La fuite de mots de passe explose sous la pression d’attaques de plus en plus sophistiquées

0

Le nombre d’incidents conduisant à une fuite d’identifiants a presque doublé entre 2016 et 2020. C’est en tout cas la conclusion de la dernière étude menée par F5 Networks, publiée aujourd’hui.

Tribune – Cette étude, la plus complète à ce jour sur le sujet, révèle un véritable paradoxe : si le nombre d’incidents de fuite de données explose, on constate toutefois une baisse de 46 % de la quantité d’identifiants dérobés entre 2016 et 2020. Et même la taille moyenne de chaque incident a diminué, passant de 63 millions d’enregistrements en 2016 à 17 millions l’année dernière.

Toutefois, si l’on s’attarde sur la taille médiane des incidents (la valeur médiane diffère de la moyenne), alors l’année 2020 marque une forte reprise, avec 2 millions d’enregistrements, soit une augmentation de 234 % par rapport à 2019, la valeur la plus élevée depuis 2016.

Bien entendu, tous ces identifiants sont dérobés dans un but précis : ils servent à alimenter les attaques dites de « bourrage d’identifiants » (credentials stuffing). Ce type d’attaque implique en effet de disposer d’une vaste quantité d’identifiants (noms d’utilisateurs et/ou adresses mail et les mots de passe associés), afin de les essayer en masse sur de nombreux sites jusqu’à ce que cela fonctionne.

Et cela fonctionne souvent, au point que ce type d’attaque est devenu un problème mondial. À titre d’exemple, une alerte du FBI l’année dernière indiquait que cette menace représentait le plus grand nombre d’incidents de sécurité dans le secteur financier américain entre 2017 et 2020 (41 %).

« Le bourrage d’identifiants est l’une des plus grandes menaces de cybersécurité auxquelles nous sommes confrontés, et cela ne va pas changer de sitôt. Car même si le nombre d’incidents et le volume d’identifiants volés ont diminué en 2020, ce n’est pas forcément une bonne nouvelle. Il est très peu probable que les équipes de sécurité aient déjà gagné la guerre contre l’exfiltration des données et la fraude. Il semble donc plus probable que nous assistions avec cette baisse à la stabilisation d’un marché auparavant chaotique, qui atteint ainsi une plus grande maturité en ayant trouvé son régime de croisière », décrypte Sara Boddy, directrice principale de F5 Communities (F5 Labs et DevCentral).

Des mots de passe mal protégés et des attaquants sophistiqués

Quant à la cause de toutes ces fuites de données, l’étude observe que même si le processus sur la manière de protéger les mots de passe au sein des sites ou des applications web est bien connu, les mauvaises pratiques restent le cœur du problème.

Bien que la plupart des organisations ne divulguent pas la manière dont elles protègent les mots de passe (et en particulier les algorithmes de hachage qu’elles utilisent), F5 a pu étudier 90 incidents spécifiques afin de se faire une idée des causes les plus probables de la fuite des identifiants.

Il ressort de cette étude qu’au cours des trois dernières années, le stockage des mots de passe en texte en clair (le degré zéro de la protection) a été responsable du plus grand nombre de fuites d’identifiants (42,6 %). Vient ensuite dans 20 % des cas l’usage de l’algorithme SHA-1 sans ajout de « sel » (une valeur unique ajoutée au mot de passe pour en changer le hash par rapport à celui existant dans les dictionnaires utilisés par les pirates). Enfin, l’algorithme bcrypt (pourtant « salé » par défaut et réputé sûr) arrive en troisième position avec 16,7 % (l’étude ne le précise pas, mais cela peut être dû à un réglage trop faible de la valeur de complexité de bcrypt choisie par des sites à fort trafic dans l’espoir d’économiser des ressources serveur, N.d.T.)

Étonnamment, MD5 — un algorithme de hachage largement discrédité — ne représentait qu’une faible proportion des attaques (0,4 %), même lorsque ceux-ci étaient salés. Cela peut s’expliquer par le fait que l’usage de MD5 est découragé depuis longtemps.

Un autre enseignement notable de l’étude est que les attaquants utilisent de plus en plus de techniques de « fuzzing » pour optimiser leurs attaques. Le « fuzzing » est un processus de recherche d’erreurs dynamique qui consiste à tester de manière répétée les réponses des pages d’authentification avec des entrées modifiées.

Les auteurs de l’étude ont constaté que la plupart des attaques de « fuzzing » se produisaient avant la publication des identifiants compromis, ce qui suggère que cette pratique est mise en œuvre par les tout premiers attaquants, forcément plus sophistiqués que ceux qui profiteront ensuite de leur moisson d’identifiants.

