Qu’est ce qu' Identifiant compromis ?

Les informations d’identification compromises se produisent lorsque vos informations de connexion ont été volées ou consultées par des parties non autorisées. En règle générale, les informations d'identification compromises incluent les noms d'utilisateur, les mots de passe, les questions de sécurité et d'autres informations sensibles utilisées pour vérifier l'identité d'un utilisateur et accéder aux comptes et aux systèmes.

Les risques associés aux informations d’identification compromises sont graves. Les identifiants de connexion peuvent être utilisés à mauvais escient pour usurper l'identité d'utilisateurs légitimes, obtenir un accès non autorisé à des données et des comptes sensibles, les utiliser à des fins mouvement latéral attaques, installer des logiciels malveillants, voler des fonds, et bien plus encore. Les informations d’identification compromises sont l’un des vecteurs d’attaque les plus courants en matière de violations de données.

Causes courantes des informations d'identification compromises

Il existe plusieurs façons courantes de compromettre les informations d'identification :

  • Attaques de phishing : les e-mails de phishing contenant des liens ou des pièces jointes malveillants sont utilisés pour inciter les utilisateurs à saisir leurs informations de connexion sur des sites usurpés qui capturent leurs informations.
  • Logiciel malveillant d'enregistrement de frappe : les logiciels malveillants installés sur l'appareil d'un utilisateur suivent et enregistrent les touches enfoncées, capturant les noms d'utilisateur, les mots de passe et d'autres données sensibles.
  • Violations de données : lorsqu'un service est piraté, les informations d'identification des utilisateurs et d'autres informations personnelles sont souvent compromises et volées. Les attaquants utiliseront ensuite les informations d'identification volées pour accéder à d'autres comptes et systèmes.
  • Réutilisation des mots de passe : lorsqu'un utilisateur utilise le même mot de passe sur plusieurs de ses comptes et qu'une violation se produit lorsque les informations d'identification de cet utilisateur ont été compromises, tous les autres comptes utilisant ce mot de passe peuvent également être compromis.
  • Ingénierie sociale : des ingénieurs sociaux qualifiés manipulent la psychologie humaine pour convaincre les cibles de partager des informations de connexion sensibles, en personne, par téléphone ou en ligne.

En résumé, les informations d'identification compromises constituent une menace grave et des mesures proactives doivent être prises par les individus et les organisations pour prévenir et atténuer les risques associés aux informations de connexion volées. Avec des informations d’identification compromises, un accès non autorisé n’est souvent possible qu’en se connectant.

Comment les informations d'identification sont compromises

Les informations d'identification sont volées ou compromises de plusieurs manières courantes :

  • Attaques de phishing: Les e-mails de phishing incitent les utilisateurs à saisir leurs identifiants de connexion sur des sites Web usurpés. Les informations d'identification sont ensuite volées. Le phishing est l'une des principales causes de compromission des informations d'identification.
  • Violations de données: Lorsque les entreprises sont confrontées à des violations de données qui exposent les données des clients, les identifiants de connexion sont fréquemment volés. Les informations d’identification peuvent ensuite être vendues sur le dark web et utilisées pour accéder à d’autres comptes.
  • Mots de passe faibles: Les mots de passe faciles à deviner ou réutilisés font des comptes une cible facile. Une fois qu’un mot de passe a été compromis sur un site, les attaquants tenteront d’utiliser le même mot de passe sur d’autres sites Web populaires.
  • Logiciel malveillant d'enregistrement de frappe: Les logiciels malveillants tels que les enregistreurs de frappe peuvent être utilisés pour voler les frappes au clavier et capturer les informations de connexion. Les données volées sont ensuite retransmises aux attaquants.
  • Ingénierie sociale: Des ingénieurs sociaux qualifiés manipulent la psychologie humaine pour convaincre les cibles de partager des informations de connexion sensibles, soit en personne, par téléphone ou numériquement.

Voici quelques exemples bien connus d’informations d’identification compromises :

