Les informations d’identification compromises se produisent lorsque vos informations de connexion ont été volées ou consultées par des parties non autorisées. En règle générale, les informations d'identification compromises incluent les noms d'utilisateur, les mots de passe, les questions de sécurité et d'autres informations sensibles utilisées pour vérifier l'identité d'un utilisateur et accéder aux comptes et aux systèmes.
Les risques associés aux informations d’identification compromises sont graves. Les identifiants de connexion peuvent être utilisés à mauvais escient pour usurper l'identité d'utilisateurs légitimes, obtenir un accès non autorisé à des données et des comptes sensibles, les utiliser à des fins mouvement latéral attaques, installer des logiciels malveillants, voler des fonds, et bien plus encore. Les informations d’identification compromises sont l’un des vecteurs d’attaque les plus courants en matière de violations de données.
Il existe plusieurs façons courantes de compromettre les informations d'identification :
En résumé, les informations d'identification compromises constituent une menace grave et des mesures proactives doivent être prises par les individus et les organisations pour prévenir et atténuer les risques associés aux informations de connexion volées. Avec des informations d’identification compromises, un accès non autorisé n’est souvent possible qu’en se connectant.
Les informations d'identification sont volées ou compromises de plusieurs manières courantes :
Voici quelques exemples bien connus d’informations d’identification compromises :
Les informations d'identification compromises constituent une menace sérieuse et la protection des comptes nécessite une vigilance face au phishing, aux mots de passe uniques et forts, authentification multi-facteurs et surveiller régulièrement les comptes pour détecter tout signe de fraude. Avec soin et conscience, les risques peuvent être réduits.
Les informations d’identification compromises présentent de sérieux risques pour les organisations et les individus. Une fois les identifiants de connexion volés, les attaquants peuvent accéder aux données et aux systèmes sensibles, permettant ainsi toute une série d'activités malveillantes.
D’après Rapport d'enquête de Verizon sur les violations de données 2020, plus de 80 % des violations liées au piratage exploitaient des mots de passe volés et/ou faibles. Les impacts de ces attaques basées sur les identifiants incluent :
Alors que les individus doivent utiliser des mots de passe uniques et complexes et activer l'authentification multifacteur autant que possible, les organisations doivent également mettre en œuvre des politiques d'accès et des contrôles de sécurité stricts. Les changements fréquents de mot de passe, la surveillance des comptes et la formation des employés peuvent contribuer à réduire les risques associés aux informations d'identification compromises.
Pour détecter les informations d'identification compromises, les organisations utilisent des systèmes d'analyse d'entité et comportementale d'utilisateur (UEBA) qui surveillent l'activité et les comportements des utilisateurs pour identifier les anomalies.
Les solutions UEBA analysent les données de journaux provenant de plusieurs sources telles que les périphériques réseau, les systèmes d'exploitation et les applications pour créer une base de référence de l'activité normale des utilisateurs. Tout écart par rapport aux modèles établis peut indiquer des informations d’identification ou des comptes compromis.
Les plateformes de gestion des informations et des événements de sécurité (SIEM) contribuent également à détection des informations d'identification compromises en regroupant et en analysant les journaux de sécurité de divers systèmes à travers l'organisation. Les outils SIEM utilisent la corrélation et l'analyse des journaux pour identifier les tentatives de connexion suspectes, les changements d'emplacement et les élévations de privilèges pouvant indiquer des comptes compromis.
Surveillance continue de des comptes d'utilisateurs ou administrateurs et les événements d'authentification sont cruciaux pour la détection précoce des informations d'identification compromises.
Adaptatif et authentification basée sur les risques Les méthodes fournissent des couches de sécurité supplémentaires qui aident à identifier les accès non autorisés. Exiger une authentification multifacteur, en particulier pour comptes privilégiés, rend plus difficile l'exploitation des mots de passe compromis par les attaquants. La surveillance des tentatives de connexion infructueuses, des signes d'attaques par force brute et d'autres campagnes de bourrage d'informations d'identification permet également de détecter les comptes compromis avant qu'ils ne soient utilisés à mauvais escient.
