FIC 2023 L’identifiant et son mot de passe sont au cœur de la cybermenace

80% des failles de sécurité proviennent de la compromission de comptes d’utilisateurs. Ce résultat provient de deux études récentes convergentes réalisées respectivement par l’institut Forrester Research et l’opérateur télécoms Verizon. Autant dire qu’au sein de la chaîne d’attaque qu’adoptent les cyberattaquants pour pénétrer des systèmes informatiques, l’identifiant et son mot de passe restent un talon d’Achille sur lequel une attention toute particulière doit être portée en matière de sécurité.

Aux yeux de Sébastien Baron, directeur technique de CrowdStrike, cette combinaison est effectivement cruciale. Il n’est en effet pas forcément détectable par les traditionnelles solutions EDR qui sont installées sur les infrastructures informatiques des entreprises pour lutter contre les attaques DDoS, les virus ou encore les rançongiciels. Cela implique par conséquent d’avoir une autre approche sécuritaire.

Le marché noir des identifiants très prisé des pirates

Le représentant de CrowdStrike insiste d’autant plus sur ce point qu’identifiants et mots de passe constituent un véritable marché parallèle sur des plateformes de brokers du darkweb où les pirates informatiques viennent acheter des bases entières déjà dérobées pour procéder ensuite à leurs propres assauts informatiques.

Ces bases comportent généralement des identifiants, des mots de passe mais aussi des données de configuration et des cookies de sessions. Ils sont autant de passe-partout pour s’introduire frauduleusement et furtivement dans les systèmes d’information d’une entreprise ciblée.

En effet, une fois ces informations critiques récupérées, la technique d’intrusion est bien rôdée. Le pirate informatique entre un compte existant. Une fois à l’intérieur, il peut opérer facilement et s’attaquer alors à l’« active directory » (service d’annuaire utilisé pour stocker des informations relatives aux ressources réseau sur un domaine). Il peut donc y créer de nouveaux comptes utilisateur qu’il va doter de droits d’administration plus étendus. Ces mêmes droits permettent, in fine, de prendre le contrôle d’un ou plusieurs domaines de l’architecture informatique d’une entreprise. Mais aussi de siphonner les bases de données les plus sensibles.

La complexité du réseau augmente la menace

Selon l’édition 2023 du « Global Threat Report » de CrowdStrike, 12% des intrusions sont perpétrées avec un compte valide et 73% avec des nouveaux comptes créés. Selon Franck Perillier, directeur des systèmes d’information d’Emeria, l’« active directory » est un actif particulièrement critique dans la sécurité informatique d’une entreprise. C’est lui en effet qui permet l’authentification pour qu’un utilisateur accède à différentes fonctionnalités selon son profil et les niveaux d’autorisation accordés.

Or plus l’entreprise est grande et internationale, plus l’architecture des systèmes est complexe avec une grande variété d’outils applicatifs aux mises à jour inégales et aux technologies différentes. Sans parler de l’intervention de multiples acteurs internes (développeurs, maintenance, simples utilisateurs, etc.) mais aussi externes (fournisseurs, clients, sous-traitants, etc.).

Observer les comportements tout en sensibilisant sans relâche

Cette multiplicité rend de fait vulnérable l’architecture informatique. Particulièrement lorsqu’un pirate informatique parvient à s’y faufiler. Pour Franck Perillier, une des parades consiste à analyser les comportements des différents comptes connectés et actifs dans le système grâce notamment à des solutions technologiques comme celle développée par CrowdStrike. Cela permet ainsi de repérer des comptes aux intentions suspectes (en observant en particulier l’historique des logs) et intervenir avant que l’intrus ne se mette en capacité d’attaquer plus amplement le réseau informatique et ses ressources.

Néanmoins, l’expert d’Emeria rappelle que la cyber-hygiène passe aussi par l’établissement de règles et de protocoles de sécurité que les différents utilisateurs se doivent d’appliquer. Or, note-t-il, l’humain reste une variable plus ou moins aléatoire qui peut être source de brèche informatique. Notamment à cause de mots de passe trop faibles comme le classique « nom de la société + 123 » que les cyberattaquants connaissent par cœur.

Si la sensibilisation ne fonctionne pas, il faut alors adopter un mode plus coercitif. La solution de CrowdStrike permet ainsi d’identifier les comptes ayant des mots de passe jugés comme non-efficaces et les contraindre à en changer. Tant que le renforcement n’est pas effectif, l’utilisateur ne peut plus opérer dans le système. Au cœur de la technologie, l’humain demeure fondamental.