Saviez-vous que 80 % de toutes les brèches utilisent des identités compromises et peuvent prendre jusqu’à 250 jours pour être identifiées ?
Malheureusement, la détection des attaques liées aux identités est particulièrement complexe. Lorsque les identifiants d’un utilisateur valide ont été compromis et qu’un cyberadversaire usurpe l’identité de cet utilisateur, il est souvent bien difficile de différencier son comportement habituel de celui du cyberpirate qui utilise des mesures et des outils de sécurité classiques.
Pour mieux comprendre le paysage des cybermenaces liées à l’identité, examinons sept attaques courantes basées sur l’identité et leur mode opératoire.
Types d’attaques basées sur l’identité
1. Credential stuffing (recyclage d’identifiants)
Le credential stuffing, ou recyclage d’identifiants, est un type de cyberattaque consistant à utiliser des identifiants de connexion volés sur un système pour tenter d’accéder à un autre système, sans lien apparent avec le premier.
Les attaques de credential stuffing suivent un mode opératoire assez simple : tout d’abord, le cyberattaquant utilise des identifiants de compte volés ou achète des identifiants compromis sur le dark web. Une fois en possession des identifiants, le cyberattaquant configure ensuite un botnet ou un autre outil d’automatisation pour tenter de se connecter simultanément à plusieurs comptes non liés. Le robot vérifie ensuite si l’accès a été octroyé à des services ou comptes secondaires. Si la tentative de connexion aboutit, le cyberattaquant recueille des informations complémentaires, telles que des données personnelles et des informations financières ou relatives aux cartes bancaires.
2. Attaque Golden Ticket
Une attaque Golden Ticket est une tentative d’obtenir un accès presque illimité au domaine d’une organisation en accédant aux données utilisateur stockées dans Microsoft Active Directory (AD). Cette attaque exploite les vulnérabilités du protocole Kerberos utilisé pour accéder à AD afin de contourner le processus standard d’authentification.
Pour effectuer une attaque de Golden Ticket, le cyberattaquant a besoin du nom de domaine précis, de l’identifiant de sécurité du domaine, du hachage du mot de passe KRBTGT et du nom d’utilisateur du compte ciblé.
3. Kerberoasting
Le Kerberoasting est une technique d’attaque post-exploitation qui tente de craquer le mot de passe d’un compte de service au sein d’Active Directory (AD).
Dans ce type d’attaque, un cyberadversaire se faisant passer pour l’utilisateur d’un compte avec un nom de principal de service (SPN, Service Principal Name) demande un ticket qui contient un mot de passe chiffré, ou Kerberos. (Le SPN est un attribut qui lie un service à un compte utilisateur dans AD.) Le cyberadversaire tente ensuite de craquer le hachage du mot de passe hors ligne, souvent en recourant à des techniques d’attaque par force brute.
Une fois les identifiants en texte brut du compte de service exposés, le cyberadversaire est en possession des identifiants utilisateur, qu’il peut alors utiliser pour usurper l’identité du propriétaire du compte.
Réduire les risques de sécurité d’Active Directory
Une approche fluide de la sécurisation de votre précieux référentiel d’identités
4. Attaque de type man-in-the-middle
Une attaque de type man-in-the-middle est un type de cyberattaque dans le cadre de laquelle un cyberattaquant espionne une conversation entre deux personnes, deux systèmes ou une personne et un système.
L’objectif de cette attaque est de collecter des données personnelles, des mots de passe ou des informations bancaires, et/ou de convaincre la victime de réaliser une opération comme changer ses identifiants de connexion, effectuer une transaction ou initier un transfert de fonds.
5. Attaque Pass the Hash
Il s’agit d’un type d’attaque de cybersécurité au cours de laquelle un cyberadversaire vole des identifiants utilisateur « hachés » et les utilise pour créer une nouvelle session utilisateur sur le même réseau.
Le cyberattaquant obtient généralement accès au réseau grâce à une technique d’ingénierie sociale. Dès qu’il obtient l’accès au compte de l’utilisateur, il utilise divers outils et techniques pour explorer la mémoire active et collecter des données qui le conduiront aux hachages.
Armé d’un ou plusieurs hachages de mots de passe valides, le cyberattaquant obtient alors un accès complet au système, ce qui facilite ses déplacements latéraux au sein du réseau. Pendant la période où le cyberattaquant usurpe l’identité de l’utilisateur dans les différentes applications, il se livre souvent à la collecte de hachages, et accumule ainsi des hachages supplémentaires dans l’ensemble du système qu’il utilisera ensuite pour accéder à d’autres parties du réseau, ajouter des privilèges aux comptes, cibler un compte à privilèges ou encore créer des portes dérobées et d’autres passerelles pour réaccéder ultérieurement aux systèmes.
6. Pulvérisation de mots de passe (« password spraying »)
Une attaque par pulvérisation de mots de passe est une technique de force brute dans laquelle un pirate utilise un mot de passe commun pour accéder à plusieurs comptes.
Tout d’abord, le cyberattaquant commence par se procurer une liste de noms d’utilisateurs via lesquels il tente de se connecter en reprenant à chaque fois le même mot de passe. Il répète ensuite ce processus avec de nouveaux mots de passe jusqu’à compromettre le système d’authentification ciblé. Le but étant d’accéder à l’un des comptes et aux différents systèmes.
7. Attaque par Silver Ticket
Ce type d’attaque se fait par l’intermédiaire d’un ticket d’authentification contrefait souvent créé lorsqu’un cyberattaquant vole le mot de passe d’un compte. Les attaques par Silver Ticket utilisent cette authentification pour falsifier les tickets du service d’émission de tickets. Un ticket de service falsifié est chiffré et permet l’accès aux ressources pour le service spécifique ciblé par l’attaque Silver Ticket.
Une fois en possession d’un Silver Ticket falsifié, le cyberattaquant est en mesure d’exécuter du code en tant que système local ciblé. Il peut ensuite élever ses privilèges sur l’hôte local et commencer à se déplacer latéralement au sein de l’environnement compromis ou même créer un Golden Ticket. Cette technique permet d’accéder à d’autres services que celui initialement visé et constitue une stratégie visant à contourner les mesures de protection de la cybersécurité.
Protection des identités CrowdStrike
CrowdStrike Falcon® Identity Threat Protection (ITP) assure une détection des cybermenaces de haute précision et la prévention en temps réel des attaques liées aux identités en combinant la puissance de l’intelligence artificielle (IA) avancée, de l’analyse comportementale et d’un moteur de règles flexible pour appliquer un accès conditionnel basé sur le risque.
Falcon ITP peut mettre en œuvre des stratégies cohérentes fondées sur les risques afin de restreindre, autoriser, vérifier ou renforcer l’authentification pour chaque identité, tout en assurant une expérience de connexion fluide pour les utilisateurs légitimes.