Pour éviter les attaques d’identifiants compromis, les organisations doivent mettre en œuvre des politiques et des contrôles de sécurité stricts.
L'authentification multifacteur (MFA) ajoute une couche de protection supplémentaire pour les comptes d'utilisateurs, les identités non humaines et les systèmes. Exiger des facteurs tels que des mots de passe à usage unique, des clés de sécurité ou des données biométriques en plus des mots de passe rend les comptes plus difficiles à compromettre.
Interdire les mots de passe précédemment exposés empêche les utilisateurs de sélectionner des mots de passe déjà connus des attaquants. En utilisant des listes noires de mots de passe compromis, les organisations peuvent empêcher les employés de choisir des mots de passe faciles à deviner ou à réutiliser.
La surveillance continue des informations d'identification exposées sur le dark web et le piratage des mots de passe permettent une réponse rapide. La surveillance des sauvegardes de mots de passe et des données de violation permet aux équipes de sécurité d'identifier les comptes compromis, de forcer la réinitialisation des mots de passe et d'activer l'authentification multifacteur.
La réalisation régulière de simulations de phishing et de formations de sensibilisation à la sécurité aide les employés à reconnaître et à éviter les e-mails de phishing et les sites Web malveillants visant à voler les identifiants de connexion. Expliquer les risques liés au partage excessif sur les réseaux sociaux et à la réutilisation des mots de passe entre les comptes permet de construire de bonnes habitudes de sécurité et une culture de vigilance.
L'utilisation de CAPTCHA, ou de tests automatisés que les humains peuvent réussir mais que les ordinateurs ne peuvent pas, ajoute une couche supplémentaire d'authentification pour les connexions et l'accès aux comptes. Les CAPTCHA empêchent les robots et les scripts automatisés de tenter d'accéder aux systèmes en utilisant des ensembles d'informations d'identification volés obtenus lors de violations de données.
Adopter et appliquer des politiques de mots de passe strictes qui nécessitent de changer fréquemment des mots de passe longs et complexes est l’un des meilleurs moyens de rendre les informations d’identification compromises plus difficiles à obtenir et à utiliser.
Une fois les informations d’identification compromises identifiées, plusieurs stratégies d’atténuation peuvent être utilisées pour réduire les risques.
Le moyen le plus efficace d’atténuer les informations d’identification compromises consiste à réinitialiser immédiatement les mots de passe des utilisateurs. La réinitialisation des mots de passe des comptes concernés empêche les attaquants d'accéder aux systèmes et aux données en utilisant des informations de connexion volées.
L'activation de MFA ajoute une couche de protection supplémentaire pour les comptes d'utilisateurs. MFA nécessite non seulement un mot de passe mais également une autre méthode d'authentification comme un code de sécurité envoyé à l'appareil mobile de l'utilisateur. Même si un attaquant obtient le mot de passe d'un utilisateur, il devra également vérifier son identité sur le téléphone mobile de l'utilisateur pour se connecter.
Une surveillance étroite des comptes compromis à la recherche de signes de connexions ou d'activités suspectes peut aider à détecter les accès non autorisés. Les équipes de sécurité doivent vérifier les heures de connexion, les emplacements et les adresses IP des comptes pour détecter des anomalies qui pourraient indiquer qu'un attaquant utilise des informations d'identification volées pour accéder au compte. La détection rapide des accès non autorisés peut aider à limiter les dommages causés par des informations d'identification compromises.
Les identifiants compromis sont souvent le résultat de mots de passe faibles ou réutilisés, de phishing ou d'autres attaques d'ingénierie sociale. La fourniture régulière de formations et de sensibilisation à la sécurité permet d'informer les utilisateurs sur les meilleures pratiques en matière de mots de passe, d'identification par phishing et d'autres sujets pour contribuer à réduire le risque de compromission. Il a été démontré qu’une formation supplémentaire et des campagnes de phishing simulées améliorent considérablement la sécurité au fil du temps.