Chaque fois qu’un individu ou qu’un groupe connaît les mots de passe d’un autre groupe de personnes ou de ressources, une attaque « pickpocket » peut se produire.

L’incident le plus médiatisé ces dernières années concerne Edward Snowden (et oui, absolument tout le monde dans le gouvernement et dans l’industrie de la sécurité est fatigué d’entendre son nom).

Snowden a obtenu les identifiants de ses collègues illégalement pour dérober des informations en se servant de mots de passe volés et de terminaux ayant les autorisations nécessaires pour accéder aux données sensibles. Les utilisateurs n’étaient pas conscients du vol, les mots de passe n’étaient jamais modifiés et les informations ont été dérobées petit à petit, pour éviter tout risque d’être détecté.

Ce type de vol de données qui s’inscrit dans la longueur est également arrivé à Yahoo et Starwood, même si les formes d’attaque privilégiée étaient légèrement différentes et non perpétrées en une seule fois.
 
Malheureusement, cela ne suffit pas pour comprendre la menace. Les menaces visant les mots de passe de type pickpocket peuvent être perpétrées de l’intérieur ou de l’extérieur. Elles peuvent se produire aussi bien dans notre vie privée que dans des entreprises, organisations ou administrations.

La menace s’appuie sur le concept d’une entité qui connaîtrait de trop nombreux identifiants et mots de passe de quelqu’un (ou quelque chose) d’autre. Les identifiants s’obtiennent illégalement avec l’intention malveillante de les réutiliser.

Nous voici donc confrontés à un dilemme de sécurité : comment atténuer ce type de menace. Voici quelques stratégies pour atténuer le risque  : 

1 – Ne réutilisez jamais un mot de passe pour deux ressources.

Chaque application et ressource devrait avoir son propre mot de passe unique. N’utilisez jamais les mêmes identifiants au travail et à la maison. En entreprise, envisagez un gestionnaire de mots de passe capable de stocker, de faire tourner automatiquement et d’attribuer des mots de passe aux bonnes personnes en fonction de leur rôle. Ainsi, le pickpocket ne pourra pas accumuler des mots de passe puisque ceux-ci changent constamment et suivent un modèle d’attribution.

2 – Si la solution prend en charge l’authentification MFA ou 2FA, utilisez-la.

Si votre mot de passe a été révélé d’une manière ou d’une autre, la technologie multifactorielle ou bifactorielle peut aider à contrer les tentatives d’authentification non autorisée si un pickpocket s’en empare. De plus, utiliser cette technologie avec des informations contextuelles (comme la source IP) renforcera le modèle de sécurité pour empêcher les accès aux positions géolocalisées non autorisées.

3 – Ne maintenez pas des mots de passe statiques sur de longues périodes.

Ceci fait écho à la première recommandation. Souvent, même en présence d’un gestionnaire de mots de passe, nous ne forçons pas assez fréquemment la rotation des mots de passe, surtout dans la vie privée. Pensez à changer vos mots de passe aussi fréquemment que vous changez les batteries de votre détecteur de fumée. Pensez-y au moins deux fois par an, au moment du passage de l’heure d’été à l’heure d’hiver, et vice-versa !

Si vous êtes un professionnel de la cybersécurité curieux, vous devez savoir que les derniers conseils de la NIST précisent qu’il n’est pas utile de faire tourner les mots de passe d’un utilisateur fréquemment. C’est vrai pour les utilisateurs standard qui ne partagent ou n’entrent pas des identifiants de façon répétée dans différents systèmes.

Mais ce n’est pas une bonne pratique pour les comptes de service, les comptes privilégiés ou toute autre combinaison identifiant/mot de passe possiblement connue de plusieurs personnes. Ceci nous ramène au point d’origine : pourquoi les mots de passe volés par des pickpockets et le fait de les connaître constitue-t-il une menace.
 
A mesure que les vecteurs d’attaques privilégiées continuent d’évoluer, toutes les entreprises doivent prendre conscience de la menace liée aux pickpockets de mots de passe.
Quiconque, en interne comme en externe, amené à connaître des mots de passe obtenus illégalement, est un pickpocket potentiel.