Piratage de compte

Le piratage de compte (ATO) est une forme d'usurpation d'identité et de fraude qui consiste, pour un tiers malveillant, à obtenir l'accès aux identifiants de connexion d'un compte utilisateur.

En se faisant passer pour l'utilisateur légitime du compte, les cybercriminels parviennent à changer les informations du compte, à envoyer des e-mails de phishing, à voler des informations financières ou des données sensibles ou encore à utiliser des données volées pour accéder à encore plus de comptes au sein de l'entreprise.

Si la prolifération des communications numériques a rendu tous les employés vulnérables au piratage de leur compte(une étude récente de Javelin fait état de plus de 13 milliards de dollars de pertes à cause des piratages de compte juste pour 2023), les départements les plus exposés sont l'informatique, les ressources humaines et les plus hauts responsables. Ces équipes ont un accès direct aux données sensibles, aux informations financières et à l'infrastructure de sécurité.

Les attaques par piratage de compte ne se limitent pas aux entreprises d'une certaine taille, d'un certain secteur d'activité ou d'un emplacement géographique donné. Habituellement, les pirates ciblent principalement les grandes organisations, mais l’omniprésence croissante des informations numériques et la facilité de diffusion de technologies de sécurité illégales réduisent à peau de chagrin l'ancien « filet de sécurité » que représentait le fait d'être une petite entreprise. En réalité, les petites entreprises étant parfois moins vigilantes sur les connexions, les créations de comptes ou les réinitialisations de mots de passe anormales, elles peuvent représenter une cible plus intéressante que les grands comptes. Par conséquent, toutes les sociétés se doivent d'être proactives pour se prémunir contre les problèmes graves liés au piratage de compte.

La croissance de la communication numérique et du stockage de données offre de nombreuses portes d'entrée aux cybercriminels qui cherchent à accéder aux informations personnelles des utilisateurs. De plus, comme on ne fait pas toujours tous preuve de diligence lorsqu'il s'agit d'utiliser des mots de passe forts, les cybercriminels n'ont pas besoin d'informations très sensibles pour accéder à un compte. Une analyse réalisée en 2023 par NordPass a révélé que les cinq mots de passe les plus utilisés étaient une combinaison de chiffres séquentiels (c'est-à-dire « 123456 ») ou simplement « admin ». 

Les pirates chercheront le point d'entrée le plus simple et organiseront le piratage du compte à partir de là. Tout peut partir de n'importe quelle donnée personnelle utilisée à la connexion, par exemple l'adresse e-mail, le patronyme, la date de naissance ou la ville. Toutes ces données peuvent être trouvées à partir de recherches succinctes.

Une fois qu'un pirate a piraté le principal canal de communication d'un utilisateur, il est en mesure de changer tout ce à quoi le compte donne accès, par exemple les questions de sécurité, les mots de passe, les paramètres de chiffrement, les noms d'utilisateurs etc. Ce verrouillage intégral peut même rendre suspect l'utilisateur légitime qui tente de résoudre le problème, celui-ci ne connaissant pas les nouvelles informations associées au compte.

Malware

Les pirates utilisent des malwares pour pirater un compte en déployant divers types de logiciels malveillants qui s'infiltrent dans l'appareil ou le réseau d'un utilisateur. Ce malware peut prendre la forme d’enregistreurs de frappe qui enregistrent les frappes au clavier, de spywares qui surveillent l’activité des utilisateurs ou de programmes plus complexes qui interceptent le trafic réseau. Une fois installé, le malware recueille des informations sensibles telles que les identifiants de connexion, soit en les capturant directement au moment où ils sont saisis, soit en les volant à partir d'emplacements stockés ou en les interceptant pendant la transmission.

Phishing (hameçonnage)

En tant que l'un des 13 types de menaces les plus populaires par e-mail, les cybercriminels utilisent les e-mails de hameçonnage pour inciter les utilisateurs à révéler leurs informations personnelles par e-mail. Là où les e-mails de phishing sont souvent automatisés et faciles à repérer, les e-mails de spear phishing sont très ciblés donc plus insidieux.

