Comme les mauvais acteurs traversent souvent simplement les portes d’entrée numérique des entreprises avec une clé, voici comment garder votre propre porte serrée serrée
11 septembre 2025
•
,
5 min. lire
Pourquoi décomposer une porte et mettre l’alarme de la maison lorsque vous avez une clé et un code pour marcher silencieusement? C’est la raison d’être de la tendance de la cybersécurité où les adversaires cherchent de plus en plus à voler des mots de passe, et même des jetons d’authentification et des cookies de session pour contourner les codes MFA afin qu’ils puissent accéder aux réseaux en se faisant passer pour des utilisateurs légitimes.
Selon Verizon, «l’utilisation des informations d’identification volées» a été l’une des méthodes les plus populaires pour obtenir un accès initial au cours des dernières années. L’utilisation des informations d’identification volées est apparue dans un tiers (32%) des violations de données l’année dernière, note son rapport. Cependant, bien qu’il existe plusieurs façons dont les acteurs de menace peuvent obtenir des informations d’identification, il existe également de nombreuses opportunités de les arrêter.
Pourquoi les informations d’identification sont le sol zéro pour les cyberattaques
Selon une estimation, plus de 3,2 milliards de titres ont été volés dans les entreprises mondiales en 2024, une augmentation annuelle de 33%. Avec l’accès que ceux-ci fournissent aux comptes d’entreprise, les acteurs de la menace peuvent se glisser efficacement dans l’ombre tout en traçant leur prochain mouvement. Cela pourrait impliquer des formes plus avancées d’exploitation criminelle, par exemple:
- Conduire la reconnaissance du réseau: à la recherche de données, d’actifs et d’autorisations utilisateur pour aller après ensuite
- Escalade des privilèges, par exemple via l’exploitation de la vulnérabilité, afin de se déplacer latéralement pour atteindre ces magasins / systèmes de données de grande valeur
- Établir secrètement des communications avec un serveur de commande et de contrôle (C2), pour télécharger des logiciels malveillants supplémentaires et exfiltrater les données
En travaillant à travers ces étapes, un adversaire pourrait également mener des ransomwares très réussis et d’autres campagnes.
Comment ils se maintiennent des mots de passe
Les acteurs de la menace ont développé diverses façons de compromettre les informations d’accès aux entreprises de vos employés ou, dans certains cas, même leurs codes MFA. Ils incluent:
- Phishing: Les e-mails ou les SMS se sont apportés pour apparaître comme s’ils étaient envoyés à partir d’une source officielle (c’est-à-dire le service informatique ou un fournisseur de technologie). Le destinataire sera encouragé à cliquer sur un lien malveillant les amenant à une fausse page de connexion (c’est-à-dire Microsoft).
- Vishing: Une variation du thème du phishing, mais cette fois, une victime reçoit un appel téléphonique de l’acteur de menace. Ils peuvent se faire passer pour les aides informatiques et demander à la victime de remettre un mot de passe ou inscrire un nouvel appareil MFA dans le cadre d’une histoire fictive. Ou ils pourraient appeler le Helpdesk prétendant être un cadre ou un employé qui a besoin d’une réinitialisation de mot de passe urgente pour faire son travail.
- Infostolers: Malware conçu pour récolter les informations d’identification et les cookies de session de l’ordinateur / de l’appareil de la victime. Il pourrait arriver via un lien / pièce jointe malveillant, un site Web compromis, une application mobile piégée, une arnaque des médias sociaux ou même un mod de jeux non officiel. Les infostelleurs auraient été responsables de 75% des titres de compétences compromis l’année dernière.
- Attaques de force brute: Ceux-ci incluent la farce des informations d’identification, où les adversaires essaient précédemment les combos de nom d’utilisateur / mot de passe contre les sites et les applications d’entreprise. La pulvérisation de mot de passe, quant à elle, exploite les mots de passe couramment utilisés sur différents sites. Les robots automatisés les aident à le faire à grande échelle, jusqu’à ce que l’on fonctionne enfin.
