Comment détecter, prévenir et atténuer une attaque de piratage de compte (ATO)

En tant qu’entreprise, vous pouvez facilement vous défendre contre le type d’arnaque le plus courant, l’attaque par piratage de compte (ATO), en suivant quelques principes de base bien faits.

L’après-midi du 30 août 2019 a été bizarre pour les abonnés Twitter (maintenant X) de Jack Dorsey. «Il» s’est livré à une frénésie imprudente, d’une durée d’environ 20 minutes, en tweetant des insultes racistes et d’autres messages offensants.

Ses fans auraient pu prendre cela comme une dépression nerveuse inhabituelle de la part du PDG du plus grand site de microblogging. Cependant, Chuckling Squad, le groupe à l’origine de cette « aventure », avait laissé des liens vers sa chaîne Discord dans les tweets trompeurs du compte de Jack.

Plus tard, Twitter (maintenant X) a confirmé l’incident.

Nous sommes conscients que @jack a été compromis et enquête sur ce qui s’est passé.

– Communications Twitter (@TwitterComms) 30 août 2019

Il s’agissait d’une attaque classique de prise de contrôle de compte (ATO), une attaque de type Sim Swapping en particulier, dans laquelle les pirates ont pris le contrôle à distance du numéro de téléphone de Jack et ont tweeté à partir d’un service de tweet tiers, Cloudhopper.

Quelles sont les chances en faveur d’un utilisateur moyen si le PDG d’une entreprise technologique de haut niveau peut en être une victime ?

Alors rejoignez-moi pour parler des différentes formes d’ATO et de la façon d’assurer la sécurité de votre organisation.

Qu’est-ce qu’une attaque ATO ?

Une attaque de prise de contrôle de compte (ATO), comme son nom l’indique, utilise diverses techniques (abordées plus tard) pour pirater le compte en ligne d’une victime à de nombreuses fins illicites, telles que des escroqueries financières, l’accès à des informations sensibles, la fraude d’autrui, etc.

Comment fonctionne l’ATO ?

Le nœud d’une attaque ATO est le vol des informations d’identification du compte. Les mauvais acteurs le font par divers moyens, tels que :

  • Ingénierie sociale : il s’agit de forcer ou de persuader psychologiquement une personne à révéler ses informations de connexion. Cela peut être fait sous prétexte d’assistance technique ou de fabrication d’une situation d’urgence, laissant peu de temps à la victime pour réfléchir rationnellement.
  • Credential Stuffing : un sous-ensemble de la force brute, le credential stuffing signifie qu’un escroc tente de faire fonctionner des informations de connexion aléatoires, souvent obtenues à la suite d’une violation de données ou achetées sur le dark web.
  • Logiciels malveillants : les programmes dangereux et indésirables peuvent faire de nombreuses choses sur votre ordinateur. Un tel exemple consiste à voler les comptes connectés et à envoyer les détails au cybercriminel.
  • Phishing : La forme de cyberattaque la plus courante, le phishing, commence généralement par un simple clic. Cette action apparemment inoffensive amène l’utilisateur vers une contrefaçon où la future victime saisit ses identifiants de connexion, ouvrant ainsi la voie à une prochaine attaque ATO.
  • MITM : L’attaque de l’homme du milieu représente une situation dans laquelle un pirate informatique qualifié « écoute » votre trafic réseau entrant et sortant. Tout, y compris les noms d’utilisateur et les mots de passe que vous saisissez, est visible par un tiers malveillant.
  • Il s’agit des méthodes habituelles employées par les cybervoleurs pour acquérir criminellement des identifiants de connexion. Il s’ensuit une prise de contrôle de compte, une activité illégale et une tentative de maintenir l’accès « actif » le plus longtemps possible afin de victimiser davantage l’utilisateur ou de mener des attaques contre autrui.

    Le plus souvent, les méchants tentent de verrouiller l’utilisateur indéfiniment ou de créer des portes dérobées pour une attaque future.

    Bien que personne ne veuille vivre cela (Jack non plus !), cela aide énormément si nous pouvons le rattraper dès le départ pour éviter les dégâts.

    Détection d’une attaque ATO

    En tant que propriétaire d’entreprise, il existe plusieurs façons de détecter une attaque ATO contre vos utilisateurs ou employés.

