dangereux courants liés aux mots de passe. Pour une sécurité optimale, en alternative aux mots de passe, les organisations peuvent choisir d’authentifier leurs utilisateurs à l’aide de données biométriques, d’un lien qui vérifie la propriété d’un compte de courrier électronique ou même d’un message SMS qui confirme la possession d’un appareil.
Les attaques par password spraying entraînent, en fin de compte, des vulnérabilités plus sérieuses pour les entreprises. Par un effet de cascade, elles impactent l’ensemble de l’organisation ainsi que sa chaîne d’approvisionnement, et créent un effet d’avalanche entraînant d’autres parties dans le processus. C’est la raison pour laquelle les entreprises doivent absolument adopter des bonnes pratiques centrées sur la création d’identifiants, et déployer, en complément, des moyens d’authentification forte afin d’assurer une sécurité optimale. Elles peuvent aller plus loin en formant leurs utilisateurs sur les bénéfices de telles méthodes, en particulier sur la manière dont celles-ci réduisent le risque d’attaques par password spraying.
Cette action, primordiale, favorise l’adoption. En s’appuyant sur une politique à la fois complète, compréhensible et simple, les entreprises pourront ainsi se prémunir contre ces risques d’attaques, réduire significativement les risques de compromissions, et protéger les identités de leurs utilisateurs, clients, et partenaires.