Credential Stuffing

Cette technique exploite l'habitude des gens de réutiliser leurs mots de passe. Les cybercriminels obtiennent des informations d'identification volées ou divulguées par diverses entreprises (ou achetées sur le dark web). Ils testent ensuite ces identifiants sur plusieurs sites Web dans l'espoir de découvrir des cas où une victime utilise les mêmes informations de connexion sur plusieurs comptes.

Cookies

Les pirates utilisent les cookies pour s'emparer d'un compte en exploitant les cookies de session, qui sont de petits éléments de données stockés sur l'appareil d'un utilisateur pour maintenir son statut connecté sur les sites web.

Lorsqu'un utilisateur se connecte à un site, le serveur génère un cookie de session qui est stocké sur le navigateur de l'utilisateur. Les hackers peuvent voler ces cookies par différentes méthodes, telles que des attaques cross-site scripting (XSS) et l'injection de scripts malveillants sur des pages Web qui capturent des cookies lorsque les utilisateurs les consultent. Une autre méthode consiste à utiliser les attaques de type man-in-the-middle (MiTM), que les hackers utilisent pour intercepter et voler les cookies lors de leur transmission sur des réseaux non sécurisés.

Une fois que le hacker dispose du cookie de session, il peut se faire passer pour l'utilisateur en injectant le cookie volé dans son navigateur, ce qui lui permet d'accéder au compte de l'utilisateur sans connaître ses identifiants de connexion. Cela leur permet d'effectuer des actions comme s'ils étaient des utilisateurs légitimes, ce qui peut entraîner un vol de données, une fraude financière et d'autres activités malveillantes.

Vulnérabilités applicatives

Les hackers exploitent les vulnérabilités des applications pour pirater des comptes en ciblant les faiblesses des applications web et de leurs systèmes sous-jacents. Les techniques courantes incluent l'injection SQL pour contourner l'authentification et accéder aux données des utilisateurs directement depuis les bases de données, le XSS pour voler des jetons de session et l'exploitation de mécanismes d'authentification défectueux pour deviner ou forcer des mots de passe par force brute. Ils peuvent également exploiter des références directes d'objets non sécurisées, des erreurs de configuration de la sécurité, une validation insuffisante des entrées et des vulnérabilités API.

Ces méthodes permettent aux pirates de contourner les mesures de sécurité normales, de voler des informations d'identification, de manipuler des données de compte ou d'obtenir un accès non autorisé à des comptes d'utilisateurs. L’objectif ultime est de prendre le contrôle des comptes d’utilisateurs légitimes, ce qui ouvre la porte au vol de données, à la fraude financière et à d’autres actes malveillants.

Botnets

Les pirates déploient des bots pour pirater les comptes des clients. Ces bots peuvent utiliser des noms d'utilisateur et des mots de passe courants pour lancer des attaques rapides et à grande échelle, et ainsi pirater un maximum de comptes, tout en restant cachés dans l'immédiat. Comme les robots sont déployés depuis divers emplacements, il est plus difficile d'identifier les adresses IP malveillantes qui se connectent.

Ingénierie sociale

Dans les attaques de type social engineering, les auteurs du piratage de compte recherchent dans les bases de données ouvertes et les médias sociaux des informations pertinentes telles que le nom, la localisation, le numéro de téléphone ou les noms des membres de la famille, tout ce qui peut aider à deviner un mot de passe.

La plupart des attaques de piratage de compte visent à accéder à des données sensibles et à des informations financières. Par conséquent, il est vital que les services tels que le département informatique, les ressources humaines, le management aient conscience des risques associés à leurs responsabilités.

• Le service informatique prend en charge l'infrastructure technique, y compris dans sa partie sécurité et gestion des données, si bien qu'un compte de ce service qui serait compromis pourrait à son tour compromettre l'ensemble du réseau, ou entraîner un important vol de données.
• Les ressources humaines ont accès à des informations sensibles sur les employés et sont responsables de la gestion des payes et de certaines autres données financières, lesquelles sont toutes de grande valeur pour les cybercriminels.
• Les cadres dirigeants ont accès et autorité sur des pans majeurs de l'entreprise. L'accès à leurs comptes peut permettre des fraudes financières ou des vols de données.

