BLOG

Vol d'identifiants : Aussi simple que de lancer des attaques de phishing dans un baril

Vignette
Publié le 08 février 2017

Imaginez votre meilleur scénario : Vous avez organisé une formation de sensibilisation à la sécurité pour vos utilisateurs et les avez informés de toutes les menaces qui s'appliquent à eux. Vous avez cultivé une culture de sécurité où tout le monde connaît les tactiques des hameçonneurs et comment éviter d'être compromis par un e-mail de phishing. Vous avez installé un antivirus sur tous vos terminaux pour lutter contre les téléchargements intempestifs. Vos utilisateurs sont même suffisamment avancés pour utiliser un gestionnaire de mots de passe, car ils connaissent et se soucient des dangers des mots de passe faibles et de la réutilisation des mots de passe.

mot de passe

Maintenant, revenons à la réalité. Nous utilisons la technologie parce que les humains sont sujets aux erreurs. Bien sûr, éduquer vos utilisateurs est très important car cela réduira considérablement la fréquence des incidents liés au phishing. Mais peu importe à quel point vous éduquez vos utilisateurs, il y en aura toujours quelques-uns qui feront une erreur. Selon le rapport 2016 de Verizon sur les violations de données (DBIR), 13 % des personnes testées pour phishing cliquent sur la pièce jointe de l'e-mail de phishing. Alors ne vous faites pas d’illusions en pensant qu’aucun de vos utilisateurs ne fait partie de ces 13 %. Mis à part les erreurs, 20 % des employés sont prêts à vendre leurs mots de passe et 44 % d’entre eux le feraient pour moins de 1 000 $ ! Si vous regardez ces statistiques et pensez « Cela n'arriverait pas dans mon organisation », alors c'est vous qui faites l'erreur de ne pas anticiper et de ne pas vous préparer aux incidents de phishing.

Une motivation évidente du phishing est de voler les informations d’identification des utilisateurs pour ensuite lancer une attaque plus profonde. Le rapport DBIR 2016 de Verizon a enregistré 1 429 incidents impliquant l'utilisation d'identifiants compromis. Comment est-ce possible ? La lassitude des utilisateurs en matière de mots de passe est un facteur important. Pensez à tous les mots de passe que vous gardez en mémoire pour vos besoins personnels : votre application bancaire mobile, votre compte Gmail, votre compte Facebook, votre compte Amazon Prime… la liste est longue. Appliquez maintenant cette même situation aux entreprises, où 80 % d’entre elles fournissent des applications (Office 365, Salesforce, Concur, etc.) à partir du cloud. Les données les plus sensibles des entreprises résident dans leurs applications, et ces applications peuvent avoir les exigences de complexité de mot de passe typiques suivantes :

  • Minimum 8 caractères
  • Utilisation d'au moins 1 caractère spécial (!,@,#,$, etc)
  • Utilisation d'au moins 1 lettre majuscule (A-Z)
  • Utilisation d'au moins 1 chiffre (0-9)


Les bonnes pratiques nous indiquent que vous êtes censé utiliser un mot de passe unique pour chacun de ces comptes et que pour la plupart de ces applications, vous devez changer votre mot de passe tous les 90 à 180 jours. Bonne chance pour vous souvenir de tous ces mots de passe !

Comment la réalité reflète-t-elle ces exigences en matière de mot de passe ? Ce que font en réalité la plupart des utilisateurs, c’est d’utiliser un ou deux, voire trois mots de passe uniques, éventuellement avec une légère variation (ajouter un « 1 » à la fin) pour nos applications les plus importantes. Cela signifie qu'un mot de passe compromis peut constituer un excellent début pour un attaquant visant à compromettre plusieurs ensembles d'informations d'identification. Comment pouvons-nous arrêter cela ?

La mise en œuvre de la sécurité consiste toujours à trouver l’équilibre entre sécurité et commodité pour l’utilisateur. Éliminer complètement les attaques générées par le phishing peut être une tâche herculéenne – et probablement impossible – dans nos environnements de travail au rythme effréné. Alors, que devons-nous faire ? 

Une excellente solution pour arrêter ou, à tout le moins, réduire considérablement les dommages causés par les informations d’identification compromises résultant du phishing est l’authentification multifacteur (MFA). L'authentification multifacteur (MFA) se compose de quelque chose que vous connaissez (un mot de passe), de quelque chose que vous possédez (un jeton) et même de quelque chose que vous êtes (la biométrie). En saisissant votre nom d'utilisateur, votre mot de passe et en fournissant une sorte de jeton unique ou de vérification physique, vous vous assurez que seuls les utilisateurs approuvés peuvent accéder à vos applications.

Si par hasard vous travaillez avec un groupe de licornes, comme décrit dans le premier paragraphe, il existe encore de nombreuses preuves montrant que vous devez toujours mettre en œuvre une solution MFA. Si les navigateurs Web et les gestionnaires de mots de passe sont certainement utiles dans la mesure où ils aident les utilisateurs à se conformer aux meilleures pratiques, les attaquants ont également jeté leur dévolu sur eux. Lorsque les utilisateurs sélectionnent la fonction de remplissage automatique, les attaquants peuvent masquer des champs sensibles comme l’adresse postale, la date de naissance et le numéro de téléphone, et même les mots de passe, tout en affichant uniquement les zones de saisie de base comme le nom et l’e-mail. Cela signifie que les mots de passe des utilisateurs et d’autres informations sensibles sont saisis involontairement dans des champs de texte que l’utilisateur ne peut pas voir. Mais il existe des moyens de masquer le texte saisi et de le crypter afin qu’il ne soit pas lisible.

Vos utilisateurs souhaitent se connecter aux applications depuis n'importe où, avec n'importe quel appareil. C'est donc à vous de les aider à le faire en toute sécurité. Les solutions d'accès aux applications de F5 offrent une intégration facile avec de nombreux fournisseurs MFA afin que vous puissiez proposer des choix d'un deuxième ou même d'un troisième facteur ou d'une authentification supérieure pour vos utilisateurs (c'est-à-dire des notifications push sur téléphone portable avec mot de passe à usage unique [OTP] via des applications d'authentification, Yubikey et bien d'autres). De plus, lorsqu'il est déployé en collaboration avec les solutions antifraude de F5, telles que F5 WebSafe , le texte saisi dans les formulaires en ligne, y compris les noms d'utilisateur et les mots de passe, peut être obscurci et crypté pour une protection supplémentaire.

L'authentification sécurisée de vos applications combinée à une expérience simple mais améliorée pour vos utilisateurs est une victoire sûre pour tout le monde.