Cybermenaces courantes liées au cloud :
Vol d'identifiants

David Puzas - septembre 6, 2023

Qu’est-ce que le vol d’identifiants ?

Le vol d’identifiants est le fait de voler des informations personnelles telles que des noms d’utilisateur, des mots de passe et des informations financières afin d’accéder à un compte ou à un système en ligne. Il s’agit d’une forme d’usurpation d’identité qui peut impliquer l’utilisation de logiciels malveillants ou de techniques de phishing.

Dans les environnements cloud, l’identité est le nouveau périmètre. Les cybercriminels en sont bien conscients et ciblent les identifiants pour compromettre les environnements cloud et voler les données des entreprises. Le contrôle de l’accès aux workloads et aux services cloud est fondamental pour la sécurité du cloud, et les entreprises doivent donner la priorité à la prévention du vol d’identifiants pour sécuriser l’accès aux ressources cloud.

L’obtention d’identifiants permet aux cyberattaquants d’usurper l’identité du propriétaire du compte et d’apparaître comme une personne disposant d’un accès légitime, comme un employé, un sous-traitant, un compte de service ou un fournisseur tiers. Puisque le cyberattaquant se présente comme un utilisateur autorisé, ce type d’attaque est difficile à repérer par les mesures de sécurité en place. Les cybercriminels peuvent alors utiliser leur accès pour étendre leur emprise sur l’organisation ciblée.

Causes fréquentes du vol d’identifiants

1. Logiciels malveillants

Des programmes malveillants peuvent infecter les appareils des utilisateurs et voler des identifiants. Les logiciels malveillants peuvent être installés sur les ordinateurs d’utilisateurs qui ne sont pas particulièrement méfiants en utilisant des méthodes telles que les téléchargements furtifs et l’ingénierie sociale.

2. Phishing

Les attaques de phishing exploitent fréquemment la confiance dans les marques populaires afin de tromper les victimes et les inciter à divulguer leurs identifiants. Généralement, elles utilisent un e-mail astucieux pour inciter le destinataire à se rendre sur un site web malveillant où il est amené à fournir ses identifiants.

3. Mots de passe faibles ou réutilisation de mots de passe

Les cyberattaquants profitent des mauvaises pratiques en matière de sécurité des mots de passe pour accéder aux systèmes, aux applications et aux données. Les mots de passe faibles sont plus faciles à craquer pour les cyberattaquants, et la réutilisation des mots de passe augmente le risque qu’un seul mot de passe volé conduise à une compromission plus large.

4. Attaques sur les services cloud entraînant un mouvement latéral

Les attaques lancées contre l’environnement cloud peuvent permettre aux cybercriminels d’accéder aux systèmes et aux ressources sur site. Ces attaques peuvent s’appuyer sur des comptes disposant d’autorisations excessives pour élargir leur champ d’action au sein de l’infrastructure informatique de la victime.

5. Attaques de type man-in-the-middle

Ces attaques se produisent lorsque les cybercriminels parviennent à capter et à relayer des communications entre deux parties qui pensent dialoguer directement entre elles. Les attaques de type man-in-the-middle permettent aux cyberadversaires de voler des identifiants et d’écouter les communications.

EN SAVOIR PLUS

Une stratégie complète de sécurité du cloud doit permettre d’atténuer les risques, de se défendre contre les cybermenaces et de surmonter les difficultés pour que votre entreprise utilise le cloud pour se développer en toute sécurité. 9 défis, risques et cybermenaces liés à la sécurité du cloud

Exemple d’attaque par vol d’identifiants

Avec l’avènement du télétravail et du cloud computing, le vol d’identifiants s’est imposé, pour les cybercriminels, comme une tactique courante pour la première intrusion et pour parcourir un réseau compromis.

