Plus de 24 milliards d’identifiants volés sont disponibles sur Internet et le Darkweb.Leur exploitation par les groupes de cybercriminels représente le premier vecteur d’attaque, loin devant le phishing et l’exploitation de vulnérabilités.
Combattre le vol d’identifiants avec l’automatisation
En utilisant ces identifiants, les attaquants prennent le contrôle des comptes utilisateurs et exposent les organisations à des violations, à des ransomwares et au vol de données.
Bien que les CISOs soient conscients de cette menace et disposent souvent d’outils pour réduire ce risque, l’actualité démontre que leur application s’avère largement insuffisante.Une démarche structurée et continue permet de réduire l’exposition au risque mais elle représente une charge trop importante pour des équipes sécurité souvent limitées. L’automatisation de la détection et de l’identification des risques réels pour l’organisation constitue la seule réponse adaptée à la dynamique des cybermenaces.
Nature du risque
80% des violations d'applications Web impliquent des identités compromises. Les attaquants utilisent des techniques comme l'ingénierie sociale, la force brute et l'achat d'identifiants sur le Darkweb pour compromettre les identités et obtenir un accès aux ressources des organisations.
Ils tirent souvent parti des faiblesses suivantes :
- Mot de passe unique entre plusieurs applications
- Mot de passe commun entre applications personnelles et professionnelles
- Mots de passe stockées dans les navigateurs
- Réutilisation de mots de passe ou durée de vie importante
- Identifiants non utilisés (collaborateurs ayant quitté l’entreprise, prestataires, comptes de service, etc.)
- Mots de passe partagés entre différents utilisateurs
Le principal défi pour l'organisation est que les attaquants n'ont besoin que d'un seul identifiant valide pour s'introduire.
Mitigation du risque
Pour réduire leur exposition au risque, les organisations doivent se concentrer sur ce qui est exploitable du point de vue des attaquants.
Une méthodologie efficace repose sur les étapes suivantes :
Collecter les identifiants dérobés
Pour commencer à résoudre le problème, les équipes sécurité doivent collecter des données sur les identifiants qui ont été dérobés à divers endroits du Web et sur le Darkweb. Des outils comme HaveIBeenPwned ou celui de l’Institut Hass-Platner sont utiles. Cette étape permet d’obtenir un premier état de la situation et d’identifier les comptes individuels qui doivent être mis à jour.
Identifier le risque d’exposition réel
Une fois les données collectées, les équipes sécurité doivent déterminer quels identifiants peuvent être réellement exploités.
Pour ce faire, elles doivent utiliser des techniques similaires à celles des attaquants :
- Vérifier si les identifiants permettent l'accès aux ressources externes, tels que les services Web et les bases de données
- Tenter de déchiffrer les hachages de mots de passe capturés
- Valider les correspondances entre les identifiants dérobés et les outils de gestion des identités de l'organisation, tels que l’Active Directory
- Tester des variantes pour identifier de nouvelles identités qui pourraient être compromises : les utilisateurs utilisant généralement les mêmes modèles de mot de passe
Réduire le risque d’exposition
Après avoir validé les identifiants dérobés qui exposent réellement l’organisation, les équipes sécurité doivent prendre des mesures ciblées pour atténuer le risque.
- Supprimer les comptes inactifs divulgués de l’Active Directory
- Initier des changements de mot de passe pour les utilisateurs actifs
- Revoir les processus et la politique de gestion des mots de passe (durcissement, cycle de vie)
Mettre en place une démarche de validation continue
Les techniques des attaquants tout comme la surface d'attaque des organisations évoluent en permanence, en particulier en termes de comptes utilisateurs. Par conséquent, un effort ponctuel pour identifier, vérifier et réduire le risque d’exposition des identifiants est insuffisant. Pour combattre durablement ce risque, les organisations doivent adopter une démarche de traitement continu. Cependant, la charge que représente ces actions manuelles est trop importante pour des équipes de sécurité aux ressources limitées.
La seule façon de gérer efficacement la menace est d'automatiser le processus de validation.
Automatisation
Depuis 2021, le cabinet Gartner a introduit cette automatisation au travers des concepts « Automated Penetration Test and Red Team Tool » et « External Attack Surface Management ». Ces concepts rassemblent des techniques visant à identifier de façon continue les risques exposant la surface d’attaque des organisations afin de concentrer le travail de remédiation sur les risques avérés.
Parmi les acteurs, la société Pentera constitue aujourd’hui le leader de la cybervalidation automatisée.
Utilisant les dernières techniques d’attaques les plus avancées, leur solution permet de réaliser de façon automatique et continue des attaques éthiques afin de mettre en évidence les vulnérabilités statiques et dynamiques. Ces tests sont exécutés aussi bien depuis l’extérieur que depuis l’intérieur de l’organisation, permettant de couvrir toute la surface d’attaque.
Parmi les fonctionnalités, le module « Leaked Credentials » automatise les étapes de découverte des identifiants dérobés et la vérification de l’exposition qu’ils représentent pour l’organisation :
- Sur les services externes (SaaS, sites Web, messagerie)
- Sur les services internes (applications, postes de travail, serveurs, éléments d’infrastructure).
Le résultat de ces investigations présente les vecteurs d’attaques complets ainsi que la description des actions de remédiation à réaliser par les équipes sécurité. La communication avec des outils de type SIEM ou ITSM permet d’intégrer ce processus dans le processus global de gestion du risque de cybersécurité. Ces solutions correspondent à l’avenir de la surveillance, de la détection et de la prévention des menaces.