En tant qu’entreprise, vous pouvez facilement vous défendre contre le type d’arnaque le plus courant, l’attaque par piratage de compte (ATO), en suivant quelques principes de base bien faits.
L’après-midi du 30 août 2019 a été bizarre pour les abonnés Twitter (maintenant X) de Jack Dorsey. «Il» s’est livré à une frénésie imprudente, d’une durée d’environ 20 minutes, en tweetant des insultes racistes et d’autres messages offensants.
Ses fans auraient pu prendre cela comme une dépression nerveuse inhabituelle de la part du PDG du plus grand site de microblogging. Cependant, Chuckling Squad, le groupe à l’origine de cette « aventure », avait laissé des liens vers sa chaîne Discord dans les tweets trompeurs du compte de Jack.
Plus tard, Twitter (maintenant X) a confirmé l’incident.
Nous sommes conscients que @jack a été compromis et enquête sur ce qui s’est passé.
– Communications Twitter (@TwitterComms) 30 août 2019
Il s’agissait d’une attaque classique de prise de contrôle de compte (ATO), une attaque de type Sim Swapping en particulier, dans laquelle les pirates ont pris le contrôle à distance du numéro de téléphone de Jack et ont tweeté à partir d’un service de tweet tiers, Cloudhopper.
Quelles sont les chances en faveur d’un utilisateur moyen si le PDG d’une entreprise technologique de haut niveau peut en être une victime ?
Alors rejoignez-moi pour parler des différentes formes d’ATO et de la façon d’assurer la sécurité de votre organisation.
Table des matières
Qu’est-ce qu’une attaque ATO ?
Une attaque de prise de contrôle de compte (ATO), comme son nom l’indique, utilise diverses techniques (abordées plus tard) pour pirater le compte en ligne d’une victime à de nombreuses fins illicites, telles que des escroqueries financières, l’accès à des informations sensibles, la fraude d’autrui, etc.
Comment fonctionne l’ATO ?
Le nœud d’une attaque ATO est le vol des informations d’identification du compte. Les mauvais acteurs le font par divers moyens, tels que :
Il s’agit des méthodes habituelles employées par les cybervoleurs pour acquérir criminellement des identifiants de connexion. Il s’ensuit une prise de contrôle de compte, une activité illégale et une tentative de maintenir l’accès « actif » le plus longtemps possible afin de victimiser davantage l’utilisateur ou de mener des attaques contre autrui.
Le plus souvent, les méchants tentent de verrouiller l’utilisateur indéfiniment ou de créer des portes dérobées pour une attaque future.
Bien que personne ne veuille vivre cela (Jack non plus !), cela aide énormément si nous pouvons le rattraper dès le départ pour éviter les dégâts.
Détection d’une attaque ATO
En tant que propriétaire d’entreprise, il existe plusieurs façons de détecter une attaque ATO contre vos utilisateurs ou employés.
#1. Connexion inhabituelle
Il peut s’agir de tentatives de connexion répétées à partir de différentes adresses IP, notamment à partir d’emplacements géographiquement éloignés. De même, il peut y avoir des connexions à partir de plusieurs appareils ou agents de navigateur.
De plus, l’activité de connexion en dehors des heures normales d’activité peut refléter une éventuelle attaque ATO.
#2. Échecs du 2FA
Les échecs répétés de l’authentification à deux facteurs ou de l’authentification multifacteur sont également le signe d’une mauvaise conduite. La plupart du temps, c’est un mauvais acteur qui tente de se connecter après avoir mis la main sur le nom d’utilisateur et le mot de passe divulgués ou volés.
#3. Activité anormale
Parfois, il n’est pas nécessaire d’être expert pour constater une anomalie. Tout ce qui s’écarte largement du comportement normal de l’utilisateur peut être signalé pour le piratage du compte.
Cela peut être aussi simple qu’une photo de profil inappropriée ou une série de spams envoyés à vos clients.