Les cybercriminels hébergent régulièrement des pages d’authentification fictives pour collecter des identifiants légitimes d’authentification auprès de services cloud tels que Microsoft Office 365 (O365), Okta ou des comptes de messagerie web. Ils utilisent ensuite ces identifiants pour tenter d’accéder aux comptes des victimes.

L’accès à des services d’hébergement de fichiers ou de messagerie cloud peut également faciliter le cyberespionnage et le vol d’informations. En avril 2021, CrowdStrike a observé COSMIC WOLF (un cybercriminel affilié à la Turquie) ciblant les données de victimes stockées dans l’environnement d’un grand fournisseur de services cloud. Le cyberadversaire a compromis l’environnement cloud grâce à des identifiants volés qui lui ont permis d’interagir avec le fournisseur de services cloud en utilisant la ligne de commande. Cette technique lui a permis de modifier la politique de sécurité afin d’autoriser un accès SSH direct depuis l’infrastructure malveillante.

Que faire pour prévenir le vol d’identifiants ?

1. Activez et imposez l’authentification multifacteur (MFA)

Le MFA exige d’un utilisateur qu’il présente au moins deux éléments de preuve pour vérifier et authentifier son identité avant de se voir accorder l’accès qu’il demande. Les techniques MFA augmentent le niveau de difficulté pour les cyberattaquants, en les empêchant de compromettre des applications et des systèmes en utilisant uniquement un mot de passe.

2. Organisez une formation de sensibilisation à la sécurité contre le phishing

Savoir, c’est pouvoir. En formant les utilisateurs à reconnaître les attaques de phishing et les techniques d’ingénierie sociale, les entreprises peuvent transformer leurs collaborateurs en un élément crucial de défense au sein de leur infrastructure informatique.

3. Pratiquez une bonne gestion de vos mots de passe

Les mots de passe forts sont plus difficiles à déchiffrer pour les cyberattaquants. Modifiez-les régulièrement et ne les partagez pas entre les utilisateurs. De plus, les utilisateurs doivent éviter d’utiliser le même mot de passe sur plusieurs sites ou services.

4. Utilisez une solution de gestion des droits sur l’infrastructure cloud (CIEM)

Les solutions CIEM aident les entreprises à gérer les droits sur l’ensemble des ressources de leur infrastructure cloud. L’objectif principal d’outils tels que CrowdStrike Falcon Cloud Security™, qui intègre des fonctionnalités CIEM, consiste à réduire les risques issus de l’attribution involontaire et non contrôlée d’autorisations excessives sur les ressources du cloud. En supprimant les privilèges inutiles, les entreprises peuvent réduire la cybermenace engendrée par un compte compromis.

5. Définissez correctement les autorisations entre les utilisateurs et les machines

Les organisations se doivent de comprendre les accès privilégiés dont disposent les utilisateurs et les appareils. Les comptes qui peuvent être utilisés pour accéder à des systèmes, des données et des applications sensibles doivent être étroitement gérés pour répondre aux exigences de sécurité et de conformité de l’entreprise moderne.

Rapport 2023 sur les risques liés au cloud

Découvrez les principales cybermenaces liées à la sécurité du cloud à surveiller en 2023, et acquérez les compétences nécessaires pour mieux les gérer afin de garantir votre protection jusqu’en 2024.

Télécharger

À PROPOS DE L'AUTEUR

David Puzas est un dirigeant d’entreprise et un expert en marketing dans les domaines de la cybersécurité, du cloud et des services IT avec plus de vingt ans d’expérience à son actif. Chargé de renforcer la valeur client et les résultats des innovations pour des entreprises telles que CrowdStrike, Dell SecureWorks et IBM au niveau mondial, il met l’accent sur l’optimisation des innovations informatiques, des tendances et de leurs implications commerciales en matière de croissance et d’expansion des marchés. David Puzas est responsable de la mise sur le marché du portefeuille de solutions de sécurité du cloud de CrowdStrike à l’échelle mondiale ainsi que de la fidélisation des clients.