La détection des fuites

Dans le rapport 2018 sur le bourrage d’identifiants, F5 a indiqué qu’il fallait en moyenne 15 mois pour qu’une telle attaque soit connue du public. Cette situation semble s’être améliorée au cours des trois dernières années : le temps moyen de détection des incidents, lorsque la date de l’incident et la date de découverte sont toutes deux connues, est maintenant d’environ 11 mois.

Cependant, cette moyenne est faussée à la hausse par une poignée d’incidents pour lesquels le temps de détection était de trois ans ou plus. Le délai médian de détection des incidents est désormais plutôt de 120 jours (environ 4 mois). Il est important de noter que de telles fuites de données sont souvent détectées sur le DarkWeb avant que les organisations ne divulguent (voire ne détectent) la brèche.

Le DarkWeb au cœur du dispositif

L’annonce d’une fuite de données coïncide généralement avec l’apparition des identifiants sur des forums du DarkWeb. C’est pourquoi pour son étude 2020 sur le « Credentials Stuffing », les chercheurs F5 ont spécifiquement analysé la période cruciale entre le vol des identifiants et leur publication sur le web noir. 

Ils ont effectué une analyse historique en utilisant un échantillon de près de 9 milliards d’identifiants provenant de milliers de fuites de données distinctes, connu sur le Dark Web sous le nom de « Collection X ». Ces listes volées ont été publiées au début du mois de janvier 2019.

Les chercheurs F5 ont comparé le contenu de la Collection X aux noms d’utilisateur exploités dans des attaques menées contre plusieurs clients F5 six mois avant et après que la fuite d’informations ait été portée à la connaissance du public.

Quatre clients du classement Fortune 500 ont ainsi été étudiés — deux banques, une société de la grande distribution et une entreprise de restauration — représentant à eux quatre 72 milliards de connexion sur 21 mois.

Grâce à la technologie de Shape Security, les chercheurs ont pu retracer le périple de ces identifiants depuis le moment où ils ont été volés, puis vendus et enfin utilisés.

En 12 mois, 2,9 milliards d’identifiants ont été utilisés sur les quatre sites web, à la fois pour des transactions légitimes et des attaques. Près d’un tiers (900 millions) de ces identifiants ont été compromis. Le vol d’identifiants s’est manifesté le plus souvent lors de transactions humaines légitimes dans les banques (35 % et 25 % des cas, respectivement). 10 % des attaques visaient le commerce de détail, et environ 5 % le secteur de l’alimentation et des boissons.

Les cinq phases du vol d’identité

Sur la base de cette étude, le rapport « 2020 Credential Stuffing » a identifié cinq phases distinctes dans le cycle de vie des identifiants dérobés :

  1. L’approche silencieuse : les identifiants compromis ont été utilisés de manière furtive jusqu’à un mois avant l’annonce publique. En moyenne, chaque identifiant était alors utilisé 15 à 20 fois par jour dans des attaques sur les quatre sites web.
  2. La montée en puissance : Dans les 30 jours précédant l’annonce publique, F5 a vu les identifiants circuler sur le DarkWeb. De plus en plus d’attaquants ont ainsi eu accès à ces informations, ce qui explique que le nombre d’attaques par jour augmente alors régulièrement.
  3. Le Blitz : Lorsque les informations d’identification sont devenues publiques, les « script kiddies » et d’autres amateurs ont commencé à les utiliser sur des sites web les plus populaires à travers Internet. La première semaine a été particulièrement active, chaque compte étant utilisé en moyenne plus de 130 fois par jour.
  4. Le régime de croisière : Après le premier mois, l’activité tombe à 28 attaques par nom d’utilisateur et par jour. Il est intéressant de noter que ce nouvel équilibre est plus élevé que le statu quo initial qui était de 15 attaques pendant la phase d’approche silencieuse. Cela est dû au fait que des attaquants novices continuent de cibler des entreprises de premier plan avec des identifiants périmés.
  5. La réincarnation : Après avoir surexploité les identifiants volés sur la plupart des sites web principaux, certains criminels ont entrepris de reconditionner ceux qui demeuraient valides afin de prolonger leur rentabilité.

Réduire la menace

« Le bourrage d’identifiants restera une menace tant que les utilisateurs devront se connecter à des comptes en ligne ! Car les attaquants continueront à s’adapter aux mesures de protection. Il est donc essentiel de développer des contrôles dynamiques, capables de s’adapter aux évolutions des fraudeurs. Il sera certes toujours impossible de détecter instantanément 100 % des attaques. Mais ce qui est possible, c’est de rendre ces attaques si coûteuses que les fraudeurs abandonnent, car elles ne sont plus rentables. Car s’il y a bien une chose qui est vraie dans le monde des cybercriminels comme dans celui des hommes d’affaires, c’est que le temps, c’est de l’argent », conclut Sara Boddy.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.