Qu’est-ce qu’un compte compromis ?

Qu’il s’agisse d’ingénierie sociale, de phishing ou d’autres cyberattaques, un compte est compromis lorsqu’un acteur de la menace obtient l’accès aux informations d’identification et/ou à d’autres moyens pour effectuer des actions au nom de l’utilisateur ciblé.

Le vol des informations d’identification de l’utilisateur rend les comptes d’entreprise vulnérables à de nombreuses autres attaques telles que les ransomwares, les rootkits, les keyloggers, l’écoute et le vol de données, l’élévation des privilèges et toute autre activité malveillante exploitant le compte compromis de l’utilisateur.

Chaque attaquant a ses propres intentions et raisons pour lancer des menaces contre une cible, mais en général, l’objectif après avoir compromis un compte est de passer à la deuxième phase. Cette deuxième phase consiste à voler des données, à les détruire ou à installer des logiciels malveillants sur le réseau. La deuxième phase peut nécessiter une escalade des privilèges, mais cette étape dépend de l’environnement et de l’autorisation du compte utilisateur compromis.

Le phishing est l’un des principaux outils utilisés par les attaquants pour voler des données. Le piratage est un business, et une campagne de phishing réussie peut rapporter à un attaquant des millions de dollars de revenus. L’exfiltration de données n’est pas le seul moyen pour un attaquant de gagner de l’argent. La compromission de comptes et l’installation de ransomwares sont également des pratiques courantes. En utilisant un ransomware, un attaquant peut faire chanter une organisation ciblée pour qu’elle envoie de l’argent en échange de ses fichiers. Les ransomwares chiffrent les données à l’aide d’un code cryptographique sécurisé, de sorte qu’une organisation disposant de mauvaises sauvegardes n’a d’autre choix que de payer la rançon. Si une organisation refuse de payer la rançon, un attaquant peut menacer d’exposer ses données au public.

La façon dont la compromission du compte se produit dépend de la stratégie de l’attaquant. Les messages de phishing constituent la plus grande menace pour les organisations. Lorsqu’un message atteint la boîte de réception d’un utilisateur, les employés doivent reconnaître qu’il s’agit d’un courriel de phishing, laissant la cybersécurité à l’instinct humain. L’erreur humaine et les menaces de l’intérieur sont deux des plus grandes menaces pour la sécurité de toute organisation. Les attaques de phishing mettent en œuvre des stratégies efficaces pour inciter les utilisateurs à divulguer leurs informations d’identification et autres informations sensibles.

Un attaquant dispose de deux stratégies principales de phishing pour inciter les utilisateurs à divulguer leurs informations d’identification. La première consiste à envoyer un lien vers un site web malveillant à un destinataire ciblé. Le site Web ressemble à un site officiel d’entreprise, et l’utilisateur saisit ses informations d’identification en pensant qu’il doit s’authentifier dans l’application. Les exercices de phishing utilisent souvent cette stratégie pour trouver des utilisateurs qui ont besoin d’une formation plus poussée en matière de cybersécurité.

L’autre stratégie de phishing consiste à inciter les utilisateurs à exécuter des scripts ou des exécutables malveillants sur leurs machines. Les acteurs de la menace utilisent généralement les macros de Microsoft Office pour mener à bien cette attaque. Une fois qu’un utilisateur a ouvert un document malveillant, la macro télécharge un logiciel malveillant. Il peut s’agir d’un enregistreur de frappe pour capturer les informations d’identification sur la machine, ou d’un rootkit permettant à l’attaquant d’accéder à distance à la machine locale de l’utilisateur.

L’ingénierie sociale est également une stratégie courante des attaquants pour accéder aux informations d’identification des comptes. Un attaquant peut prétendre faire partie de l’équipe d’exploitation et inciter un utilisateur à divulguer des informations. Il est également important que les utilisateurs reconnaissent l’ingénierie sociale en interrogeant toute personne qui leur demande des données sensibles et en ne divulguant jamais leurs informations d’identification à quiconque les demande.

