Les ransomwares continuent d’être extrêmement populaires parmi les acteurs malveillants. Les fuites de données associées sont désormais courantes. Celles-ci ont énormément de valeur et sont motivées par des raisons financières. Cible de choix, les données d’identification et les risques de fuites de ces données particulières méritent davantage d’attention de la part des entreprises.
Le dernier rapport de Verizon souligne ce point et aide les organisations à comprendre les menaces auxquelles elles sont confrontées et à se préparer au mieux à ces éventualités. Il résume les conclusions tirées à partir des incidents survenus dans des entreprises de toutes tailles et de tous les secteurs d’activité.
Cela reflète également les conclusions du rapport GitGuardian sur l’état de la prolifération des secrets dans le code source, qui démontre l’augmentation croissante de ce type de vulnérabilités.
Les trois principaux scénarios d’attaque de l’année précédente sont les suivants :
1- Intrusion dans le système : attaques complexes pour lesquelles les cybercriminels s’appuient sur des logiciels malveillants et/ou le piratage pour atteindre leurs objectifs, y compris le déploiement de ransomwares.
2- Attaques d’applications Web standards : les attaques visent une application Web et, après la compromission initiale, elles ne comportent pas un grand nombre d’actions supplémentaires. Il s’agit du modèle « entrer, obtenir les données et sortir ».
3- Ingénierie sociale : compromission psychologique d’une personne qui modifie son comportement pour l’amener à entreprendre une action ou à violer la confidentialité.
Selon ce rapport, 74% de toutes les violations comprennent un facteur humain, les personnes étant impliquées soit par erreur, soit par abus de privilèges, soit par l’utilisation d’informations d’identification volées, soit par l’ingénierie sociale.
Des acteurs externes sont à l’origine de 83% des violations signalées, le reste étant le fait d’un mélange de collaborateurs internes et de partenaires, c’est-à-dire de tierces parties partageant une relation commerciale avec l’organisation. La grande majorité des violations, environ 75%, impliquent le crime organisé, tandis que moins de 10 % sont le fait d’acteurs affiliés à un État-nation.
S’il n’est pas surprenant que la plupart des cybercriminels soient motivés par les gains financiers, il est alarmant de constater que ce facteur de motivation a augmenté d’une année sur l’autre, atteignant 94,6 % des violations. Les rançongiciels (ransomware) ont de nouveau été l’un des principaux types d’action présents dans les brèches, dans 24 % des cas. La perte médiane a plus que doublé pour atteindre 26 000 dollars, et les pertes les plus élevées ont atteint 2,25 millions de dollars. En outre, les coûts globaux de récupération après un incident de ransomware augmentent.
Par ailleurs, 86% des attaques ont impliqué l’utilisation d’informations d’identification volées dans le cadre d’attaques d’applications Web de base, ce qui représente environ un quart de l’ensemble des données et le deuxième schéma d’attaque le plus courant. Il ne s’agit malheureusement pas d’une grande surprise étant donné que les informations d’identification viennent en deuxième position, après les données personnelles, pour ce qui est des types de données divulguées lors d’une attaque.
Dans près de la moitié des cas (49 %), des informations d’identification volées ont été utilisées pour l’accès initial aux systèmes d’une organisation.
Les informations d’identification ne sont pas seulement divulguées depuis du code ou dans les logs. Malheureusement, les informations d’identification en clair se retrouvent souvent dans les boîtes de réception : 41% des violations impliquent des serveurs de messagerie et, malheureusement, nombre d’entre elles contiennent des informations d’identification relatives à d’autres systèmes. Cela devrait nous rappeler à tous de ne jamais, au grand jamais, envoyer par courriel des mots de passe en clair, des clés d’API ou tout autre secret.
L’authentification multifactorielle (MFA) semble être l’un des principaux moyens pour que les entreprises se protègent. Bien qu’il ne s’agisse pas d’une solution miracle, l’authentification multifactorielle, lorsqu’elle est appliquée correctement, peut s’avérer très efficace pour réduire l’efficacité des attaques qui conduisent au vol de données d’identification. Jen Easterly, directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), explique qu’ « il est essentiel que les ‘cibles de grande valeur’ telles que les administrateurs système et le personnel des logiciels en tant que service (SaaS) utilisent une MFA résistante à l’hameçonnage« .
Les meilleurs secrets sont ceux que l’on ne voit jamais et que l’on change souvent. Il est important de s’équiper de solutions permettant de garder les secrets des organisations hors de portée des attaquants. Ces outils permettent de trouver rapidement tous les secrets codés en dur, en donnant des informations sur l’emplacement et l’âge de l’identifiant, si le secret est exposé publiquement, et dans de nombreux cas, s’il est toujours valide. Les équipes peuvent rapidement trier et s’attaquer à la suppression, à la rotation et au stockage en toute sécurité des informations d’identification dans des coffres forts.
Il est aussi conseillé de traiter le problème à la source en mettant en place une détection à la source du code sur les stations de travail des développeurs.
____________________________
Par Dwayne McDaniel – Security Advocate – GitGuardian
puis