Les compromissions ciblant les centres de support technique reposent souvent sur la confiance humaine plutôt que sur la force brute. Ou quand l’envie d’aider compromet la cybersécurité. Prévenir ces intrusions exige des contrôles d’identité renforcés, une surveillance proactive et une réponse instantanée aux signaux de compromission.
Un certain nombre de cyberattaques récemment médiatisées ont un dénominateur commun : le service d’assistance informatique. Bien que des menaces toujours plus sophistiquées technologiquement aient vu le jour ces dernières années, de nombreux cybercriminels continuent d’utiliser une méthode éprouvée et redoutablement efficace, reposant sur l’ingénierie sociale : le phishing et sur l’exploitation d’une vulnérabilité présente dans presque toutes les entreprises : la tendance naturelle des êtres humains à vouloir s’entraider.
Compromission du service d’assistance : qui est concerné ?
La compromission du support technique concerne une faille de sécurité par laquelle les cyber-attaquants accèdent aux systèmes internes en incitant les techniciens à autoriser l’accès à des comptes légitimes. Une fois infiltrés, ils se déplacent latéralement dans les systèmes de l’entreprise pour exfiltrer des données sensibles ou installer des rançongiciels, causant ainsi des dommages considérables à l’entreprise ciblée, notamment au niveau de ses opérations quotidiennes et de son chiffre d’affaires, mais impactant aussi sa réputation et la confiance de ses clients.
Les tactiques courantes utilisées sont les suivantes :
* L’ingénierie sociale et l’usurpation d’identité : les hackers utilisent le phishing par SMS, les appels vocaux (vishing) ou de faux scénarios d’assistance informatique pour récupérer des identifiants, se faisant souvent passer pour des employés partenaires, des services d’assistance internes ou des salariés cherchant à réinitialiser leur mot de passe.
* L’échange de carte SIM pour la prise de contrôle des identifiants : les attaques commencent souvent par une ingénierie sociale coordonnée avec des fournisseurs de services mobiles pour détourner le numéro de téléphone de la victime. Ainsi, ils interceptent les flux MFA ou les procédures de récupération des comptes, ce qui est particulièrement efficace avec des employés en distanciel ou des sous-traitants tiers utilisant l’authentification mobile.
* La fatigue liée à la MFA et le détournement de session : les cybercriminels utilisent des invites push MFA répétées ou la capture de jetons pour contourner l’authentification à deux facteurs.
* Le VPN et les outils d’accès à distance compromis : les pirates informatiques exploitent des configurations incorrectes ou des droits d’accès excessifs à des plateformes de support tierces telles que Citrix, RDP ou des VPN couramment utilisés par les MSP.
* L’augmentation des privilèges et le mouvement latéral : une fois à l’intérieur des systèmes, les pirates se déplacent latéralement à travers l’entreprise jusqu’à l’infrastructure stratégique.
* L’abus de la fédération d’identité ou du SSO : les pirates informatiques profitent de relations d’identités fédérées peu gouvernées, souvent via des partenaires, pour atteindre les systèmes de production ou les données des abonnés.
* Les ransomwares : les ransomwares déployés à partir de comptes compromis paralysent les opérations et permettent aux pirates informatiques d’exiger une rançon pour restaurer les données et les systèmes de l’entreprise ciblée.
* Le vol et l’exfiltration de données : les données des entreprises et des clients peuvent être volées si la rançon n’est pas payée, avec un risque de double extorsion combinant chiffrement des données et menace de diffusion publique pour maximiser leurs gains.
Le FBI a récemment émis une alerte auprès du secteur aérien pour le mettre en garde contre les attaques visant son service d’assistance informatique. Mais, ce type d’incident informatique peut toucher n’importe quelle entreprise, quel que soit son secteur d’activité.
Parmi les cibles récentes figurent les secteurs du retail, de l’hôtellerie, de la finance, des assurances, de l’informatique et des télécommunications. Les entreprises disposant d’un vaste écosystème de partenaires et de fournisseurs tiers sont particulièrement exposées, en raison des protocoles de sécurité qui peuvent varier d’une entité à l’autre.
Des attaques qui s’appuient sur des salariés bien intentionnés
Bien que ces violations de données aient des conséquences considérables et peuvent se propager à l’ensemble des systèmes d’une entreprise, elles commencent souvent par des techniques d’ingénierie sociale simples et peu sophistiquées. Un appel téléphonique anodin est souvent la première étape d’une cyberattaque capable de paralyser les opérations d’une grande entreprise. Maîtrisant l’ingénierie sociale, les pirates informatiques mènent des campagnes de phishing très efficaces pour accéder aux comptes des employés ou de tiers.
De plus, les cybercriminels exploitent la volonté d’aider bien connue des techniciens des services d’assistance : c’est dans leur intitulé de poste et dans la nature même de leur travail. Ainsi, les cybercriminels savent exactement comment les aborder et disposent de suffisamment d’informations pour les inciter à baisser leur garde à l’autre bout du fil.
