BLOG | BUREAU DU CTO

La sécurité est (toujours) la responsabilité de tous

Miniature F5
F5
Publié le 28 avril 2020


Un de mes amis a récemment reçu un e-mail avec son mot de passe en texte clair dans la ligne d'objet. Le message contenait une demande de 10 000 $ en Bitcoin. Pour garantir la conformité, l'attaquant a inclus des plans sur la façon dont il piraterait et détruirait le récepteur. Ce même ami a mentionné qu’il utilisait un logiciel de gestion de mots de passe pour gérer ses mots de passe et s’est rendu compte qu’il avait utilisé le même mot de passe pour plus de 140 sites différents.

De toute évidence, il devait changer son mot de passe sur chacun d’eux.

Obtenir les identifiants d’un utilisateur a toujours été peu coûteux et facile. L’expansion numérique accélérée que connaissent la plupart des organisations et des employés depuis le début de la pandémie de COVID-19 n’a fait que rendre les choses moins chères et plus faciles.

Au cours de la dernière semaine de mars, l’application la plus téléchargée était Zoom. Malheureusement pour les 3,2 millions de nouveaux utilisateurs (et tous ceux existants), les mauvais acteurs ont immédiatement exploité sa popularité soudaine, permettant aux chercheurs de menaces d'acheter plus de 500 000 noms d'utilisateur et mots de passe Zoom pour moins d'un centime chacun .

Zoom en tête des classements de téléchargement hebdomadaires


Dans ce cas, personne n’a « piraté » Zoom. Personne n’a exploité une vulnérabilité spécifique dans le logiciel de Zoom. Les attaquants ont simplement essayé quelques-uns des milliards d'identifiants précédemment exposés lors d'autres violations sur Zoom, et ont découvert qu'ils fonctionnaient parfaitement.

Ils ont fonctionné parce que les gens réutilisent leurs identifiants. Et les gens réutilisent leurs identifiants en raison du nombre croissant d’activités numériques auxquelles ils participent. Chaque compte ouvert auprès d’un service de streaming, d’une plateforme de médias sociaux ou d’une application d’entreprise est une autre opportunité de réutiliser les informations d’identification. Dès 2015, une analyse Dashlane des données de plus de 20 000 utilisateurs a révélé que l'utilisateur moyen possédait 90 comptes en ligne . Aux États-Unis seulement, cette moyenne était de 130. Au cours des cinq dernières années, l’utilisation des services numériques n’a fait que croître, et avec elle, le besoin d’identifiants.

Dans le monde de l’entreprise, le nombre de qualifications requises est tout aussi inquiétant. Une étude de LastPass a révélé que dans les grandes entreprises comptant plus de 1 000 employés, l’employé moyen était censé disposer d’environ 25 identifiants de connexion uniques. Ce nombre grimpe jusqu’à 85 dans les plus petites entreprises, ce qui est bien trop de chiffres et de symboles pour que le citoyen moyen puisse les suivre. Les employés qui ne disposent pas d’un gestionnaire de mots de passe auront presque inévitablement recours soit à la réutilisation de mots de passe, soit à des mots de passe courants qui sont facilement déchiffrés par des attaques par dictionnaire.

Des preuves anecdotiques indiquent que même ceux qui utilisent un gestionnaire de mots de passe peuvent réutiliser les mots de passe dans plusieurs propriétés.

Les attaquants le savent. Leur succès dans l’accès aux comptes personnels et professionnels est dû à la prolifération de la réutilisation des mots de passe et à une technique connue sous le nom de « bourrage d’identifiants ».

Le bourrage d’informations d’identification est une technique d’attaque qui utilise des listes d’informations d’identification pour tenter d’accéder à des applications et à des sites Web. Grâce aux merveilles de l’automatisation, les attaquants peuvent parcourir une liste de milliers d’identifiants en quelques minutes, en « bourrant » chacun d’eux dans un écran de connexion jusqu’à ce qu’ils trouvent ceux qui fonctionnent.

L’expansion des applications due à la transformation numérique aggrave le problème en offrant des surfaces d’attaque supplémentaires que les mauvais acteurs peuvent cibler. La pandémie a poussé les organisations à offrir des capacités numériques, élargissant ainsi à la fois le bassin d’identifiants et les cibles potentielles des attaquants.

Il existe des bonnes pratiques établies qui peuvent aider les entreprises et les consommateurs à se protéger contre une attaque de vol d’identifiants.

  • Les utilisateurs doivent prêter une attention particulière à la gestion des mots de passe, tant pour leur usage professionnel que personnel. L’utilisation de techniques simples telles que l’intercalation d’une chaîne de mot de passe complexe commune avec certains caractères du nom du site Web peut aider à réduire l’anxiété liée à l’oubli des informations d’identification qui conduit à la réutilisation du mot de passe. À titre d'exemple, le mot de passe de Bank of America serait B<chaîne complexe>A et celui de Wells Fargo serait W<chaîne complexe>F ou des variantes similaires.
  • Les mots de passe par défaut sur l’infrastructure, tant au niveau de l’entreprise que du domicile, doivent être modifiés immédiatement. À la maison, cela signifie routeurs, modems, caméras, systèmes domotiques et points d’accès sans fil. Dans l’entreprise, cela inclut l’infrastructure telle que les routeurs et les commutateurs ou les applications opérationnelles utilisées par les administrateurs pour gérer l’infrastructure des applications. (Dans les années 90, SSH sur les routeurs utilisant les paramètres d'administration par défaut était un piratage courant.)
  • Utilisez différents navigateurs pour les activités financières, commerciales et récréatives afin de minimiser les compromissions par les MITB (Man in the Browser). Modifiez vos paramètres pour vider votre cache et vos cookies à la sortie et prenez l’habitude de fermer votre navigateur à chaque fois que vous vous déconnectez.

Alors que la pandémie continue de remodeler la façon dont nous interagissons les uns avec les autres et avec les organisations, le nombre d’applications et de comptes sur lesquels nous comptons continuera d’être une opportunité attrayante pour les attaquants. La réalité est que vous ne pouvez empêcher aucune attaque. Vous n’avez aucun contrôle sur les actions des mauvais acteurs. Mais vous pouvez prendre des mesures pour empêcher une attaque réussie .

 

Pour plus d’informations sur le bourrage d’identifiants, consultez The Credential Crisis : Cela se passe vraiment chez F5 Labs .