En fin de compte, il n’est pas facile de détecter manuellement de telles attaques, et des outils comme Sucuri ou Acronis peut aider à automatiser le processus.
Voyons maintenant comment éviter de telles attaques.
Prévenir une attaque ATO
En plus de vous abonner à des outils de cybersécurité, vous pouvez prendre note de quelques bonnes pratiques.
#1. Mots de passe forts
Personne n’aime les mots de passe forts, mais ils constituent une nécessité absolue dans le paysage actuel des menaces. Par conséquent, ne laissez pas vos utilisateurs ou employés s’en sortir avec de simples mots de passe et définissez des exigences minimales de complexité pour l’enregistrement du compte.
Surtout pour les organisations, 1Entreprise de mots de passe est un choix judicieux pour un gestionnaire de mots de passe capable de faire le travail acharné pour votre équipe. En plus d’être un gardien de mots de passe, des outils de premier ordre analysent également le dark web et vous alertent en cas de fuite d’informations d’identification. Il vous aide à envoyer des demandes de réinitialisation de mot de passe aux utilisateurs ou employés concernés.
#2. Authentification multifacteur (MFA)
Pour ceux qui ne le savent pas, l’authentification multifacteur signifie que le site Web demandera un code supplémentaire (envoyé à l’adresse e-mail ou au numéro de téléphone de l’utilisateur) en plus de la combinaison nom d’utilisateur et mot de passe pour entrer.
Il s’agit généralement d’une méthode robuste pour éviter tout accès non autorisé. Cependant, les escrocs peuvent rapidement exploiter la MFA via l’ingénierie sociale ou les attaques MITM. Ainsi, même s’il s’agit d’une excellente première (ou deuxième) ligne de défense, cette histoire ne se résume pas à autre chose.
#3. Implémenter CAPTCHA
La plupart des attaques ATO commencent par des robots essayant des informations de connexion aléatoires. Par conséquent, il serait bien préférable de mettre en place un défi de connexion tel que CAPTCHA.
Mais si vous pensez qu’il s’agit de l’arme ultime, détrompez-vous car il existe des services de résolution de CAPTCHA qu’un mauvais acteur peut déployer. Pourtant, les CAPTCHA sont bons à avoir et à protéger contre les ATO dans de nombreux cas.
#4. Gestion des sessions
La déconnexion automatique pour les sessions inactives peut être une bouée de sauvetage pour les piratages de comptes en général, car certains utilisateurs se connectent à partir de plusieurs appareils et passent à d’autres sans se déconnecter des précédents.
De plus, autoriser une seule session active par utilisateur peut également s’avérer utile.
Enfin, il serait préférable que les utilisateurs puissent se déconnecter à distance des appareils actifs et qu’il existe des options de gestion de session dans l’interface utilisateur elle-même.
#5. Systèmes de surveillance
Couvrir tous les vecteurs d’attaque en tant que start-up ou organisation de niveau intermédiaire n’est pas si simple, surtout si vous ne disposez pas d’un service dédié à la cybersécurité.
Ici, vous pouvez compter sur des solutions tierces comme Cloudflare et Imperva, en plus d’Acronis et Sucuri déjà mentionnés. Ces sociétés de cybersécurité sont parmi les meilleures pour faire face à de tels problèmes et peuvent prévenir ou atténuer efficacement les attaques ATO.
#6. Géolocalisation
La géolocalisation applique des politiques d’accès basées sur la localisation pour votre projet Web. Par exemple, une entreprise basée à 100 % aux États-Unis n’a que peu ou pas de raisons d’autoriser les utilisateurs chinois. Bien que ce ne soit pas une solution infaillible pour prévenir les attaques ATO, cela ajoute à la sécurité globale.
En allant encore plus loin, une entreprise en ligne peut être configurée pour autoriser uniquement certaines adresses IP attribuées à ses employés.