Il suffit d’un seul compte interne compromis pour créer un cyber-incident qui coûtera plusieurs millions. Heureusement, chaque entreprise peut prendre des mesures adéquates pour contrer ces différentes menaces.
Les principales mesures de défense à prendre
Une attaque contre le service d’assistance commence par la compromission d’une identité. Ainsi, les solutions de gestion des identités sécurisées constituent un outil puissant pour stopper ces attaques avant qu’elles ne coûtent une fortune aux entreprises.
Un maître mot : la prévention
Des mesures préventives compliquent la pénétration des défenses d’une entreprise par les pirates informatiques. L’objectif est de s’assurer qu’un salarié du centre d’appels ne commette pas d’erreur par inadvertance.
* La vérification d’identité : la validation d’identité est une étape essentielle. Une vérification complète de l’identité, avec la capture de selfie et la vérification d’une pièce d’identité officielle, toutes deux soumises à un contrôle de test de vie, rend l’usurpation d’identité quasiment impossible.
Exiger une vérification d’identité avant la réinitialisation d’un mot de passe peut aussi bloquer la majorité des tentatives d’ingénierie sociale.
* La vérification vocale : inscrire les employés ayant accès aux informations sensibles de l’entreprise à un système de vérification vocale est un excellent complément. Il faut s’assurer de l’authenticité de la voix pour empêcher les deepfakes par clonages vocaux. De plus, utiliser l’empreinte vocale en direct comme méthode d’authentification sécurisée rend plus difficiles les falsifications.
* Les justificatifs vérifiables : les employés présentant un justificatif vérifiable au moment de l’interaction avec le service d’assistance permet d’obtenir le même niveau de certitude qu’une vérification d’identité complète, avec une expérience encore plus rapide et un coût par interaction moindre.
* L’authentification multifactorielle (MFA) : la MFA résistante au phishing pour tous les employés, comme l’authentification biométrique conforme aux normes FIDO2 s’avère efficace, sans oublier de mettre en place une évaluation des risques en temps réel pour minimiser les attaques de type “MFA bombing” (harcèlement par notifications MFA).
La détection des attaques en temps réel
Si un pirate informatique parvient à obtenir les identifiants nécessaires pour accéder aux systèmes de l’entreprise, la mise en place d’une veille des menaces en temps réel peut aider à le repérer rapidement avant qu’il ne cause des dommages irréparables.
* Une surveillance des menaces en temps réel, qui évalue des facteurs tels que l’adresse IP, les informations sur l’appareil, la géolocalisation et le comportement de l’utilisateur, alerte en cas de tentative de prise de contrôle de compte. Cela permet une réaction immédiate, avant que l’attaquant ne parvienne à installer un ransomware ou à exfiltrer des données.
Réagir immédiatement aux menaces potentielles
Apporter une réponse rapide à tout incident est essentiel pour empêcher les pirates informatiques de pénétrer au sein des systèmes organisationnels ce qui pourrait entraîner des pannes, des pertes de données ou d’autres conséquences préjudiciables. L’atténuation des risques doit être automatique et immédiate, et peut prendre plusieurs formes.
* Organiser des impasses pour les pirates informatiques : créer des parcours utilisateurs qui réagissent en temps réel aux risques détectés et déclenchent automatiquement des mesures de sécurité lorsqu’un comportement suspect est identifié.
* Utiliser une authentification forte basée sur les risques : adopter des méthodes d’authentification multifacteur (MFA) résistantes au phishing et les appliquer immédiatement dès qu’une menace est détectée.
* Mettre en place des contrôles d’autorisation précis : mettre en place des règles fines qui déclenchent des contrôles de sécurité renforcés lorsqu’une action à haut risque, comme l’accès ou la modification d’un système central, est effectuée.
* En cas de doute, la vérification est incontournable : mettre en place des mesures de sécurité de haut niveau avant qu’un utilisateur ne soit autorisé à effectuer des actions sensibles, en demandant automatiquement une vérification complète de l’identité, avec capture de selfie en direct et validation de documents officiels, ou de justificatifs d’identité vérifiables.
Protéger l’entreprise en se concentrant sur les identités
Les attaques lancées auprès des services d’assistance informatique sont dévastatrices et ont des conséquences durables, mais elles peuvent être évitées grâce à des mesures de protection adéquates.
À l’heure où l’IA rend l’ingénierie sociale, le phishing et l’usurpation d’identité plus faciles et plus accessibles que jamais, les entreprises doivent être capables d’identifier avec certitude leurs utilisateurs et de s’assurer de leurs intentions.
En mettant l’accent sur la protection des identités, non seulement au niveau du centre d’assistance, mais aussi dans tous les systèmes internes et tiers, il est possible de contrecarrer ces cyberattaques.
____________________________
Par Zakaria Hajiri, Vice-Président Europe du Sud chez Ping Identity
puis