Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Une attaque par déplacement latéral consiste à se déplacer « latéralement » d'un appareil, d'une application ou d'un compte à un ou une autre sur le réseau. Lorsqu'un assaillant a réussi à s'introduire sur un réseau, cette technique lui permet de se déplacer en toute discrétion et sans se faire repérer pour atteindre son objectif : vol de données, attaque par ransomware ou autre activité malveillante.
Une attaque par déplacement latéral consiste à se déplacer « latéralement » d'un appareil, d'une application ou d'un compte à un ou une autre sur le réseau. Lorsqu'un assaillant a réussi à s'introduire sur un réseau, cette technique lui permet de se déplacer en toute discrétion et sans se faire repérer pour atteindre son objectif : vol de données, attaque par ransomware ou autre activité malveillante.
Ces attaques peuvent être difficiles à détecter, car elles débutent souvent par l'utilisation d'identifiants dérobés qui passe pour du trafic réseau normal. Les assaillants peuvent ensuite collecter des informations et élever leur niveau d'accès et de privilège, ce qui les rend encore plus difficiles à dépister. Pour éviter la perte de données et minimiser l'impact de ces assauts, les entreprises doivent détecter et éliminer les intrus le plus rapidement possible.
Comment fonctionne une attaque par déplacement latéral ?
La mise en place d'une attaque par déplacement latéral se joue en trois phases.
- Reconnaissance : l'attaquant observe et cartographie le réseau ciblé. Il collecte des informations sur les utilisateurs, les appareils, les systèmes d'exploitation et les vulnérabilités potentielles.
- Vol d'identifiants : pour se déplacer sur le réseau, les assaillants ont besoin en priorité d'identifiants de connexion valides. Techniques d'ingénierie sociale consistant à manipuler les personnes pour qu'elles divulguent leurs informations de connexion, achat de mots de passe volés mis en vente sur le dark Web, utilisation de keyloggers pour se servir directement... les cybermalfaiteurs ne manquent pas d'ingéniosité.
- Premier accès à la cible : une fois le malfaiteur en possession d'identifiants légitimes, il n'a plus qu'à se connecter au réseau. Il reprend alors son travail de reconnaissance pour planifier son déplacement latéral jusqu'à sa cible. À ce stade, son objectif est de rester en mouvement et d'élever son niveau d'accès et de privilège.
Exemple tiré d'un fait réel : cyberattaque visant l'Administration américaine
Voici un exemple réel et récent d'attaque par déplacement latéral après infiltration du réseau d'un département de l'Administration américaine. Un hacker a utilisé les identifiants compromis d'un ancien employé de l'Administration américaine pour s'infiltrer sur un réseau privé virtuel (VPN) interne. Après s'être connecté à une machine virtuelle, il s'est mêlé au trafic légitime pour passer inaperçu. Il est ensuite passé par un compte d'administrateur distinct pour élever son niveau de privilège et exfiltrer des données sensibles.
Le déplacement latéral a joué un rôle prépondérant dans cette attaque en permettant au malfaiteur de se déplacer en toute discrétion et d'infiltrer d'autres systèmes. Une fois sur le réseau, c'est à partir de la machine virtuelle compromise que l'assaillant a pu s'emparer d'identifiants stockés sur un serveur SharePoint virtuel. Ces identifiants disposaient de privilèges d'administrateur sur le réseau sur site et dans Azure Active Directory. Armé de ce butin supplémentaire, il a pu explorer l'environnement local de sa victime et exécuter des requêtes sur un contrôleur de domaine.
Pourquoi les identifiants compromis sont-ils précieux pour les hackers ?
Les identifiants et les mots de passe jouent un rôle déterminant dans les attaques par déplacement latéral. Les assaillants sont avides d'identifiants de connexion valides, car ils leur servent de sésame pour pénétrer le système des organisations sans déclencher d'alerte ni éveiller de soupçons. Ce premier point d'appui leur permet de s'implanter sur le réseau de leurs victimes, d'accéder à des données sensibles, de compromettre des hôtes supplémentaires et d'élever leur niveau de privilège.