L’ingénierie sociale et le phishing sont les deux principaux moyens par lesquels un attaquant peut compromettre les informations d’identification d’un compte, mais il est important de se rappeler que le paysage de la cybersécurité évolue et change constamment. Les mots de passe en clair, les bases de données compromises contenant des mots de passe stockés et l’authentification hors bande sont d’autres moyens par lesquels les attaquants peuvent voler des informations sensibles et les informations d’identification des utilisateurs.

Les comptes du réseau d’entreprise ne sont pas les seuls types de comptes visés par une menace permanente. D’autres comptes peuvent donner par inadvertance à un attaquant l’accès à des informations d’identification ou à suffisamment de données sensibles pour lui procurer une valeur monétaire. Tout compte professionnel tiers (par exemple, les médias sociaux) doit également être surveillé et protégé contre les menaces.

Les comptes de messagerie constituent la première cible commune. Les comptes de messagerie professionnelle sont parfaits pour une compromission car ils peuvent réinitialiser les mots de passe dans différentes applications professionnelles. La compromission d’un compte de messagerie peut être le début d’une escalade de privilèges. Un attaquant peut utiliser le compte pour envoyer des demandes de privilèges supplémentaires ou inciter d’autres utilisateurs à haut niveau de privilèges à divulguer leurs comptes.

Pour les comptes individuels, l’attaquant peut envoyer des courriels à des amis à partir du compte compromis pour les inciter à divulguer leurs informations d’identification ou les récupérer sur un site Web malveillant. La compromission de comptes individuels est souvent utilisée pour réinitialiser les mots de passe d’applications et de comptes financiers très sensibles.

Les comptes de médias sociaux sont également des cibles. Ces comptes contiennent souvent des informations sensibles sur l’utilisateur ciblé. Par exemple, les comptes Facebook contiennent des informations sur l’anniversaire de l’utilisateur, son lieu de travail, ses amis, le nom de ses animaux de compagnie, de ses enfants et de ses proches, ainsi que d’autres données personnelles qui pourraient être utilisées dans une attaque par bruteforce. Les utilisateurs utilisent souvent des détails privés pour créer des mots de passe, de sorte que la collecte d’autant de données que possible auprès d’eux peut conduire à un compte professionnel compromis.

Le troisième type de compte couramment visé est le compte financier. Les comptes financiers comprennent les comptes de cartes de crédit, les comptes bancaires, les comptes de trading ou d’autres comptes qui stockent de l’argent. Ces comptes peuvent être vendus sur les marchés du darknet ou utilisés pour transférer de l’argent à un attaquant. Les institutions bancaires ont mis en place plusieurs systèmes de détection des fraudes pour lutter contre les comptes compromis, mais les utilisateurs et les entreprises doivent rester vigilants pour protéger leurs données contre le vol d’informations d’identification.

Un attaquant fera tout son possible pour éviter d’être détecté. Les utilisateurs et les systèmes de surveillance doivent donc être attentifs aux signes spécifiques d’une compromission. Dans les systèmes de surveillance des entreprises, l’intelligence artificielle est utilisée pour détecter plus précisément un compte compromis. Les systèmes de surveillance collectent continuellement des données, et l’intelligence artificielle détermine quand un compte est compromis en se basant sur plusieurs facteurs observables.

Voici quelques indicateurs d’un compte compromis :

