Qu'est-ce que la reprise de compte ?
Une personne moyenne possède des dizaines de comptes en ligne nécessaires pour accéder à des sites web, des applications et des systèmes personnels et professionnels. Les attaques par prise de contrôle de compte (comme leur nom l'indique) tentent d'obtenir l'accès à ces comptes, ce qui permet à l'attaquant de voler des données, de diffuser un logiciel malveillant, ou d'utiliser l'accès et les autorisations légitimes du compte à d'autres fins malveillantes.
Comment se produisent les prises de contrôle de comptes ?
Pour qu'une attaque par prise de contrôle de compte puisse se produire, l'attaquant doit avoir accès aux informations d'authentification du compte cible, telles qu'une combinaison de nom d'utilisateur et de mot de passe. Les attaquants peuvent obtenir ces informations de diverses manières, notamment :
- Bourrage de justificatifs : Les attaques de bourrage de justificatifs utilisent des robots pour tenter automatiquement de se connecter à un compte utilisateur à l'aide d'une liste de mots de passe courants ou ayant fait l'objet d'une violation. Ces attaques sont possibles car de nombreux comptes d'utilisateurs sont protégés par des mots de passe faibles ou réutilisés - un problème de sécurité majeur.
- Phishing : Les informations d'identification des utilisateurs sont une cible courante des attaques de phishing , qui utilisent souvent des liens malveillants pour diriger un utilisateur vers une fausse page de connexion à un service, permettant à l'attaquant de recueillir ses informations d'identification.
- Logiciels malveillants : Les infections par des logiciels malveillants sur l'ordinateur d'un utilisateur peuvent voler des mots de passe de différentes manières. Il s'agit notamment d'extraire les informations d'authentification des caches de mots de passe du navigateur ou du système, ou d'enregistrer les frappes d'un utilisateur lorsqu'il s'authentifie sur un compte.
- Vulnérabilités des applications : Les utilisateurs ne sont pas les seules entités disposant de comptes sur les systèmes et réseaux d'une organisation. Les applications ont également des comptes, et un attaquant peut exploiter les vulnérabilités de ces comptes pour profiter de leur accès.
- Cookies volés : Les cookies stockés sur l'ordinateur d'un utilisateur peuvent conserver des informations sur sa session de connexion afin de permettre l'accès à un compte sans mot de passe. En ayant accès à ces cookies, un attaquant peut prendre le contrôle de la session d'un utilisateur.
- Mots de passe codés en dur : Les applications doivent généralement avoir accès à divers comptes en ligne pour remplir leur rôle. Parfois, les mots de passe de ces comptes sont stockés dans le code de l'application ou les fichiers de configuration, qui peuvent être exposés sur GitHub ou faire l'objet d'autres fuites.
- Clés API compromises : Les clés API et autres jetons d'authentification sont conçus pour permettre aux applications d'accéder à des comptes et services en ligne via une API. Si ces clés sont accidentellement téléchargées vers un dépôt GitHub ou font l'objet d'une autre fuite, elles peuvent donner accès au compte d'une organisation.
- Reniflage du trafic réseau : Bien que la plupart du trafic réseau soit chiffré et sécurisé, certains appareils utilisent encore des protocoles non sécurisés, tels que Telnet. Un attaquant qui peut visualiser ce trafic réseau non chiffré peut en extraire des informations d'identification.
Impact des attaques de prise de contrôle de comptes
Une attaque réussie de prise de contrôle de compte accorde à l'attaquant les mêmes accès et autorisations que le propriétaire légitime du compte. Avec cet accès, un attaquant peut entreprendre diverses actions, telles que :
- Vol de données : Les attaques par prise de contrôle de comptes peuvent conduire à la violation de et à l'exfiltration de grandes quantités de données sensibles, confidentielles ou protégées, telles que des numéros de cartes de crédit ou des informations d'identification personnelle (PII).
- Diffusion de logiciels malveillants : Les attaques par prise de contrôle de compte permettent aux attaquants d'installer et d'exécuter des rançongiciels et d'autres logiciels malveillants sur les systèmes de l'entreprise.
- Attaques de suivi : Une fois qu'un attaquant a obtenu l'accès à un compte légitime, il peut l'utiliser pour mener d'autres attaques. Parfois, l'accès à un compte spécifique n'est fait que dans ce but (par ex. les attaquants peuvent voler les identifiants de connexion en espérant que l'utilisateur a réutilisé des mots de passe sur plusieurs comptes).
- Mouvement latéral : Un compte compromis peut constituer un point d'entrée pour un attaquant dans un réseau par ailleurs sécurisé. À partir de ce point de départ initial, l'attaquant peut étendre son accès ou élever ses privilèges à d'autres systèmes de l'entreprise, un processus appelé mouvement latéral.