  • Violation de RockYou2024 : cet incident a entraîné la fuite d'un nombre impressionnant de 10 milliards d'informations d'identification, ce qui en fait l'une des plus grandes fuites de mots de passe de l'histoire. Bien que le volume de données soit alarmant, les experts ont souligné qu’une grande partie des données pourraient ne pas être immédiatement utiles aux attaquants en raison de la présence d’informations obsolètes ou non pertinentes. Cependant, cette violation nous rappelle brutalement les dangers de la réutilisation des mots de passe et la nécessité d'une sécurité renforcée. protocoles d'authentification pratiques, y compris l’authentification multifacteur (Daily Security Review).
  • Violation des comptes des dirigeants de Microsoft : début 2024, un acteur malveillant aligné sur la Russie a réussi à pirater les comptes de messagerie d'entreprise de Microsoft, y compris ceux des hauts dirigeants et des équipes de cybersécurité. Cette violation a été facilitée par l’exploitation d’un ancien compte dépourvu d’authentification multifacteur. Les attaquants ont réussi à exfiltrer les communications électroniques sensibles entre Microsoft et diverses agences fédérales américaines (CRN).
  • Violation de données Okta : en octobre 2023, Okta, l'un des principaux fournisseurs de services d'identité, a révélé qu'un acteur malveillant avait accédé à son système d'assistance client à l'aide d'identifiants volés. L'attaque a permis un accès non autorisé aux dossiers de support client, soulignant les risques associés aux informations d'identification compromises, même dans les systèmes conçus pour gérer et sécuriser les identités des utilisateurs.
  • En 2019, la société de tests ADN 23andMe a annoncé que certaines données de clients, y compris les informations de connexion, avaient été consultées en raison d'une faille de sécurité.
  • En 2018, le réseau Nintendo de Nintendo a subi une faille qui a compromis plus de 300,000 XNUMX comptes. Les identifiants de connexion ont été volés et utilisés pour effectuer des achats frauduleux.
  • En 2016, une violation de données chez PayPal a exposé plus de 1.6 million de dossiers clients, notamment les identifiants de connexion, les noms, les adresses e-mail, etc.

Les informations d'identification compromises constituent une menace sérieuse et la protection des comptes nécessite une vigilance face au phishing, aux mots de passe uniques et forts, authentification multi-facteurs et surveiller régulièrement les comptes pour détecter tout signe de fraude. Avec soin et conscience, les risques peuvent être réduits.

Les dangers des informations d’identification compromises

Les informations d’identification compromises présentent de sérieux risques pour les organisations et les individus. Une fois les identifiants de connexion volés, les attaquants peuvent accéder aux données et aux systèmes sensibles, permettant ainsi toute une série d'activités malveillantes.

D’après Rapport d'enquête de Verizon sur les violations de données 2020, plus de 80 % des violations liées au piratage exploitaient des mots de passe volés et/ou faibles. Les impacts de ces attaques basées sur les identifiants incluent :

  • Violations de données : en accédant aux comptes et aux systèmes, les attaquants peuvent voler des données confidentielles telles que des informations sur les clients, les dossiers des employés et la propriété intellectuelle, en utilisant bourrage d'informations d'identification attaques.
  • Perte financière : des acteurs malveillants peuvent transférer des fonds, effectuer des achats non autorisés ou commettre une fraude aux paiements en utilisant un accès à un compte volé.
  • Dommage à la réputation : les violations de données et les piratages de comptes peuvent nuire à la confiance des clients et à la réputation de la marque.
  • Prise de contrôle de compte : les attaquants peuvent détourner des comptes en ligne à des fins de spam, de fraude et d'autres activités malveillantes. Les comptes de réseaux sociaux compromis sont souvent utilisés à mauvais escient pour diffuser des logiciels malveillants et de la désinformation.

Alors que les individus doivent utiliser des mots de passe uniques et complexes et activer l'authentification multifacteur autant que possible, les organisations doivent également mettre en œuvre des politiques d'accès et des contrôles de sécurité stricts. Les changements fréquents de mot de passe, la surveillance des comptes et la formation des employés peuvent contribuer à réduire les risques associés aux informations d'identification compromises.

Détection des informations d'identification compromises

Pour détecter les informations d'identification compromises, les organisations utilisent des systèmes d'analyse d'entité et comportementale d'utilisateur (UEBA) qui surveillent l'activité et les comportements des utilisateurs pour identifier les anomalies.

Les solutions UEBA analysent les données de journaux provenant de plusieurs sources telles que les périphériques réseau, les systèmes d'exploitation et les applications pour créer une base de référence de l'activité normale des utilisateurs. Tout écart par rapport aux modèles établis peut indiquer des informations d’identification ou des comptes compromis.

Les plateformes de gestion des informations et des événements de sécurité (SIEM) contribuent également à détection des informations d'identification compromises en regroupant et en analysant les journaux de sécurité de divers systèmes à travers l'organisation. Les outils SIEM utilisent la corrélation et l'analyse des journaux pour identifier les tentatives de connexion suspectes, les changements d'emplacement et les élévations de privilèges pouvant indiquer des comptes compromis.

Surveillance continue de des comptes d'utilisateurs ou administrateurs et les événements d'authentification sont cruciaux pour la détection précoce des informations d'identification compromises.