• Un trafic sortant inhabituel : Les attaquants enverront lentement des données vers un réseau extérieur pendant qu’ils collectent des données. Les données transférées montrent un trafic sortant inhabituellement élevé, en particulier pendant les heures creuses.
• Activité irrégulière d’utilisateurs à hauts privilèges sur des données sensibles : Les utilisateurs à hauts privilèges accèdent fréquemment à des données sensibles, mais généralement selon un schéma précis. Par exemple, un responsable des ressources humaines accède généralement aux données des employés tous les vendredis. En cas de compromission, un attaquant pourrait exfiltrer les données des employés rapidement et pendant les heures creuses.
• Requêtes réseau provenant de pays dont la géolocalisation est étrange : Si tous vos employés sont situés aux États-Unis, l’accès au VPN ou au réseau à partir d’adresses IP étrangères pourrait indiquer une compromission du compte.
• Demandes d’authentification échouées élevées : Dans une attaque par force brute, un nombre élevé de tentatives d’authentification échouées serait détecté. Les processus de verrouillage de compte stopperont ces tentatives d’authentification, mais un attaquant continuera avec d’autres comptes d’utilisateur jusqu’à ce qu’il trouve une correspondance d’informations d’identification avec un compte compromis.
• Augmentation des lectures de bases de données : Un attaquant qui tente de pénétrer dans une base de données va sonder les tables et envoyer des requêtes pour trouver des données vulnérables.
• Tentatives d’accès anormalement élevées à des fichiers importants : Dans le cadre de l’espionnage d’entreprise, l’accès à des fichiers contenant des secrets commerciaux et de la propriété intellectuelle est très précieux pour un attaquant.
• Modifications de configuration suspectes : Un attaquant peut fournir une porte dérobée pour un accès persistant et des menaces en modifiant les configurations du système.
• Inondation du trafic d’un appareil vers une adresse spécifique : Les appareils d’utilisateurs piratés pourraient faire partie d’un botnet utilisé dans un déni de service distribué (DDoS) contre une cible spécifique.

Bien que certains attaquants se concentrent sur des comptes individuels, la compromission de la messagerie en entreprise (BEC) est plus courante en raison des informations très sensibles disponibles sur un réseau d’entreprise. Les utilisateurs à haut niveau de privilège sont souvent des cibles privilégiées, notamment dans les attaques de spear-phishing. En accédant à un compte de messagerie du PDG ou du vice-président des RH, un attaquant peut accéder à presque toutes les données du réseau.

L’usurpation d’identité est le représentant le plus important des attaques BEC à privilèges élevés. Par exemple, avec un compte de messagerie du PDG, un attaquant peut envoyer à un employé un message lui demandant de transférer de l’argent sur un compte contrôlé par l’attaquant. L’attaquant utilise l’urgence et la position de commandement du PDG pour convaincre des employés peu méfiants de faire ce qu’il veut qu’ils fassent. Ce type de fraude est également connu sous le nom de fraude au PDG (CEO Fraud).

Les escroqueries à la facture sont également courantes après une compromission réussie d’un compte à haut niveau de privilège. Un pirate peut se faire passer pour un comptable de l’entreprise et convaincre un employé des finances de payer une facture frauduleuse. Les escroqueries à la facture utilisent souvent une combinaison d’ingénierie sociale et de comptes de messagerie compromis pour tromper les utilisateurs ciblés.

Au lieu de chercher à tromper les employés clés, un attaquant peut se concentrer sur l’exfiltration de données à l’aide du compte compromis. Les données peuvent être exfiltrées vers un serveur externe avec un compte utilisateur à haut privilège. L’attaquant peut laisser des portes dérobées pour les comptes utilisateurs standard ou tenter une escalade de privilèges pour accéder à des données plus critiques.

Le phishing est le principal vecteur d’attaque pour le vol d’informations d’identification et la compromission de comptes. Les entreprises qui n’ont pas mis en place de solutions de sécurité et de protection des e-mails sont très exposées à ce type d’attaque. Les attaquants falsifient les en-têtes de courriel ou enregistrent des noms de domaine avec des fautes d’orthographe d’une seule lettre pour faire croire aux utilisateurs qu’un courriel provient d’un expéditeur officiel. Les utilisateurs qui négligent les signaux d’alarme subtils associés au phishing sont vulnérables au phishing et au vol d’informations d’identification.

Il n’est pas rare que les gens utilisent le même mot de passe sur plusieurs sites Web, y compris des sites professionnels. Tous les propriétaires de sites n’utilisent pas des moyens cryptographiques sûrs pour stocker les informations d’identification. Les attaquants qui accèdent aux mots de passe d’une base de données compromise utiliseront les informations volées pour découvrir d’autres comptes utilisant les mêmes informations d’identification. Les employés peuvent utiliser les mêmes informations d’identification pour leurs propres comptes professionnels et privés, ce qui les rend vulnérables à une compromission.

