Le secteur financier beaucoup plus touché que les autres par les attaques contre les systèmes d’authentification et le déni de service.
Tribune F5 – Selon une récente étude du F5 Labs, le secteur financier a connu une augmentation significative des attaques par déni de service et contre leurs systèmes d’authentification, alors même que ces modes d’attaque sont à la baisse pour les autres secteurs d’activité.
L’étude publiée porte sur les interventions du F5 Security Incident Response Team (F5 SIRT) sur la période 2017-2019 et s’intéresse en priorité aux banques, aux organismes de crédit, aux courtiers, aux assurances, ainsi qu’à tout l’écosystème numérique qui les sert (par exemple les processeurs de paiement ou les logiciels financiers en mode SaaS).
« Le secteur des services financiers est un environnement très réglementé, ce qui signifie que leurs budgets de sécurité sont plus élevés et qu’ils tolèrent moins le risque. Toutefois, ils restent une cible attrayante pour les cybercriminels en raison de la valeur et de la grande visibilité des informations auxquelles ils ont accès », explique Raymond Pompon, directeur du F5 Labs.
Principaux résultats de l’étude :
– Les attaques par force brute et le bourrage d’identifiants (credential stuffing) représentent 41 % de toutes les attaques contre les organisations financières
– Ce type d’attaque représente 20 % des attaques en EMEA, contre 64 % en Amérique du Nord
– Les attaques par déni de service distribué (DDoS) constituent la deuxième menace la plus importante pour les organismes de services financiers, représentant 32 % de tous les incidents signalés entre 2017 et 2019.
– En 2017, les attaques DDoS représentaient 26 % des attaques contre les organismes de services financiers. Ce chiffre est passé à 42 % en 2019
Hausse des attaques contre les systèmes d’authentification
En moyenne, l’approche par la force brute (1) et le bourrage d’identifiants (2) existants dérobés sur d’autres sites ont représenté 41 % de toutes les attaques contre les organisations financières ces trois dernières années. Au sein de cette période, ce chiffre est passé de 37 % en 2017 à un maximum de 42 % en 2019.
En se penchant sur les résultats, l’équipe F5 SIRT a constaté des variations importantes selon les régions du monde. Ainsi ce type d’attaque ne représente que 20 % du total sur la région EMEA, ce qui est certes un plus que les 15 % observés en Asie-Pacifique, mais nettement inférieur aux 64 % constatés en Amérique du Nord, où les bases d’identifiants volés sont probablement plus nombreuses en circulation.
« Le plus souvent, les premières indications d’une telle attaque proviennent plutôt des plaintes des clients qui ne peuvent plus accéder à leurs comptes après qu’il ait été verrouillé à cause des essais illégitimes, plutôt qu’une quelconque détection automatisée. Pourtant, une détection précoce est la clé. Si les défenseurs peuvent identifier au plus tôt une augmentation des tentatives de connexion infructueuses, cela leur donne l’opportunité d’agir avant que les clients ne soient vraiment affectés », poursuit Ray Pompon.
Les attaques DDOS : une menace en forte croissance
Les attaques par déni de service distribué (DDoS) constituent la deuxième menace la plus importante pour les organismes de services financiers, représentant 32 % de tous les incidents signalés entre 2017 et 2019. Il s’agit également de la menace qui connaît la croissance la plus rapide. En 2017, 26 % des attaques contre les organismes de services financiers se sont concentrées sur ce type d’attaque. Ce chiffre est passé à 42 % en 2019.
Et une fois de plus il est possible d’observer de fortes variations régionales : alors que les régions EMEA et Asie Pacifique sont frappées de la même manière par les attaques de type DDoS (50 % et 55 % respectivement du total), le volume tombe à 22 % en Amérique du Nord.
Selon les observations du F5 Labs, les attaques par déni de service contre les prestataires de services financiers visent généralement soit les services de base utilisés par les clients (tels que le DNS), soit les applications qui permettent aux utilisateurs d’accéder à des services en ligne (par exemple, consulter des factures ou demander des prêts). Les attaques proviennent souvent du monde entier, probablement par l’intermédiaire de grands réseaux de PC zombies loués par les attaquants ou construits spécialement à partir de machines compromises.
« Il est important pour ces entreprises d’être en mesure d’identifier les évolutions du trafic réseau par rapport à la normale afin de détecter rapidement les conditions d’une telle attaque. Et il est aussi vital de permettre une journalisation approfondie des services applicatifs afin d’identifier les requêtes inhabituelles », explique Ray Pompon.
Les autres attaques web sur le déclin
Alors que les attaques contre les systèmes d’authentification et les dénis de service continuent de se répandre, l’étude a malgré tout constaté une baisse simultanée des attaques web contre le secteur financier. En 2017 et 2018, elles représentaient 11 % de l’ensemble des incidents. En 2019, elles n’étaient plus que de 4 %.
« Bien qu’il soit difficile de déterminer la cause d’une telle chute, un des facteurs probables de cette tendance est la sophistication croissante des mesures techniques mises en œuvre, telles que le déploiement de pare-feux d’applications web (WAF) » justifie Ray Pompon.
Pour corroborer ces propos, le rapport 2018 du F5 Labs sur la protection des applications a effectivement révélé qu’une plus grande proportion d’organismes financiers a tendance à déployer des WAF (31 %) que la moyenne de tous les secteurs (26 %).
Parmi les autres attaques web qui subsistent, bien qu’en baisse, la plupart sont dirigées vers les API, y compris celles liées aux portails d’authentification mobile et à l’Open Financial Exchange (OFX). Enfin l’étude met également en lumière la pratique du « web scrapping », qui consiste à copier des sites web financiers dans le but de créer des pages de phishing réalistes.
F5 Labs estime que les attaques web contre les cibles des services financiers ont tendance à être plus persistantes que dans d’autres secteurs – en partie en raison du ciblage précis des cybercriminels et de la grande valeur potentielle des informations détenues.
Protéger l’avenir
L’analyse du F5 Labs conclut que, bien que le secteur des services financiers ait tendance à prendre la sécurité au sérieux, il n’y a pas lieu pour autant de se reposer sur ses lauriers.
« Malgré de forts enjeux, il peut encore être difficile de convaincre certaines organisations de la nécessité, par exemple, de déployer l’authentification multifactorielle, ce qui représente pourtant le moyen le plus efficace de prévenir presque toutes les attaques contre les services d’authentification tels que la force brute, le bourrage d’identifiants ou le phishing. Et ce n’est pas tout : sur le plan de la prévention, il faut renforcer les API et mettre en place un programme de gestion des vulnérabilités qui comporte un contrôle externe et une bonne gestion des correctifs. Du côté de la détection, il est essentiel de surveiller en permanence le trafic pour identifier les traces laissées par les tentatives de force brute et de bourrage d’identifiants. Enfin, comme toujours, il est essentiel de développer, et de pratiquer régulièrement, des procédures de réponse aux incidents qui tiennent compte de tous ces risques », conclut Ray Pompon.
(1) Les attaques par force brute impliquent pour l’attaquant de tester un grand nombre de combinaisons de noms d’utilisateur et de mots de passe choisis au hasard ou répertoriés dans des listes de mots passe connus ou par défaut.
(2) Le bourrage d’identifiants (credential stuffing) consiste quant à lui à essayer des paires d’identifiants dérobées sur d’autres sites, en comptant sur le fait que certains utilisateurs les réutilisent sur plusieurs sites.