Les attaques de farce d’informations d’identification sont motivées par une tendance pour les gens à utiliser des mots de passe correspondants entre plusieurs comptes en ligne. Malgré le risque posé par cette habitude, il reste un événement commun. Dans une enquête menée auprès de 3 000 personnes, Google a constaté qu’un peu plus d’un tiers des répondants utilisaient un mot de passe différent pour tous leurs comptes, tandis qu’un peu plus de la moitié utilisaient le même mot de passe dans plusieurs comptes et que 13 % utilisaient le même mot de passe pour tous leurs comptes en ligne.
La farce d’informations d’identification partage de nombreuses similitudes avec les attaques par déni de service distribué (DDoS). Le botnet Mirai a d’abord été utilisé pour les attaques DDoS, mais a été plus tard réutilisé pour la farce d’informations d’identification (et d’autres variantes), car il s’est avéré plus rentable. Les deux DDoS et la farce d’identification s’appuient sur des botnets pour automatiser le bombardement des sites Web.
« Au lieu de générer au hasard plusieurs suppositions de mot de passe contre un service (comme dans une attaque de force brute), la farce d’informations d’identification exploite la tendance des gens à réutiliser les combinaisons de noms d’utilisateur et de mots de passe », explique un porte-parole du Centre national de cybersécurité.
« Avec la pulvérisation de mots de passe, la farce d’informations d’identification est l’un des types les plus persistants de cyberattaques – un trafic Internet malveillant toujours présent qui est difficile à voir. Les deux causent des perturbations importantes aux organisations de victimes, même lorsqu’elles n’ont pas causé d’infractions importantes.
À titre d’exemple, les attaquants ont récemment eu accès au référentiel GitHub d’Uber à l’aide des identifiants de connexion des employés qui avaient été compromis lors de violations de données précédentes. Les pirates ont par la suite localisé les informations d’identification du datastore Amazon Web Services (AWS) de l’entreprise et ont pu accéder aux dossiers de 32 millions d’utilisateurs et de 3,7 millions de conducteurs.
Les attaques de farces d’informations d’identification sont devenues un risque de plus en plus puissant pour les organisations. Comme de plus en plus de violations de données se produisent, libérant plus de détails de connexion dans la nature, plus de données est disponible pour les pirates de travailler avec. « Chaque fois qu’il y a un événement important de violation de données, nous voyons absolument une augmentation de la farce de tentative d’accréditation, » dit Sam Crowther, fondateur de Kasada.
Farce d’informations d’identification déguisées
En raison de leurs similitudes, il est tout à fait possible qu’une attaque DDoS pourrait être utilisée pour masquer la farce d’informations d’identification. Plutôt que de répéter la même action et ainsi écraser le serveur dans le cas de DDoS, la farce d’informations d’identification tente une combinaison de connexion – adresse e-mail et mot de passe, par exemple – avant de passer à l’autre. Comme la farce d’informations d’identification implique différentes, et souvent échoué, tentatives de connexion, il peut être facile à manquer.
Pour détecter les attaques de farce d’informations d’identification, les organisations doivent être conscientes des rafales soudaines d’un grand nombre de tentatives de connexion ratées. La configuration des modules du système de détection des intrus (IDS) pour détecter non seulement, mais signaler de tels cas permettra aux organisations de prendre conscience de ces attaques et de prendre les mesures appropriées.
Il est à noter que les pirates ne sont pas seulement essayer de se connecter à des systèmes en ligne, mais aussi les interfaces de programmation d’applications (API) qui existent derrière un site Web. Bien que les API ne soient pas le but ultime de telles attaques, elles sont moins protégées que les systèmes de connexion typiques et permettent aux pirates d’accéder aux autorisations des utilisateurs et aux fonctions associées.
« Au cours des deux dernières années, les attaques ont été dirigées vers les interfaces API et les interfaces de développement, qui n’ont pas nécessairement les mêmes systèmes de serveur d’authentification en place », explique Colin Tankard, directeur général de Digital Pathways. « ls ne sont certainement pas aussi bien protégés, comme un site financier serait, sur les logons. »
Atténuation des risques
Malgré les attaques de farce d’accréditation découlant d’un problème humain, il existe encore des solutions éducatives et technologiques que les organisations peuvent mettre en œuvre pour atténuer le risque de farce d’informations d’identification.