Les logiciels malveillants ou malwares installés peuvent écouter en silence l’activité des utilisateurs et les informations d’identification des comptes. À l’aide de keyloggers, de logiciels malveillants d’accès à distance (rootkits) et d’autres outils d’écoute, un attaquant peut recueillir silencieusement les informations d’identification de l’utilisateur et les envoyer par Internet à un serveur externe. Les fichiers malveillants joints aux comptes de messagerie téléchargeront des logiciels malveillants et les installeront automatiquement sur le réseau afin que les attaquants puissent collecter les informations d’identification.

Enfin, si un attaquant obtient l’accès au réseau interne grâce à une mauvaise configuration du pare-feu ou à un système compromis, il peut alors traverser le réseau et trouver des données vulnérables. Après une compromission, toute donnée à la portée de l’attaquant est vulnérable au vol et à la divulgation à un tiers.

Si vous pensez que votre compte a été compromis, vous pouvez prendre plusieurs mesures pour éliminer la menace et rétablir votre compte dans son état initial. L’analyse judiciaire d’une violation de données est une compétence spécifique qui doit être confiée à un professionnel, mais la première étape après une compromission est de contenir et d’éradiquer la menace. Récupérer l’accès au compte et changer son mot de passe est la première étape de l’éradication, et la compromission doit ensuite être signalée aux autorités compétentes.

Quelques étapes pour récupérer votre compte :

• Authentifiez-vous sur votre compte et changez son mot de passe. Pour certains systèmes, comme la messagerie électronique, l’application de messagerie vous permettra d’exclure toute session supplémentaire afin que vous soyez le seul à être authentifié sur le compte.
• Lisez vos emails, y compris ceux de la corbeille, pour déterminer si d’autres mots de passe ont été réinitialisés en utilisant votre compte de messagerie. Connectez-vous à ces comptes et réinitialisez également leurs mots de passe.
• Réinitialisez les mots de passe des comptes critiques, tels que votre compte bancaire, les ressources professionnelles supplémentaires, telles que les applications et bases de données essentielles, et les comptes de médias sociaux.
• Configurez l’authentification multifactorielle (AMF) pour empêcher d’autres compromissions. L’authentification multifactorielle exige un code PIN supplémentaire avant que quiconque puisse accéder à votre compte, ce qui empêche un tiers d’accéder à votre compte après la divulgation des informations d’identification.
• Modifiez les questions de sécurité afin de masquer les réponses qui ne correspondent pas à vos informations privées actuelles, telles que vos animaux domestiques, votre famille et vos dates importantes.
• Changez votre mot de passe tous les trente jours pour éviter toute compromission future. Les vieux mots de passe actifs depuis des années offrent aux attaquants une plus longue fenêtre d’opportunité.
• N’utilisez pas de mots de passe sur plusieurs systèmes afin d’éviter d’être victime d’une compromission sur plusieurs de vos comptes après qu’une application ait subi une violation de données.
• Analysez votre système à la recherche de logiciels malveillants ou de virus afin de repérer toute application malveillante qui pourrait envoyer des données privées à un attaquant.

Proofpoint peut vous aider à surveiller, défendre, enquêter et remédier aux compromissions de comptes et aux violations de données qui s’ensuivent souvent. Nous disposons d’un Cloud App Security Broker complet qui surveille et protège vos applications en cloud afin qu’elles ne soient pas victimes d’une compromission. Laissez-nous sécuriser vos applications critiques, protéger vos utilisateurs et vous donner les outils nécessaires pour surveiller et atténuer les attaques courantes impliquant vos comptes professionnels. Nos solutions de protection de l’information appliquent des solutions de sécurité et d’autres technologies, ainsi que des processus et des politiques, pour sécuriser l’information dans vos services en cloud, votre messagerie, vos terminaux et vos partages de fichiers sur site.