Vous créez un compte chaque fois que vous vous inscrivez sur un site web, un réseau social ou une application. En tant qu’internaute actif, vous avez dû créer plusieurs comptes, dont certains que vous avez oubliés.
De nombreuses plateformes ne suppriment pas les comptes des utilisateurs. Cela signifie que vos informations personnelles sont toujours présentes sur les plateformes, même si vous ne les utilisez plus depuis longtemps. La création de plusieurs comptes en ligne permet aux cybercriminels de récupérer vos informations personnelles par le biais d’attaques basées sur l’identité. Comment exécutent-ils exactement ces attaques et que pouvez-vous faire pour les arrêter ?
Que sont les attaques basées sur l’identité ?
Les attaques basées sur l’identité se produisent lorsque des cybercriminels ciblent votre système informatique, votre réseau ou votre compte pour récupérer vos informations personnelles à des fins illégales ou malveillantes. Également connues sous le nom d’attaques par usurpation d’identité, elles permettent aux auteurs de menaces de collecter des données sensibles, de voler de l’argent et de ruiner la réputation de la cible.
5 types d’attaques basées sur l’identité et leur fonctionnement
Les cybercriminels déploient les stratégies suivantes pour perpétrer des attaques basées sur l’identité.
1. L’hameçonnage
Le phishing (ou hameçonnage) est le fait pour un intrus de vous contacter par courrier électronique, SMS ou messages instantanés sur les médias sociaux pour vous demander des informations précieuses sous couvert d’une personne ou d’une institution légitime. Les informations recherchées peuvent être vos coordonnées bancaires et de carte de crédit, les mots de passe de votre compte et d’autres informations personnellement identifiables.
Il existe des signaux d’alarme qui permettent d’identifier les tentatives d’hameçonnage. Le message contient généralement un sentiment d’urgence vous incitant à envoyer les informations immédiatement, des liens hypertextes sur lesquels vous devez cliquer ou des documents joints à un courrier électronique qu’ils veulent que vous ouvriez. Il y a aussi le vieux truc qui consiste à faire des offres trop belles pour être vraies.
2. Le bourrage de crèmes
Le credential stuffing consiste à collecter des données sur une plateforme et à les essayer sur une autre plateforme pour voir si elles sont valides. Par exemple, un pirate récupère ou achète un ensemble de données comprenant des noms d’utilisateur et des mots de passe valides sur Facebook et essaie les identifiants de connexion sur Twitter. Il réussira si les victimes utilisent les mêmes identifiants de connexion sur les deux plateformes.
Les recherches montrent que le bourrage d’identifiants a un faible taux de réussite, mais cela dépend du contexte. Le volume de données que les attaquants obtiennent pour le credential stuffing s’élève à des millions et des milliards de noms d’utilisateurs. Même avec un taux de réussite de 0,1, ils enregistreront un succès tangible. Votre compte pourrait figurer parmi les entrées valides.
3. Attaques de l’homme du milieu
L’écoute est un moyen efficace d’obtenir des informations personnelles sans le consentement des personnes concernées. C’est ce qui se passe avec les attaques de type « Man-in-the-Middle ». Les cybercriminels se positionnent stratégiquement entre vos canaux de communication. Lorsque vous envoyez des données personnelles d’une application à l’autre, ils les interceptent.
L’homme du milieu est efficace pour les attaques basées sur l’identité car la victime ignore l’existence du dispositif d’interception. Les acteurs de la menace peuvent remplacer les données en transit par un message malveillant. Le destinataire reçoit le message de l’attaquant et y donne suite, pensant qu’il provient de l’expéditeur original.
4. Pulvérisation de mots de passe
Si vous oubliez votre mot de passe et que vous entrez plusieurs fois des mots de passe erronés, vous risquez d’être bloqué temporairement sur la plateforme. C’est parce que le système soupçonne un acte criminel. Les cybercriminels utilisent la pulvérisation de mots de passe pour éviter d’être bloqués lorsqu’ils tentent de pirater des comptes. Ils associent un mot de passe commun à plusieurs noms d’utilisateur sur le même réseau. Le système ne soupçonnera aucune faute, car il semblera que plusieurs utilisateurs ont échoué dans leurs tentatives de connexion.
Les acteurs de la menace ont une grande confiance dans la pulvérisation de mots de passe parce que les gens utilisent des mots et des phrases courants comme mots de passe. Parmi des centaines de noms d’utilisateur, il n’est pas surprenant que quelques personnes utilisent un mot courant comme mot de passe.
5. Passer le hachage
Une attaque de type « pass-the-hash » est un processus par lequel un attaquant détourne le plan de votre mot de passe. Il n’a pas besoin de connaître ou d’obtenir le texte en clair de votre mot de passe, mais sa copie « hachée », composée de caractères aléatoires.