L’augmentation du nombre d’étapes du processus de vérification, par exemple par l’authentification à deux facteurs (2FA) ou l’authentification multifacteur (AMF), réduit le danger posé par la farce d’informations d’identification. Ces mesures de vérification supplémentaires peuvent se faire par le biais de la biométrie ou de l’utilisation de l’un des nombreux authentificateurs 2FA et MFA disponibles.
La raison pour laquelle 2FA et MFA sont si efficaces contre les attaques de farce d’accréditation est qu’ils fournissent un niveau supplémentaire de vérification pour accéder. Comme les attaques de farce d’informations d’identification sont basées sur des informations de connexion obtenues précédemment, les informations supplémentaires requises pour 2FA ne seront jamais présentes.
Toutefois, la 2FA et l’AMF ne sont pas irréprochables, car l’efficacité de ces technologies est certaine. En outre, comme il existe plusieurs types de systèmes 2FA, les utilisateurs peuvent se sentir bombardés par des demandes d’authentification et la lutte pour rappeler quelle application 2FA est utilisée dans chaque instance. « L’industrie a maintenant des milliers de différentes variantes de multifactor et vous finissez par être submergé lorsque vous vous connectez sur le site », observe Tankard.
2FA et MFA sont couronnés de succès contre les attaques de farce d’accréditation parce qu’ils fournissent un niveau supplémentaire de vérification. Comme les attaques de farce d’informations d’identification sont basées sur des informations de connexion obtenues précédemment, les informations supplémentaires requises pour 2FA ne seront jamais présentes
L’application des utilisateurs pour changer régulièrement leurs mots de passe peut être bénéfique, surtout si les mots de passe ne peuvent pas être répétés. Toutefois, cela n’empêche pas les utilisateurs de changer leurs mots de passe par ceux utilisés sur d’autres sites. De même, les utilisateurs peuvent être frustrés d’avoir à changer leurs mots de passe fréquemment.
Bien que les attaques de farce d’informations d’identification puissent être bloquées pour accéder à un site Web, cela ne les empêche pas de causer des dommages secondaires en réduisant le site Web ou le serveur de connexion, en raison de l’effet DDoS. Dans de tels cas, les filtres de trafic réseau peuvent aider à atténuer ces risques.
Néanmoins, les attaques de farce d’informations d’identification sont nettement différentes des attaques DDoS. Dans la farce d’informations d’identification, une combinaison d’utilisateur et de mot de passe ne sont tentées qu’une seule fois avant de passer à autre chose, ergo il s’affichera comme un seul échec de connexion dans ce cas, sans tentatives répétées.
Étant donné que la farce d’informations d’identification est un processus automatisé utilisant des botnets, les systèmes de connexion pour les sites Web peuvent ajouter une couche de sécurité en détectant la plate-forme d’où proviennent chaque demande de connexion. En confirmant que la demande de connexion provit d’un navigateur Web, cela indique que la demande de connexion est plus susceptible d’être légitime, plutôt que de faire partie d’un botnet.
« Au lieu de regarder l’adresse IP, ils s’assurent que tout ce qui est connecté est, en fait, un navigateur légitime, » dit Crowther. « Vas-y, avant même d’accéder à l’un de nos sites Web, il fera le profil de votre navigateur de l’intérieur pour vous assurer qu’il n’y a pas d’automatisation en cours. »
Bien que cette technique particulière obtienne des données concernant l’utilisateur, elle évite tout problème de protection des données car elle ne récolte aucune des données de l’appareil ou de la régionalisation.