- Violations tierces: Les adversaires compromettent un fournisseur ou un partenaire qui stocke les informations d’identification pour ses clients, comme un MSP ou un fournisseur SaaS. Ou ils achètent des troves de «combos» de connexion déjà violés à utiliser dans les attaques ultérieures.
- Contournement MFA: Les techniques incluent l’échange de sim, le bombardement rapide du MFA qui submerge la cible avec les notifications push afin de provoquer une «fatigue alerte» et de provoquer une approbation push, et l’adversaire dans le milieu (AITM) des attaques s’insèrent entre un utilisateur et un service d’authentification légitime pour intercepter les tokens de session MFA.
Les dernières années ont été inondées d’exemples réels de compromis de mot de passe conduisant à des incidents de sécurité majeurs. Ils incluent:
- Changer de santé: Dans l’une des cyberattaques les plus importantes de 2024, le groupe Ransomware Alphv (Blackcat) est paralysée des changements de santé, un grand fournisseur de technologies de santé américaine. Le gang a exploité un ensemble d’identification volées pour accéder à distance à un serveur qui n’avait pas d’authentification multifactorielle (MFA) activée. Ils dégénèrent ensuite leurs privilèges et se sont déplacés latéralement dans les systèmes et ont déployé des ransomwares, ce qui a finalement conduit à une perturbation sans précédent du système de santé et au vol de données sensibles sur des millions d’Américains.
- Flocon de neige: L’acteur de menace financièrement motivé UNC5537 a eu accès aux instances de la base de données des clients de SnowFlake de plusieurs clients. Des centaines de millions de clients en aval ont été touchés par cette campagne d’extorsion de vol de données massive. L’acteur de menace aurait accédé à leur environnement via des informations d’identification précédemment volées via des logiciels malveillants infosiner.
Gardez les yeux ouverts
Tout cela rend plus important que jamais de protéger les mots de passe de vos employés, de rendre les connexions plus sécurisées et de surveiller l’environnement informatique plus étroitement pour les signes révélateurs d’une violation.
Une grande partie de cela peut être réalisée en suivant une approche de confiance zéro basée sur le principe: ne jamais la confiance, vérifiez toujours. Cela signifie adopter l’authentification basée sur les risques au «périmètre» puis à différentes étapes d’un réseau segmenté. Les utilisateurs et les appareils doivent être évalués et notés en fonction de leur profil de risque, qui peuvent être calculés à partir du temps et de l’emplacement de la connexion, du type d’appareil et du comportement de session. Pour renforcer la protection de votre organisation contre l’accès non autorisé et pour garantir la conformité aux réglementations, l’authentification multi-facteurs solide (MFA) est également une ligne de défense non négociable.
Vous devez compléter cette approche avec des programmes de formation et de sensibilisation mis à jour pour les employés, y compris des simulations du monde réel en utilisant les dernières techniques d’ingénierie sociale. Des politiques et des outils stricts empêchant les utilisateurs de visiter des sites risqués (où les infostateurs pourraient se cacher) sont également importants, tout comme les logiciels de sécurité sur tous les serveurs, les points de terminaison et autres appareils, et les outils de surveillance continus pour repérer le comportement suspect. Ce dernier vous aidera à détecter les adversaires qui pourraient être à l’intérieur de votre réseau gracieuseté d’un diplôme compromis. En effet, les organisations doivent également avoir un moyen de réduire les dommages qu’un compte compromis peut faire, par exemple en suivant le principe du moindre privilège. Enfin, la surveillance Web Dark peut vous aider à vérifier si des informations d’identification d’entreprise sont en vente sur la cybercriminalité sous terre.
Plus largement, envisagez de recruter l’aide d’un tiers expert via un service de détection et de réponse géré (MDR). Surtout si votre entreprise est à court de ressources. En plus de la baisse du coût total de possession, un fournisseur de MDR réputé apporte une expertise en matière de la matière, une surveillance 24h / 24 et une chasse aux menaces, et l’accès aux analystes qui comprennent les nuances des intrusions basées sur les informations d’identification et peuvent également accélérer la réponse des incidents si des comptes compromis sont détectés.
