AVIS D’EXPERT – Matthieu Jouzel, Solutions Engineer chez BeyondTrust, propose aux lecteur de Solutions-Numériques une série d’avis d’expert sur les attaques de mots de passe. Après celle consacrée aux méthodes courantes d’attaque de mot de passe, il décrypte ici les attaques d’ingénierie sociale.
Les attaques d’ingénierie sociale – e-mails de phishing, appels vocaux (vishing) et fausses demandes de réinitialisation de mot de passe – préparent des attaques ciblées. Elles consistent à en apprendre autant que possible sur la cible pour resserrer la recherche de mots de passe. Les hackers apprécient tout particulièrement les noms des animaux domestiques, des enfants, du conjoint, les adresses, les anniversaires, les loisirs, les amis. A cette mine d’information s’ajoutent encore les noms de leurs acteurs, groupes, auteurs, films et séries préférés. Rappelons en quoi consiste ces attaques afin que chacun puisse mieux les identifier et s’en protéger.
-
Lire aussi...L'article de la semaine
Phishing et vishing
Les attaques de phishing et vishing servent souvent à collecter de l’information en prévision d’attaques ultérieures et à installer un programme malveillant sur un endpoint, pour siphonner les mots de passe par exemple. Ces attaques peuvent aussi s’inscrire dans une volonté d’amener l’utilisateur à réinitialiser son mot de passe. Cette demande s’effectue souvent par l’envoi d’un e-mail avec un lien pour réinitialiser son mot de passe. L’e-mail de phishing pourra arborer le logo et la charte graphique du site officiel, e-commerce, banque, fournisseur de services. Cependant, le lien renvoie la victime vers une interface fictive de réinitialisation du mot de passe. Ainsi, le hacker n’a plus qu’à utiliser le mot de passe de la victime pour pirater son compte. Il arrive que des salariés soient trompés par un e-mail, pensant que ce dernier émane de leur support technique officiel, les invitant à réinitialiser un mot de passe. Ces attaques rappellent la nécessité de bien former les utilisateurs à systématiquement vérifier la légitimité des adresses e-mail et des numéros de téléphone avant de donner suite.
-
Réinitialisation forcée de mot de passe
Les mécanismes de réinitialisation de mot de passe attirent tout naturellement les hackers : nous parlons ici de réinitialisation forcée proposée par le support technique ou par le propriétaire d’une application et non initiée par l’utilisateur.
Les risques liés à la réinitialisation de mot de passe sont les suivants :
- E-mail ou SMS de réinitialisation conservé par l’utilisateur
- Réutilisation des mots de passe déjà réinitialisés par le support technique
- E-mail de réinitialisation envoyé automatiquement suite au blocage du compte
- Des mots de passe communiqués verbalement peuvent être entendus
- Risque que l’utilisateur note le mot de passe réinitialisé quelque part
- Risque que l’utilisateur modifie son mot de passe selon des conventions connues
Chaque réinitialisation de mot de passe induit implicitement que l’ancien mot de passe pose des risques et qu’il faut en changer. Le mot de passe a peut-être été oublié, il a expiré ou plusieurs tentatives infructueuses ont bloqué le compte. La chaîne d’opérations de réinitialisation, transmission et stockage du nouveau mot de passe pose des risques tant que l’utilisateur n’a pas changé son mot de passe. Certains ne changeront même pas le mot de passe reçu. Une fois qu’une identité est compromise, il suffit d’une demande de réinitialisation de mot de passe pour recréer les identifiants du compte.
-
Ecoute
Nous parlons d’écoute quand un mot de passe a été prononcé et entendu, vocalement ou par voie numérique, que ce soit volontairement ou par inadvertance. Bien entendu, on ne crie pas des mots de passe au bureau mais il arrive encore que l’on doive appeler le support technique pour réinitialiser son mot de passe, ce qui suppose que le nouveau mot de passe soit dicté à l’utilisateur. Dans ce cas, le hacker doit changer de mot de passe dès la première connexion, l’utilisateur légitime ne pourra pas se connecter et rappellera l’assistance.
Ces mots de passe ne sont pas seulement révélés vocalement : les claviers Bluetooth transmettent la frappe en mode sans fil. Aujourd’hui, on doit régulièrement s’authentifier auprès de systèmes de l’autre côté de la planète qui ne sont même plus nos systèmes. Les mots de passe sont transmis par voie électronique à de nombreux systèmes avant d’atteindre leur destination. Sans chiffrement ou autre mesure de protection, ils risquent d’être « écoutés ».
-
Espionnage par-dessus l’épaule
Il s’agit ici surtout d’observation. Le hacker épie la saisie des mots de passe, des codes pin et des mouvements sur l’écran, ou encore l’écriture d’un mot de passe sur un post-it. Le concept est simple. Un hacker assure une surveillance physique, utilise une caméra ou tout autre dispositif d’enregistrement pour obtenir les mots de passe et pouvoir les réutiliser.
-
Achat-vente de mots de passe
Sur le dark web, on peut trouver des listes de mots de passe, des tables de hash et des « rainbow tables » mais il arrive aussi que des individus ayant accès à de nombreux identifiants d’utilisateurs ou partagés les vendent. Un salarié malveillant peut très bien vendre des identifiants et prétendre qu’ils ont été compromis. Cette menace d’initié est d’autant plus préoccupante en entreprise quand il s’agit de comptes privilégiés dont les identifiants donnent accès aux actifs les plus sensibles.
Si les attaques contre les mots de passe par ingénierie sociale sont courantes, il n’est pas impossible de s’en protéger grâce à de bonnes pratiques de cyber hygiène. C’est ainsi qu’au distributeur automatique, par exemple, il est recommandé de masquer la saisie du code PIN pour ne pas s’exposer à des regards indiscrets. De même, concernant la réinitialisation de mot de passe, les demandes doivent toujours émaner d’une adresse sûre et mieux vaut ne pas envoyer d’informations par SMS car ces derniers ne sont pas fiables. Dans la mesure du possible, les procédures de réinitialisation de mot de passe devraient être éphémères et ne rester actives que pour une durée prédéfinie. Si l’utilisateur ne se connecte pas à son compte dans la durée impartie, l’accès au compte est bloqué. Il est recommandé de changer fréquemment ses mots de passe, mais cela doit se faire via des canaux sécurisés.