« Qui m’a envoyé ce mail ? » « Comment m’assurer que cet interlocuteur est réellement celui qu’il prétend être ? ». Ce sont des interrogations fréquentes et légitimes, mais auxquelles il est difficile de répondre. Dans le cyberespace, comment savoir qui se trouve de l’autre côté de l’écran ? Morgan Wright, chief security advisor chez SentinelOne, tente dans cette tribune de répondre à toutes ces questions.
Depuis toujours, la question de la vérification de l’identité est un défi permanent et en constante évolution. En temps de guerre, duper l’adversaire en diffusant des informations erronées par le biais de fausses identités est une technique bien connue. Si les tactiques utilisées pour établir l’identité et la confiance ont très peu changé, les outils, en revanche, ont considérablement évolué. Pourtant, trop souvent nous semblons oublier l’importance de l’identité dans la politique de sécurité. Car si l’identité légitime permet de s’assurer que la personne avec laquelle on échange est bien celle que l’on croit, l’identité trompeuse est conçue pour nous faire croire qu’elle est celle qu’elle “prétend” être, et non celle qui se cache derrière. Récemment, les comptes de plusieurs cadres supérieurs de Microsoft ont été compromis par un hacker appelé Midnight Blizzard. Il a utilisé une tactique de pulvérisation de mot de passe, est entré dans le système, a élevé ses privilèges et a ainsi pu accéder à des informations très sensibles.
Plus personne ne peut se sentir à hors de danger
En septembre 2023, un affilié du groupe criminel ALPHV/BlackCat ransomware a revendiqué l’attaque contre les casinos MGM. Selon vx-underground, la société de recherche en cybersécurité qui a été la première à établir un lien entre l’attaque et ALPHV, “tout ce que le groupe ALPHV a fait pour compromettre MGM Resorts, a été de trouver, via LinkedIn, le nom d’un employé et d’appeler le service d’assistance en se faisant passer pour lui pour récupérer un mot de passe prétendument perdu. Une conversation de 10 minutes a suffi pour pirater une entreprise à 33 900 000 000 $ “. Personne n’est à l’abri, même les forces de l’ordre américaines. En mai 2022, la Drug Enforcement Administration (DEA) a été victime d’une grave violation lorsque des hackers, munis d’un nom d’utilisateur et d’un mot de passe valides, ont accédé au système LEIA (Law Enforcement Inquiry and Alerts). En tant qu’ancien agent spécial, je peux attester de la nature sensible des informations contenues dans ce système.
Les pirates ne s’introduisent plus par effraction… ils se connectent !
On pourrait penser que l’authentification à deux ou plusieurs facteurs devrait suffire. Pourtant, en 2016, un technicien du service d’assistance informatique a répondu à un interlocuteur de ne pas s’inquiéter s’il ne savait pas comment fonctionnaient les tokens pour accéder au système. L’appelant, qui se décrit comme un hacktiviste, a laissé le service d’assistance le guider tout au long du processus de connexion avec un code à deux facteurs fourni par le technicien d’assistance… et c’est ainsi qu’il a pu accéder aux « informations personnelles d’environ 9 000 employés du Département de la Sécurité intérieure des États-Unis et de 20 000 collaborateurs du FBI ». Les pirates ne s’introduisent plus par effraction. Ils se connectent. Selon le rapport 2022 Trends in Security Digital Identities :
- 84% des personnes interrogées ont subi une violation liée à l’identité au cours de l’année écoulée
- 96 % ont déclaré que ces violations auraient pu être minimisées, voire évitées, grâce à des solutions axées sur l’identité.
- 78% ont fait état d’impacts directs sur l’entreprise, tels que l’atteinte à la réputation et le coût de la reprise d’activité après incident.
En avons-nous tiré des leçons ? Le rapport 2023 révèle que seule la moitié (49 %) des personnes interrogées déclarent que « les dirigeants de leur entreprise investissent de manière proactive dans la sécurisation des identités ». L’identité ne peut plus être considérée uniquement comme une caractéristique d’un utilisateur. Elle constitue la première ligne de défense – le nouveau périmètre de sécurité.
L’humain n’évolue pas au même rythme que la machine
Pourquoi l’identité est-elle un des principaux vecteurs d’attaque ? On pourrait dire que les progrès de la cybersécurité en sont la cause. Dans l’ensemble, nous nous améliorons dans la défense et la protection de nos actifs, de nos terminaux, de nos cloud workloads, … Or, il a suffi que nous détournions légèrement notre attention de la question de l’identité pour que les hackers mettent en place des mécanismes d’attaques efficaces leur permettant de poursuivre leurs activités criminelles. Le Général chinois, Sun Tzu, l’a compris il y a des siècles en déclarant “toute guerre est basée sur la tromperie”. Au fur et à mesure que les machines évoluent, elles s’améliorent et deviennent plus rapides. Il n’en est pas de même pour les humains. Certains tombent encore dans le piège de l’escroquerie par mail du prince nigérian.
Morgan Wright, chief security advisor chez SentinelOne