    #1. Connexion inhabituelle

    Il peut s’agir de tentatives de connexion répétées à partir de différentes adresses IP, notamment à partir d’emplacements géographiquement éloignés. De même, il peut y avoir des connexions à partir de plusieurs appareils ou agents de navigateur.

    De plus, l’activité de connexion en dehors des heures normales d’activité peut refléter une éventuelle attaque ATO.

    #2. Échecs du 2FA

    Les échecs répétés de l’authentification à deux facteurs ou de l’authentification multifacteur sont également le signe d’une mauvaise conduite. La plupart du temps, c’est un mauvais acteur qui tente de se connecter après avoir mis la main sur le nom d’utilisateur et le mot de passe divulgués ou volés.

    #3. Activité anormale

    Parfois, il n’est pas nécessaire d’être expert pour constater une anomalie. Tout ce qui s’écarte largement du comportement normal de l’utilisateur peut être signalé pour le piratage du compte.

    Cela peut être aussi simple qu’une photo de profil inappropriée ou une série de spams envoyés à vos clients.

    En fin de compte, il n’est pas facile de détecter manuellement de telles attaques, et des outils comme Sucuri ou Acronis peut aider à automatiser le processus.

    Voyons maintenant comment éviter de telles attaques.

    Prévenir une attaque ATO

    En plus de vous abonner à des outils de cybersécurité, vous pouvez prendre note de quelques bonnes pratiques.

    #1. Mots de passe forts

    Personne n’aime les mots de passe forts, mais ils constituent une nécessité absolue dans le paysage actuel des menaces. Par conséquent, ne laissez pas vos utilisateurs ou employés s’en sortir avec de simples mots de passe et définissez des exigences minimales de complexité pour l’enregistrement du compte.

    Surtout pour les organisations, 1Entreprise de mots de passe est un choix judicieux pour un gestionnaire de mots de passe capable de faire le travail acharné pour votre équipe. En plus d’être un gardien de mots de passe, des outils de premier ordre analysent également le dark web et vous alertent en cas de fuite d’informations d’identification. Il vous aide à envoyer des demandes de réinitialisation de mot de passe aux utilisateurs ou employés concernés.

    #2. Authentification multifacteur (MFA)

    Pour ceux qui ne le savent pas, l’authentification multifacteur signifie que le site Web demandera un code supplémentaire (envoyé à l’adresse e-mail ou au numéro de téléphone de l’utilisateur) en plus de la combinaison nom d’utilisateur et mot de passe pour entrer.

    Il s’agit généralement d’une méthode robuste pour éviter tout accès non autorisé. Cependant, les escrocs peuvent rapidement exploiter la MFA via l’ingénierie sociale ou les attaques MITM. Ainsi, même s’il s’agit d’une excellente première (ou deuxième) ligne de défense, cette histoire ne se résume pas à autre chose.

    #3. Implémenter CAPTCHA

    La plupart des attaques ATO commencent par des robots essayant des informations de connexion aléatoires. Par conséquent, il serait bien préférable de mettre en place un défi de connexion tel que CAPTCHA.

    Mais si vous pensez qu’il s’agit de l’arme ultime, détrompez-vous car il existe des services de résolution de CAPTCHA qu’un mauvais acteur peut déployer. Pourtant, les CAPTCHA sont bons à avoir et à protéger contre les ATO dans de nombreux cas.

    #4. Gestion des sessions

    La déconnexion automatique pour les sessions inactives peut être une bouée de sauvetage pour les piratages de comptes en général, car certains utilisateurs se connectent à partir de plusieurs appareils et passent à d’autres sans se déconnecter des précédents.

    De plus, autoriser une seule session active par utilisateur peut également s’avérer utile.

    Enfin, il serait préférable que les utilisateurs puissent se déconnecter à distance des appareils actifs et qu’il existe des options de gestion de session dans l’interface utilisateur elle-même.

    #5. Systèmes de surveillance

    Couvrir tous les vecteurs d’attaque en tant que start-up ou organisation de niveau intermédiaire n’est pas si simple, surtout si vous ne disposez pas d’un service dédié à la cybersécurité.

    Ici, vous pouvez compter sur des solutions tierces comme Cloudflare et Imperva, en plus d’Acronis et Sucuri déjà mentionnés. Ces sociétés de cybersécurité sont parmi les meilleures pour faire face à de tels problèmes et peuvent prévenir ou atténuer efficacement les attaques ATO.