Prévenu est avant-bras
Étant donné que le nombre d’attaques de farce d’informations d’identification augmente à la suite de chaque nouvelle violation de données, être prévenu est avant-bras. Par conséquent, les services informatiques qui se tiennent au courant de l’actualité dans le domaine de la cybersécurité seront mieux placés pour anticiper les attaques potentielles de farce d’accréditation et pour se préparer en conséquence, comme le fait de mettre du temps de côté pour répondre aux attaques ou de s’assurer que des ressources réseau suffisantes seront disponibles.
« Soyez conscients d’une augmentation inhabituelle du nombre d’utilisateurs qui disent : « Je ne peux pas entrer dans le système » ou « Mon mot de passe semble être différent », parce que tant d’entreprises ne relient pas tous ces bits ensemble et ne voient pas qu’il se passe quelque chose », conseille M. Tankard.
Problèmes humains
En fin de compte, pour toutes les mesures technologiques qui peuvent atténuer le problème, la farce des titres de compétences est le symptôme d’un problème très humain. Investir dans l’éducation des employés dans la sécurité de base des mots de passe peut porter ses fruits à l’avenir, car il permettra de sensibiliser davantage les gens aux dangers que les mauvaises habitudes de passe de passe peuvent apporter.
« Les individus doivent être plus prudents avec les mots de passe, » dit Tankard. « S’ils voient une alerte pour un site Web qu’ils pensent avoir été sur, qu’il a été compromis, ils devraient changer leur mot de passe. »
Pour toutes les mesures technologiques qui peuvent atténuer le problème, la farce d’accréditation est un symptôme d’un problème très humain. L’éducation des employés à la sécurité de base des mots de passe peut porter ses fruits à l’avenir, car elle sensibilisera davantage les gens aux dangers des mauvaises habitudes de mots de passe.
Non seulement les employés devraient utiliser des mots de passe uniques pour chacun de leurs informations d’identification utilisateur, mais ils devraient également vérifier régulièrement le site Web Have I been pwned (HIBP). Lancé en 2013, HIBP permet aux internautes de vérifier si leur adresse e-mail et les données personnelles associées ont été compromises par des failles de sécurité. Le service collecte et analyse des centaines de décharges de bases de données, permettant aux utilisateurs de rechercher leurs propres informations en entrant leur nom d’utilisateur ou leur adresse e-mail. Les utilisateurs peuvent également s’inscrire gratuitement pour être informés si leur adresse e-mail apparaît dans les prochains vidages.
De plus, les employés pourraient être encouragés à utiliser des systèmes de gestion des mots de passe, comme LastPass. Les systèmes de gestion des mots de passe sont particulièrement efficaces, car ils génèrent des mots de passe forts et uniques qui peuvent être solidement protégés. Toutefois, si un mot de passe faible est utilisé pour protéger la base de données, il y a un risque que tous les mots de passe d’un utilisateur puissent être exposés.
Avec le nombre croissant d’atteintes à la protection des données, les perspectives pour les attaques de farce d’informations d’identification sont que leur nombre et leur fréquence sont susceptibles d’augmenter. « La farce d’informations d’identification wles malades continuent de s’aggraver en tant que course aux armement », dit Crowther. « Barnes et Noble ont annoncé qu’ils avaient une brèche, et cela va maintenant ajouter au ‘bien’. »
La farce d’informations d’identification provient de mauvaises habitudes de mot de passe et est finalement un symptôme d’un problème humain. Cependant, il existe plusieurs mesures technologiques et éducatives que les organisations peuvent prendre pour se protéger contre de telles attaques.
Investir dans des mesures telles que 2FA ou MFA augmente le nombre de processus de vérification, tandis que le filtrage du réseau peut empêcher les serveurs de connexion d’une organisation d’être submergés. La promotion des systèmes de gestion des mots de passe et l’éducation des employés sur les dangers posés par l’utilisation du même mot de passe sur plusieurs plates-formes permet également aux organisations de prendre des mesures proactives pour se protéger contre ce qui devient un vecteur de plus en plus courant pour les cyberattaques.
Technologie3 ans ago
Monde3 ans ago
Monde2 ans ago
Monde3 ans ago
Monde3 ans ago
France3 ans ago
France3 ans ago
France2 ans ago