Pouvez-vous vous protéger complètement contre le vol d’identifiants ?
Plus que jamais, nos données sont en danger. Un cybercriminel n’a besoin que de vos identifiants pour s’approprier tout sur votre ordinateur. Les identifiants volés sont l’une des attaques les plus efficaces et les séquelles laissent à la fois les petits réseaux, les moyens et les plus grands. Dans ce guide, nous expliquons le schéma de fonctionnement et les actions qui peuvent être prises pour les éviter dans la plupart des cas.
Qu’est-ce que le vol d’identifiants ?
Le vol d’identifiants est considéré comme l’une des techniques de piratage modernes. Elle consiste en l’extraction des identifiants d’authentification d’un ou plusieurs utilisateurs. Il s’agit notamment des noms d’utilisateur et des mots de passe utilisés pour accéder aux ordinateurs des victimes. Une fois que le cybercriminel s’appropriera ces informations d’identification, il aura la possibilité d’accéder au contenu des ordinateurs compromis, ce qui lui permettra de le faire autant de fois qu’il le souhaite.
Non seulement il pourra compter sur les différents fichiers et données appartenant aux ordinateurs des victimes, mais il pourra également communiquer avec d’autres afin de mener les mêmes types d’attaques ou des types différents. Le vol d’informations d’identification est très flexible avec le cybercriminel, car il pourrait voler plusieurs utilisateurs et mots de passe stockés sur un seul ordinateur. À son tour, chacune de ces informations d’identification donnera accès à d’autres ordinateurs sur le même réseau et qu’elle contient également plusieurs informations d’identification qui peuvent être appropriées.
Comme vous l’avez peut-être remarqué, il s’agit d’une attaque qui peut laisser de grandes conséquences sur un réseau. En quelques minutes, tout un réseau peut être compromis. Par conséquent, toutes les données trouvées sur chacun des ordinateurs connectés sont exposées. Toute cette catastrophe peut arriver, uniquement parce qu’une personne parvient à ouvrir un email «légitime», mais il s’agit en réalité de phishing .
Gardez à l’esprit que cette dernière peut sembler être une attaque innocente, cependant, c’est la passerelle qui mène à des attaques plus graves telles que les ransomwares. Même une variante du phishing appelée Spear Phishing consiste en la distribution d’e-mails malveillants à des personnes spécifiques au sein d’un réseau ou d’une organisation. Le contenu de ces messages peut facilement prêter à confusion car les cybercriminels se chargent d’étudier complètement les victimes.
Le danger de se connecter une seule fois
Les réseaux d’entreprise sont les principales victimes du vol d’identifiants. Plus que tout, car la plupart d’entre eux permettent à la personne d’entrer le nom d’utilisateur et le mot de passe une seule fois. Les identifiants indiqués sont stockés en mémoire et ils permettent d’accéder à une bonne partie des ressources du réseau. Il est même possible d’avoir déjà accès à tout ce qui est nécessaire pour fonctionner.
Le vol d’identifiants en action
Le cybercriminel a le feu vert pour mener ce type d’attaque lorsqu’il a accès à un ordinateur au niveau le plus bas. Ainsi, vous pouvez exécuter du code et exécuter divers ensembles d’instructions telles que l’extraction des informations d’identification stockées en mémoire. Il existe plusieurs outils à cet effet comme gsecdump, creddump et PWDDumpX.
Maintenant, d’où pouvez-vous obtenir les informations d’identification ? L’une des cibles des cybercriminels se trouve sur Kerberos . Théoriquement, c’est l’un des protocoles les plus sécurisés car il a été spécialement conçu pour une authentification sécurisée. Il le fait via un système de tickets qui fournit des autorisations aux utilisateurs et aux services. Cependant, le vol d’informations d’identification viole vos capacités en injectant des tickets Kerberos volés pour obtenir un accès légitime.
Une autre cible très courante et bien connue est le SAM (Security Accounts Manager) . En espagnol, cela signifie Security Account Management . Il s’agit d’un fichier qui fonctionne comme une base de données. Ceci est utilisé pour authentifier les utilisateurs à la fois localement et à distance. Cette authentification est possible en croisant les identifiants saisis par la personne avec ce qui existe dans le fichier SAM.
Le gros problème avec SAM est que si vous pouvez avoir ce fichier «maître», les informations d’identification peuvent être déchiffrées. Par conséquent, en très peu de temps, vous pouvez avoir des centaines de milliers d’utilisateurs et de mots de passe qui permettront de compromettre leurs ordinateurs correspondants et les services associés.
Vol d’informations d’identification d’un contrôleur de domaine sur un réseau
- NTDS . C’est le domaine où le service Active Directory stocke toutes les informations relatives aux utilisateurs qui appartiennent au domaine, afin de vérifier les informations d’identification : nom d’utilisateur et mot de passe.
- Fichiers de préférences de stratégie de groupe . C’est un outil du système d’exploitation Windows. Il permet de mettre en œuvre des politiques de domaine qui incluent des informations d’identification, facilitant leur administration. Ces stratégies sont généralement stockées dans un emplacement appelé SYSVOL . Si une personne malveillante y a accès, elle peut accéder et déchiffrer le contenu.
Désormais, il existe des contrôleurs de domaine qui prennent en charge les appels d’API . Les cybercriminels utilisent une technique appelée DCSync , qui imite les caractéristiques et fonctionnalités de ce type de contrôleur de domaine. Ainsi, il oblige le contrôleur d’origine à envoyer les hachages correspondant aux identifiants et ainsi à effectuer les attaques qu’il a en tête.
Comment empêcher le vol d’identifiants
Les professionnels du secteur s’accordent à dire qu’éviter ce type d’attaque semble pratiquement impossible. Cependant, une action recommandée et minimisant les risques d’attaque n’est pas de générer autant d’utilisateurs avec des privilèges d’administrateur. C’est-à-dire que seuls ceux qui sont nécessaires devraient exister.
Aussi, l’adoption massive de l’ authentification multifacteur est recommandée . De cette façon, il est plus facile et plus efficace de s’assurer que l’utilisateur qui se connecte réellement est l’utilisateur et qu’il ne s’agit pas d’un utilisateur malveillant. Ce type de mise en œuvre aide également les utilisateurs à prendre conscience de l’importance de gérer correctement les informations d’identification et, surtout, de ne pas les partager avec d’autres personnes.
D’autre part, Cisco Blogs recommande les actions suivantes :
- Surveillance de l’accès aux services tels que LSASS (Local Security Authority Subsystem Service) et aux bases de données telles que SAM (Security Accounts Manager) .
- Jetez un œil aux lignes de commande qui correspondent aux arguments propres au vol d’informations d’identification.
- Pour les contrôleurs de domaine :
- Tous les journaux doivent être surveillés pour détecter toute activité suspecte à des moments inhabituels.
- Recherchez les connexions inattendues provenant d’adresses IP qui ne sont attribuées à aucun des contrôleurs de domaine.
Le vol d’identifiants est l’une des attaques les plus dangereuses, haut la main. En tout cas, il est possible de l’empêcher dans une large mesure à partir du niveau le plus essentiel. C’est-à-dire l’utilisateur final. Tenons compte de ces recommandations et protégeons ce qui nous importe le plus à tout moment : nos données .