Les pirates peuvent récupérer le mot de passe haché en manipulant le protocole NTLM (New Technology LAN Manager). Le hachage du mot de passe est aussi valable que le mot de passe lui-même. Si vous ne changez pas le mot de passe, le hachage reste le même. Un pirate peut l’utiliser pour accéder à votre système et récupérer vos informations personnelles dans le cadre d’une attaque basée sur l’identité.
Comment prévenir les attaques basées sur l’identité ?
Pour prévenir les attaques basées sur l’identité, il faut que vos informations personnelles soient tenues à l’écart des intrus qui les recherchent. Voici quelques moyens d’y parvenir.
1. Désactiver les comptes dormants
Il n’est pas courant de garder une trace de tous les systèmes en ligne auxquels on s’inscrit. Il est courant de passer à autre chose lorsque vous n’avez plus besoin de ces comptes sans les supprimer. Or, sans que vous le sachiez, les comptes abandonnés sont autant de moyens pour les vecteurs de menace d’accéder à vos données. La suppression de vos comptes inactifs vous aide à minimiser l’exposition de vos données personnelles.
La création d’une feuille de calcul de tous vos comptes est un bon moyen d’en assurer le suivi. Vous pouvez consulter le gestionnaire de mots de passe de votre fournisseur de messagerie pour voir tous vos comptes et leurs mots de passe. Désactivez les comptes que vous n’avez pas utilisés depuis des années.
2. Adoptez l’authentification multifactorielle
L’authentification multifactorielle soumet les utilisateurs qui tentent d’accéder à votre système à plusieurs vérifications. Cela signifie qu’il ne suffit pas à un pirate d’obtenir votre nom d’utilisateur et votre mot de passe pour accéder à votre compte. Il devra vérifier son identité à l’aide de votre adresse électronique, de votre numéro de téléphone ou de votre appareil.
L’authentification multifactorielle constitue une défense solide contre les attaques basées sur l’identité, car un intrus doit avoir accès à plusieurs de vos comptes ou appareils pour passer les vérifications. Bien qu’il existe quelques failles dans l’authentification multifactorielle que les pirates peuvent exploiter, elle est généralement sûre et difficile à déjouer.
3. Mettre en œuvre le contrôle d’accès au moindre privilège
L’utilisation de systèmes d’authentification pour valider les utilisateurs au point d’entrée ne signifie pas que tous ceux qui ont passé le contrôle sont inoffensifs. Le principe du moindre privilège est un principe de contrôle d’accès qui vous permet de traiter l’ensemble du trafic et des utilisateurs de votre réseau comme des suspects. Au lieu d’ouvrir toutes les zones à n’importe qui, on limite leur accès à ce qui les concerne.
Interdisez l’accès à vos données personnelles à d’autres utilisateurs, y compris au personnel de cybersécurité chargé de la maintenance et de la réparation des systèmes. Si vous devez leur accorder l’accès, surveillez leurs activités et tenez-les responsables de tout comportement suspect.
4. Améliorer la culture du mot de passe
De nombreuses attaques basées sur l’identité s’appuient fortement sur les mots de passe pour réussir. Si vous pouviez sécuriser vos mots de passe, vous ne seriez plus dans le collimateur des auteurs de ces attaques. Vos mots de passe peuvent être tout sauf faciles à deviner. Évitez les mots et les chiffres courants qui vous sont associés.
Pour plus de sécurité, préférez les phrases aux mots comme mots de passe. Plus important encore, n’utilisez pas un seul mot de passe pour plusieurs comptes. Créer des mots de passe uniques pour plusieurs comptes peut s’avérer difficile à mémoriser. Vous pouvez surmonter cet obstacle en utilisant un gestionnaire de mots de passe sécurisé.
5. Cultiver la sensibilisation à la cybersécurité
L’une des plus grandes défenses de cybersécurité que vous puissiez construire est d’acquérir une compréhension et une expertise… Même si vous mettez en œuvre les outils de sécurité les plus sophistiqués, vous n’en tirerez pas le meilleur parti si vous ne savez pas comment les utiliser.
Familiarisez-vous avec les techniques de cyberattaque, leur fonctionnement et les moyens de les prévenir. Par exemple, si vous connaissez le phishing, vous réfléchirez à deux fois avant de cliquer ou d’ouvrir des liens ou des pièces jointes étranges. Le fait de ne pas utiliser le même mot de passe pour plusieurs comptes vous permet également d’éviter le bourrage d’informations d’identification.
Protégez votre empreinte numérique contre les attaques basées sur l’identité
Les attaques basées sur l’identité commencent par vous. Les acteurs de la menace ne peuvent pas vous cibler de cette manière s’ils ne disposent pas de vos informations personnelles. Ils ont un moyen de pression sur vous dès qu’ils mettent la main sur vos informations personnelles.
En étant conscient de votre empreinte numérique, vous pouvez contrôler ce qu’ils peuvent accéder à votre sujet. Ils ne peuvent pas récupérer ce qui n’est pas disponible.