Les identifiants volés leur servent de base pour s'installer durablement sur le réseau. Les intrus peuvent alors se faire passer pour des utilisateurs légitimes, décrocher des accès administrateur et atteindre d'autres systèmes par déplacement latéral. Cette longévité leur permet de garder la main, de poursuivre leurs activités et de lancer d'autres attaques sur un laps de temps étendu.
Vous demandez-vous combien de vos utilisateurs finaux utilisent des mots de passe compromis à l'heure actuelle ? Pour le savoir, analysez votre infrastructure Active Directory avec notre outil d'audit gratuit en lecture seule : Specops Password Auditor.
Comment les attaquants volent-ils les identifiants ?
Les attaquants disposent d'un large éventail de techniques et d'outils pour dérober les mots de passe. Passons en revue les quatre principaux.
Ingénierie sociale : les hackers ont le choix entre de nombreuses techniques d'ingénierie sociale pour voler les identifiants de connexion, par exemple le phishing ou le typosquattage. Cette méthode consiste à manipuler les personnes pour qu'elles divulguent leurs mots de passe.
Keyloggers : ces programmes d'enregistrement de frappe sont déployés par l'intermédiaire d'e-mails de phishing contenant des liens malveillants ou des fichiers infectés. Une fois implantés sur un appareil, ils enregistrent chaque frappe au clavier et transmettent le tout à l'attaquant. Les mots de passe et les informations de connexion sont concernés par ce stratagème.
« Pass-the-ticket » : pour les malfaiteurs, des outils tels que Mimikatz permettant d'extraire les tickets d'authentification Kerberos facilitent l'authentification sans mots de passe d'utilisateur. Dans une attaque de type « pass-the-ticket », le pirate intercepte et réutilise des tickets Kerberos pour se faire passer pour un utilisateur légitime.
« Pass-the-hash » : ici, les attaquants capturent la chaîne de hachage authentifiée d'un mot de passe et l'utilisent pour se connecter à des appareils en local et distants et à des machines virtuelles. Ils obtiennent ainsi l'accès non autorisé aux systèmes sans se donner la peine de décrypter le hachage.
Comment défendre votre entreprise
Un certain nombre de mesures permettent de limiter le risque d'une attaque par déplacement latéral :
- Implémentation de politiques de mots de passe strictes. Par exemple, encourager les utilisateurs finaux à créer des phrases de passe aléatoires de plus de 15 caractères
- Obligation de l'authentification multifacteur (MFA) pour tous les comptes d'utilisateurs
- Mise à jour de vos systèmes et logiciels avec application de correctifs, le tout régulièrement, pour supprimer des vulnérabilités
- Formation et sensibilisation à la sécurité pour informer vos collaborateurs sur les différentes techniques d'attaque telles que le phishing et l'ingénierie sociale
- Surveillance du trafic réseau et utilisation de systèmes de détection et de prévention pour détecter et bloquer les activités malveillantes ; analyse de journaux pour détecter des signes d'attaque par mouvement latéral
- Utilisation de techniques de traque des menaces pour déceler au plus tôt les menaces cachées
- Segmentation du réseau pour limiter les possibilités de déplacement latéral des malfaiteurs
- Mise en place d'un plan de réponse aux incidents pour détecter, étudier et corriger au plus tôt les failles de sécurité potentielles
Protégez votre Active Directory contre les identifiants compromis
Pour vous protéger des attaques par déplacement latéral, il faut avant tout chercher les identifiants compromis connus sur votre Active Directory. L'outil Breached Password Protection de Specops Password Policy procède à des contrôles quotidiens de votre Active Directory en s'appuyant sur notre base de données de plus de 4 milliards de mots de passe compromis. La solution comprend les mots de passe provenant de fuites de données connues, notre système de surveillance des attaques en temps réel qui collecte les mots de passe utilisés dans les attaques par force brute en cours, et les données volées par malware collectées par notre équipe de renseignement sur les menaces.
Les identifiants compromis sont des occasions en or pour les hackers. Barrons-leur la route ! Prenons contact. Nos experts Specops sont là pour vous conseiller sur la mise à niveau de la sécurisation de vos accès.
Sur le même thème
Voir tous les articles Cybersécurité