Adaptatif et authentification basée sur les risques Les méthodes fournissent des couches de sécurité supplémentaires qui aident à identifier les accès non autorisés. Exiger une authentification multifacteur, en particulier pour comptes privilégiés, rend plus difficile l'exploitation des mots de passe compromis par les attaquants. La surveillance des tentatives de connexion infructueuses, des signes d'attaques par force brute et d'autres campagnes de bourrage d'informations d'identification permet également de détecter les comptes compromis avant qu'ils ne soient utilisés à mauvais escient.

Prévenir les attaques d'identifiants compromis

Pour éviter les attaques d’identifiants compromis, les organisations doivent mettre en œuvre des politiques et des contrôles de sécurité stricts.

L'authentification multifacteur (MFA) ajoute une couche de protection supplémentaire pour les comptes d'utilisateurs, les identités non humaines et les systèmes. Exiger des facteurs tels que des mots de passe à usage unique, des clés de sécurité ou des données biométriques en plus des mots de passe rend les comptes plus difficiles à compromettre.

Interdire les mots de passe précédemment exposés empêche les utilisateurs de sélectionner des mots de passe déjà connus des attaquants. En utilisant des listes noires de mots de passe compromis, les organisations peuvent empêcher les employés de choisir des mots de passe faciles à deviner ou à réutiliser.

La surveillance continue des informations d'identification exposées sur le dark web et le piratage des mots de passe permettent une réponse rapide. La surveillance des sauvegardes de mots de passe et des données de violation permet aux équipes de sécurité d'identifier les comptes compromis, de forcer la réinitialisation des mots de passe et d'activer l'authentification multifacteur.

La réalisation régulière de simulations de phishing et de formations de sensibilisation à la sécurité aide les employés à reconnaître et à éviter les e-mails de phishing et les sites Web malveillants visant à voler les identifiants de connexion. Expliquer les risques liés au partage excessif sur les réseaux sociaux et à la réutilisation des mots de passe entre les comptes permet de construire de bonnes habitudes de sécurité et une culture de vigilance.

L'utilisation de CAPTCHA, ou de tests automatisés que les humains peuvent réussir mais que les ordinateurs ne peuvent pas, ajoute une couche supplémentaire d'authentification pour les connexions et l'accès aux comptes. Les CAPTCHA empêchent les robots et les scripts automatisés de tenter d'accéder aux systèmes en utilisant des ensembles d'informations d'identification volés obtenus lors de violations de données.

Adopter et appliquer des politiques de mots de passe strictes qui nécessitent de changer fréquemment des mots de passe longs et complexes est l’un des meilleurs moyens de rendre les informations d’identification compromises plus difficiles à obtenir et à utiliser.

Stratégies d'atténuation pour les informations d'identification compromises

Une fois les informations d’identification compromises identifiées, plusieurs stratégies d’atténuation peuvent être utilisées pour réduire les risques.

Réinitialiser mot de passe

Le moyen le plus efficace d’atténuer les informations d’identification compromises consiste à réinitialiser immédiatement les mots de passe des utilisateurs. La réinitialisation des mots de passe des comptes concernés empêche les attaquants d'accéder aux systèmes et aux données en utilisant des informations de connexion volées.

Activer l'authentification multifacteur

L'activation de MFA ajoute une couche de protection supplémentaire pour les comptes d'utilisateurs. MFA nécessite non seulement un mot de passe mais également une autre méthode d'authentification comme un code de sécurité envoyé à l'appareil mobile de l'utilisateur. Même si un attaquant obtient le mot de passe d'un utilisateur, il devra également vérifier son identité sur le téléphone mobile de l'utilisateur pour se connecter.

Surveiller les comptes pour détecter toute activité suspecte

Une surveillance étroite des comptes compromis à la recherche de signes de connexions ou d'activités suspectes peut aider à détecter les accès non autorisés. Les équipes de sécurité doivent vérifier les heures de connexion, les emplacements et les adresses IP des comptes pour détecter des anomalies qui pourraient indiquer qu'un attaquant utilise des informations d'identification volées pour accéder au compte. La détection rapide des accès non autorisés peut aider à limiter les dommages causés par des informations d'identification compromises.

Fournir une formation supplémentaire

Les identifiants compromis sont souvent le résultat de mots de passe faibles ou réutilisés, de phishing ou d'autres attaques d'ingénierie sociale. La fourniture régulière de formations et de sensibilisation à la sécurité permet d'informer les utilisateurs sur les meilleures pratiques en matière de mots de passe, d'identification par phishing et d'autres sujets pour contribuer à réduire le risque de compromission. Il a été démontré qu’une formation supplémentaire et des campagnes de phishing simulées améliorent considérablement la sécurité au fil du temps.