En d’autres termes, vous pouvez utiliser un VPN professionnel pour mettre fin aux attaques de piratage de compte. En outre, un VPN chiffrera également le trafic entrant et sortant, protégeant ainsi les ressources de votre entreprise contre les attaques de l’homme du milieu.
#7. Mises à jour
En tant qu’entreprise basée sur Internet, vous utilisez probablement de nombreuses applications logicielles, telles que des systèmes d’exploitation, des navigateurs, des plugins, etc. Tous ces éléments deviennent obsolètes et doivent être mis à jour pour la meilleure sécurité possible. Bien que cela ne soit pas directement lié aux attaques ATO, un morceau de code obsolète peut constituer une passerelle facile pour un cybercriminel souhaitant faire des ravages dans votre entreprise.
En résumé : diffusez régulièrement des mises à jour de sécurité sur les appareils professionnels. Pour les utilisateurs, essayer de les sensibiliser à conserver les applications avec leurs dernières versions peut être un bon pas en avant.
Après tout cela et bien plus encore, aucun expert en sécurité ne peut garantir une sécurité à 100 %. Par conséquent, vous devriez avoir un plan correctif vigoureux en place pour le jour fatidique.
Combattre l’attaque ATO
Le mieux est d’avoir à bord un expert en cybersécurité, car chaque cas est unique. Voici néanmoins quelques étapes pour vous guider dans un scénario d’attaque post-ATO courant.
Contenir
Après avoir détecté une attaque ATO sur certains comptes, la première chose à faire est de désactiver temporairement les profils concernés. Ensuite, l’envoi d’un mot de passe et d’une demande de réinitialisation MFA à tous les comptes peut être utile pour limiter les dégâts.
Informer
Communiquez avec les utilisateurs ciblés sur l’événement et l’activité du compte malveillant. Ensuite, informez-les de l’interdiction momentanée et des étapes de restauration du compte pour un accès sécurisé.
Enquêter
Ce processus peut être mieux accompli par un expert chevronné ou une équipe de professionnels de la cybersécurité. L’objectif peut être d’identifier les comptes concernés et de s’assurer que l’attaquant n’est pas encore en action à l’aide de mécanismes basés sur l’IA, tels que l’analyse du comportement.
De plus, l’étendue de la violation de données, le cas échéant, doit être connue.
Récupérer
Une analyse complète du système contre les logiciels malveillants devrait être la première étape d’un plan de récupération détaillé car, le plus souvent, les criminels installent des rootkits pour infecter le système ou pour conserver l’accès à de futures attaques.
À ce stade, on peut faire pression pour l’authentification biométrique, si disponible, ou la MFA, si elle n’est pas déjà utilisée.
Rapport
Selon les lois locales, vous devrez peut-être le signaler aux autorités gouvernementales. Cela vous aidera à rester conforme et à engager des poursuites contre les attaquants si nécessaire.
Plan
Vous connaissez désormais certaines failles qui existaient à votre insu. Il est temps de les aborder dans le futur paquet de sécurité.
De plus, profitez de cette occasion pour informer les utilisateurs de cet incident et leur demander de pratiquer une hygiène Internet saine pour éviter de futurs problèmes.
Dans le futur
La cybersécurité est un domaine en évolution. Les choses considérées comme sûres il y a dix ans pourraient aujourd’hui être une invitation ouverte aux escrocs. Par conséquent, rester au courant des développements et mettre à jour périodiquement les protocoles de sécurité de votre entreprise est la meilleure voie à suivre.
Si vous êtes intéressé, la section sécurité de toptips.fr est une bibliothèque d’articles dignes de favoris destinés aux start-ups et aux PME que nous écrivons et mettons à jour régulièrement. Continuez à les consulter, et je suis sûr que vous pourrez vérifier la partie « rester au courant » de la planification de la sécurité.
Restez en sécurité et ne les laissez pas prendre le contrôle de ces comptes.
