Comptes à privilèges : la cible privilégiée des hackers

Selon une étude de l’éditeur CyberArk, basée sur des interviews d’experts de Cisco, Deloitte, Mandiant (société américaine spécialisée dans la réponse aux incidents), RSA et Verizon, environ 80 % des attaques ciblées passent, à un moment ou à un autre, par la compromission d’un compte à privilèges. Selon les experts interrogés, ces attaques progressent plus rapidement au sein des réseaux des entreprises ciblées et sont aussi plus difficiles à détecter que celles basées principalement sur des malwares ou l’exploitation de vulnérabilités.
En moyenne, les personnes interrogées dans ce rapport estiment que ces attaques persistent pendant des mois ou des années avant d’être découvertes. De son côté, Mandiant, dans une autre étude, affirme que les attaques avancées (APT, pour Advanced Persistant Threat) sont détectées en moyenne au bout de 229 jours.

Comme la NSA…

Plutôt que les attaques zero day, la récupération de couples login / mots de passe de dirigeants ou d’administrateurs IT, via des techniques comme le phishing, apparaît donc comme la technique la plus sûre pour des assaillants. D’autant qu’une fois en possession de ces sésames, un hacker pourra plus facilement effacer ses traces ou implanter des backdoors. D’après les documents d’Edward Snowden, la NSA a d’ailleurs fait des admin une de ses cibles privilégiées…

Pour CyberArk, une des difficultés que rencontrent les DSI réside dans le fait que les entreprises peinent à maîtriser leur inventaire de comptes à privilèges. Ces derniers seraient trois à quatre fois plus nombreux que les employés de l’organisation à un instant t, assure l’éditeur. Sans oublier les nombreux accès ouverts pour les connexions de machine à machine (accès à des applications ou à des données). Face à cette explosion, les DSI ne parviendraient pas à gérer les multiples comptes ainsi que leur extinction. Ca tombe bien : CyberArk vend précisément des solutions de gestion des comptes à privilèges.