Quantifier la menace de l'identité : Un cinquième des demandes d'authentification sont malveillantes

L'étude de F5 Labs révèle que 19,4 % des demandes d'authentification sont probablement dues à des attaques de type "credential stuffing" ;

Les mesures d'atténuation réduisent la prévalence de plus de deux tiers, mais augmentent la sophistication des attaques ultérieures ;

75 % des informations d'identification volées sont d'origine inconnue.

SEATTLE - Les identités numériques sont devenues un champ de bataille en matière de cybersécurité, un cinquième des demandes d'authentification provenant de systèmes automatisés malveillants, selon une nouvelle étude de F5 Labs.

Le Rapport 2023 sur les menaces pesant sur l'identité : The Unpatchables a analysé 320 milliards de transactions de données effectuées dans les systèmes de 159 organisations entre mars 2022 et avril 2023. 

Lorsqu'aucune mesure d'atténuation n'était en place, le taux moyen d'automatisation - un indicateur fort du bourrage de documents d'identité - était de 19,4 %. Ce chiffre a diminué de plus de deux tiers, passant à 6 %, lorsque le trafic malveillant a été atténué de manière proactive.  

Les attaques de type "Credential stuffing" impliquent que des acteurs malveillants utilisent des noms d'utilisateur et des mots de passe volés dans un système pour en pénétrer d'autres. Les outils automatisés sont au cœur de ce phénomène, car ils permettent aux attaquants de maximiser le nombre de tentatives qu'ils effectuent.

"Les identités numériques sont depuis longtemps une priorité pour les attaquants, et la menace s'accroît à mesure que la prévalence des identités non humaines augmente", a déclaré Sander Vinberg, Threat Research Evangelist chez F5 Labs. "Notre étude montre à quel point les identités numériques sont attaquées et l'importance d'une protection efficace. De manière significative, nous avons trouvé un modèle cohérent dans lequel l'utilisation de l'automatisation malveillante diminue immédiatement à un niveau inférieur lorsque des protections sont en place, les attaquants ayant tendance à abandonner à la recherche de cibles plus faciles".

Atténuation : avant et après

Une partie importante de l'étude a porté sur l'impact des mesures d'atténuation sur les attaques de type "credential stuffing". Ceux-ci ont eu tendance à modifier le comportement des attaquants et à entraîner une diminution de l'utilisation de l'automatisation malveillante. 

F5 Labs a constaté que, sans mesures d'atténuation, les attaques étaient plus fréquentes contre les terminaux mobiles que contre les terminaux Web. Après l'introduction de mesures d'atténuation, la baisse des attaques mobiles a été plus importante, et un plus grand nombre d'attaques ultérieures sont passées par des points d'extrémité web.

Les mesures d'atténuation ont également eu une incidence sur la sophistication des attaques.

Contre les points finaux d'authentification non protégés, 64,5 % du trafic malveillant comprenait des attaques classées comme "basiques", ce qui signifie qu'aucune tentative n'a été faite pour émuler le comportement humain ou pour contrecarrer la protection des robots. La part de ces attaques est tombée à 44 % après la mise en place de mesures d'atténuation.

En revanche, les attaques "intermédiaires", qui s'efforcent d'altérer les solutions anti-bots, sont passées de 12 % à 27 % après le déploiement des mesures d'atténuation. Les attaques avancées, qui utilisent des outils capables d'imiter de près la navigation d'un utilisateur humain (y compris les mouvements de la souris, les frappes au clavier et les dimensions de l'écran), ont augmenté de 20 % à 23 %. 

"Notre analyse montre que de nombreux attaquants passent tout simplement à autre chose lorsque des protections sont mises en place", a déclaré M. Vinberg. "Les attaquants qui continuent à cibler un système avec des mesures d'atténuation en place sont clairement plus déterminés et plus sophistiqués, exploitant des outils qui leur permettent de reproduire étroitement le comportement humain ou de travailler plus dur pour dissimuler leurs activités. 

"Par exemple, nous avons observé une attaque qui émulait 513 000 interactions d'utilisateurs uniques à travers 516 000 requêtes - recyclant des caractéristiques identifiables dans moins de 1 % des cas. Dans le cas des attaques les plus sophistiquées, une observation manuelle est parfois nécessaire pour identifier un comportement malveillant et créer une nouvelle signature".

Les défis s'accumulent pour les défenseurs

F5 Labs a également examiné la chaîne d'approvisionnement des informations d'identification compromises. Il est inquiétant de constater que les défenseurs semblent avoir beaucoup moins de visibilité qu'ils ne le pensaient. Pas moins de 75 % des informations d'identification soumises lors d'attaques n'étaient pas connues auparavant comme ayant été compromises.

En outre, les défenseurs doivent répondre à des menaces identitaires conçues pour surmonter les mesures d'atténuation. Par exemple, les organisations peuvent chercher à surveiller les attaques par saturation en recherchant un taux de réussite anormalement bas des demandes d'authentification. L'étude a révélé que les attaquants se sont adaptés à cette situation en créant des comptes "canaris". Ils peuvent être consultés en permanence pour augmenter artificiellement le taux de réussite global. Dans un exemple, une campagne de credential stuffing s'est connectée au même compte canary 37 millions de fois au cours de la même semaine à cette fin.

En ce qui concerne les attaques par hameçonnage, un autre domaine clé de l'analyse de F5 Labs, il y a eu une fois de plus des preuves évidentes de l'intensification des efforts pour lutter contre les contre-mesures. Notamment, l'utilisation accrue de l'authentification multifactorielle alimente la montée du phishing par proxy inverse, par lequel les attaquants créent de fausses pages de connexion qui encouragent les utilisateurs à saisir leurs informations d'identification. 

En outre, les attaquants ont de plus en plus recours à des capacités de détection et d'évasion telles qu'AntiRed. Il s'agit d'un outil JavaScript conçu pour surmonter les analyses d'hameçonnage basées sur le navigateur, telles que Google Safe Browsing (qui envoie un message d'avertissement à l'utilisateur lorsqu'il rencontre un site potentiellement dangereux).

De nouvelles menaces à l'horizon

Dans un contexte d'environnements en constante évolution, F5 Labs a également observé l'émergence d'une nouvelle génération de menaces. 

À titre d'exemple, en août 2022, une publicité a été observée sur le Dark Web, faisant la promotion d'un système de phishing vocal qui utiliserait l'intelligence artificielle pour automatiser les appels de phishing. Grâce à la sophistication croissante et à la baisse des coûts de l'IA, ces approches sont appelées à devenir de plus en plus courantes et efficaces au fil du temps.

"À l'avenir, les fournisseurs d'identité devraient utiliser une solution anti-bot pour limiter l'automatisation malveillante telle que le bourrage d'informations d'identification. Même de simples solutions anti-bots peuvent atténuer l'ampleur du bourrage d'identité non sophistiqué", a ajouté M. Vinberg.

"Les organisations peuvent renforcer leurs défenses en utilisant des solutions d'AMF basées sur la cryptographie, telles que celles basées sur les protocoles WebAuthn ou FIDO2. En définitive, il n'existe pas de solution miracle pour lutter contre les attaques basées sur l'identité. Les défenseurs doivent surveiller et détecter les attaques, quantifier le taux d'erreur de leur détection et s'adapter en conséquence. Plus nous étudierons ces attaques et leur nature en constante évolution, mieux nous pourrons gérer le risque de vulnérabilité inhérent à tout système auquel les utilisateurs doivent prouver leur identité pour y accéder".