    #6. Géolocalisation

    La géolocalisation applique des politiques d’accès basées sur la localisation pour votre projet Web. Par exemple, une entreprise basée à 100 % aux États-Unis n’a que peu ou pas de raisons d’autoriser les utilisateurs chinois. Bien que ce ne soit pas une solution infaillible pour prévenir les attaques ATO, cela ajoute à la sécurité globale.

    En allant encore plus loin, une entreprise en ligne peut être configurée pour autoriser uniquement certaines adresses IP attribuées à ses employés.

    En d’autres termes, vous pouvez utiliser un VPN professionnel pour mettre fin aux attaques de piratage de compte. En outre, un VPN chiffrera également le trafic entrant et sortant, protégeant ainsi les ressources de votre entreprise contre les attaques de l’homme du milieu.

    #7. Mises à jour

    En tant qu’entreprise basée sur Internet, vous utilisez probablement de nombreuses applications logicielles, telles que des systèmes d’exploitation, des navigateurs, des plugins, etc. Tous ces éléments deviennent obsolètes et doivent être mis à jour pour la meilleure sécurité possible. Bien que cela ne soit pas directement lié aux attaques ATO, un morceau de code obsolète peut constituer une passerelle facile pour un cybercriminel souhaitant faire des ravages dans votre entreprise.

    En résumé : diffusez régulièrement des mises à jour de sécurité sur les appareils professionnels. Pour les utilisateurs, essayer de les sensibiliser à conserver les applications avec leurs dernières versions peut être un bon pas en avant.

    Après tout cela et bien plus encore, aucun expert en sécurité ne peut garantir une sécurité à 100 %. Par conséquent, vous devriez avoir un plan correctif vigoureux en place pour le jour fatidique.

    Combattre l’attaque ATO

    Le mieux est d’avoir à bord un expert en cybersécurité, car chaque cas est unique. Voici néanmoins quelques étapes pour vous guider dans un scénario d’attaque post-ATO courant.

    Contenir

    Après avoir détecté une attaque ATO sur certains comptes, la première chose à faire est de désactiver temporairement les profils concernés. Ensuite, l’envoi d’un mot de passe et d’une demande de réinitialisation MFA à tous les comptes peut être utile pour limiter les dégâts.

    Informer

    Communiquez avec les utilisateurs ciblés sur l’événement et l’activité du compte malveillant. Ensuite, informez-les de l’interdiction momentanée et des étapes de restauration du compte pour un accès sécurisé.

    Enquêter

    Ce processus peut être mieux accompli par un expert chevronné ou une équipe de professionnels de la cybersécurité. L’objectif peut être d’identifier les comptes concernés et de s’assurer que l’attaquant n’est pas encore en action à l’aide de mécanismes basés sur l’IA, tels que l’analyse du comportement.

    De plus, l’étendue de la violation de données, le cas échéant, doit être connue.

    Récupérer

    Une analyse complète du système contre les logiciels malveillants devrait être la première étape d’un plan de récupération détaillé car, le plus souvent, les criminels installent des rootkits pour infecter le système ou pour conserver l’accès à de futures attaques.

    À ce stade, on peut faire pression pour l’authentification biométrique, si disponible, ou la MFA, si elle n’est pas déjà utilisée.

    Rapport

    Selon les lois locales, vous devrez peut-être le signaler aux autorités gouvernementales. Cela vous aidera à rester conforme et à engager des poursuites contre les attaquants si nécessaire.

    Plan

    Vous connaissez désormais certaines failles qui existaient à votre insu. Il est temps de les aborder dans le futur paquet de sécurité.

    De plus, profitez de cette occasion pour informer les utilisateurs de cet incident et leur demander de pratiquer une hygiène Internet saine pour éviter de futurs problèmes.

    Dans le futur

    La cybersécurité est un domaine en évolution. Les choses considérées comme sûres il y a dix ans pourraient aujourd’hui être une invitation ouverte aux escrocs. Par conséquent, rester au courant des développements et mettre à jour périodiquement les protocoles de sécurité de votre entreprise est la meilleure voie à suivre.

    Si vous êtes intéressé, la section sécurité de toptips.fr est une bibliothèque d’articles dignes de favoris destinés aux start-ups et aux PME que nous écrivons et mettons à jour régulièrement. Continuez à les consulter, et je suis sûr que vous pourrez vérifier la partie « rester au courant » de la planification de la sécurité.

    Restez en sécurité et ne les laissez pas prendre le contrôle de ces comptes.