- Profit financier : Au lieu d'utiliser lui-même le compte compromis, l'attaquant peut en vendre l'accès sur le dark web.
Comment se défendre contre les attaques par prise de contrôle de compte
Les organisations peuvent prendre plusieurs mesures pour prévenir la prise de contrôle de comptes et minimiser l'impact de ces attaques.
Prévention de la prise de contrôle des comptes
La défense en profondeur constitue la meilleure approche à adopter pour lutter contre les risques d'attaque par usurpation de compte. Les attaques par usurpation de compte profitent généralement de lacunes dans les pratiques de sécurité des comptes. Voici quelques exemples de défense que les entreprises peuvent mettre en place pour prévenir les attaques par usurpation de compte :
- Politiques de mots de passe forts : De nombreuses attaques de prise de contrôle de comptes tirent parti de mots de passe faibles et réutilisés. La définition et l'application d'une politique de mots de passe forts - y compris la réalisation d'un test pour vérifier si les mots de passe des utilisateurs ont été exposés lors d'une violation - peuvent rendre plus difficiles les attaques par bourrage de crédits et par craquage de mots de passe.
- Protection contre le phishing : Les attaques de phishing sont une méthode courante pour les attaquants de voler les mots de passe des utilisateurs. En filtrant les courriels à risque ou en bloquant les domaines suspects via Internet filtering, une organisation réduit le risque que les utilisateurs compromettent leurs informations d'identification par inadvertance.
- Authentification multifactorielle (MFA) : MFA utilise plusieurs facteurs pour authentifier un utilisateur, comme la combinaison d'un mot de passe et d'un mot de passe à usage unique (OTP) généré par une application d'authentification, ou l'utilisation de hard keys en plus d'un mot de passe. En imposant l'utilisation de l'AMF sur tous les comptes, il est plus difficile pour un attaquant de tirer parti d'un mot de passe compromis.
- Test de sécurité des applications : Les clés d'API et les jetons d'authentification exposés dans les API peuvent permettre aux attaquants d'accéder aux comptes en ligne d'une organisation. L'application de pratiques d'authentification forte et l'analyse du code d'application et des fichiers de configuration à la recherche d'éléments d'authentification permettent de s'en prémunir.
- Sécurité des connexions et des API : les attaques par infiltration de compte essaient de nombreuses combinaisons différentes de noms d'utilisateurs et de mots de passe pour tenter de deviner des identifiants de connexion valides. Les solutions de sécurité des connexions et des API peuvent vous aider à identifier et à bloquer ces attaques.
Atténuation des attaques de prise de contrôle de compte
La prévention de la prise de contrôle de compte est importante pour gérer le risque d'attaques par prise de contrôle de compte, mais elle n'est pas toujours efficace. Par exemple, une attaque par hameçonnage sur le compte de messagerie personnel d'un utilisateur peut entraîner la fuite d'informations de connexion permettant à un attaquant de se connecter au compte d'entreprise de ce même utilisateur.
En plus des stratégies de prévention énumérées ci-dessus, les organisations peuvent minimiser les dommages causés par ces attaques en utilisant les approches suivantes :
- Analyse comportementale : . Lorsqu'il a accès au compte d'un utilisateur, un attaquant est susceptible de se livrer à des activités anormales, comme l'exfiltration de gros volumes de données sensibles ou le déploiement de logiciels malveillants. La surveillance continue de l'utilisation d'un compte après l'authentification peut permettre à une organisation de détecter et de répondre à des attaques réussies de prise de contrôle de compte.
- Sécurité "Zero Trust" : Une approche de la sécurité basée sur le refus par défaut, Zero Trust , rend extrêmement difficile pour les attaquants l'accès à l'application ou à la ressource ciblée, même s'ils possèdent des informations d'identification compromises. La demande d'un attaquant pour accéder aux applications de l'entreprise devrait être vérifiée sur la base de l'identité, de la position du dispositif et d'autres signaux contextuels avant que l'accès ne soit accordé. Une organisation dotée de politiques de confiance zéro rigoureuses et granulaires peut détecter des signaux suspects - comme la géographie inhabituelle de la demande ou le fait que le dispositif à l'origine de la demande est infecté - et refuser la demande d'accès de l'attaquant.
Cloudflare Zero Trust permet aux entreprises d'autoriser l'accès à distance aux applications et aux systèmes, tout en maîtrisant le risque d'usurpation de compte. Avec une solution d'accès réseau Zero Trust (Zero Trust Network Access, ZTNA), les utilisateurs ne peuvent accéder à des ressources spécifiques qu'après vérification de leur identité, de leur contexte et de leur conformité aux politiques de l'entreprise.