Cibles populaires du piratage de compte

Voici un aperçu plus détaillé des types d’organisations à risque quant au piratage de compte :

Petites et moyennes entreprises (PME)

Les PME peuvent être des cibles de choix pour les attaques de piratage de compte en raison de leurs vulnérabilités uniques. Ces organisations disposent généralement de moins de ressources en cybersécurité et peuvent manquer d’expertise technique pour mettre en œuvre des mesures de sécurité fiables, 51 % des petites entreprises ne mettant en œuvre aucune mesure de cybersécurité.

Elles utilisent souvent plusieurs plateformes en ligne pour diverses opérations commerciales, créant ainsi une surface d’attaque plus large pour les cybercriminels.

Institutions financières

Les banques, les coopératives de crédit et autres institutions financières sont des cibles privilégiées pour les attaques de piratage de compte. Elles détiennent de grandes quantités de données personnelles et financières sensibles de leurs clients, ce qui rend les violations extrêmement lucratives.

Les petites banques régionales peuvent être particulièrement vulnérables si leurs mesures de sécurité sont obsolètes. En outre, les exigences réglementaires strictes auxquelles elles doivent se conformer peuvent parfois créer des vulnérabilités liées à la conformité que les pirates peuvent exploiter, car les organismes de réglementation peuvent avoir besoin d'accéder aux données pour évaluer les pratiques de management et de protection.

Site de e-commerce

Les plateformes d'e-commerce sont fréquemment ciblées (représentant 64 % des cyberattaques) en raison des précieuses données clients qu’elles stockent, notamment les noms, les adresses et les informations de paiement. Ces sites traitent d'importants volumes de transactions, ce qui offre aux pirates un large éventail de cibles potentielles.

De nombreux clients réutilisent les mots de passe sur plusieurs comptes, ce qui augmente le risque de piratage généralisé des comptes si un site est piraté. Les sites d'e-commerce sont particulièrement vulnérables pendant les périodes de pointe, lorsque les volumes de trafic élevés peuvent masquer des activités malveillantes.

Les entreprises d'e-commerce sont également vulnérables aux méthodes de fraude au détail plus classiques, notamment les achats non autorisés et la fraude aux cartes-cadeaux via des comptes compromis. Les comptes clients de ce secteur sont souvent vendus sur le dark web, ce qui permet aux cybercriminels d'accéder aux informations personnelles et aux détails de paiement stockés.

Industrie des médias et du divertissement

Les pirates ciblent souvent le secteur des médias et du divertissement. Par exemple, une personne sur dix a vu son compte de streaming piraté. Les cybercriminels peuvent vendre les informations de connexion volées, ce qui permet un accès non autorisé à ces services. Cela entraîne non seulement des pertes financières pour les entreprises, mais dégrade également l’expérience utilisateur pour les clients légitimes.

Secteur de l'hôtellerie et de la restauration

Les hôtels, les compagnies aériennes et les autres entreprises du secteur de l'hôtellerie et de la restauration sont souvent ciblés pour leurs comptes de programmes de fidélisation et leurs soldes de récompenses. Ces comptes contiennent souvent des informations personnelles précieuses que les pirates peuvent exploiter pour voler des identités ou frauder. De plus, en raison de la nature éphémère des services hôteliers, il peut être difficile de détecter les piratages de compte et de réagir rapidement.

Industrie du sport

Les organisations sportives détiennent des informations sensibles telles que les négociations avec les athlètes et les dossiers médicaux, ce qui en fait des cibles attrayantes. Dans ce secteur, les documents relatifs à la propriété intellectuelle et à la stratégie peuvent être extrêmement précieux, car ils peuvent influencer les résultats des jeux ou fournir des informations privilégiées à des fins de paris.

L'industrie du jeu vidéo

L'industrie du jeu vidéo est ciblée pour les informations de paiement intégrées aux jeux et les actifs virtuels, qui peuvent avoir une valeur monétaire réelle. Les comptes de jeu compromis sont également souvent utilisés pour des scams de hameçonnage ciblant d’autres joueurs, exploitant ainsi la confiance au sein des communautés de joueurs.

Entreprises technologiques

Les entreprises technologiques sont des cibles de choix en raison de la précieuse propriété intellectuelle et des données des utilisateurs qu’elles détiennent. L'accès à leurs systèmes peut conduire à des failles de sécurité généralisées, affectant potentiellement des millions d'utilisateurs et causant des dommages importants à la réputation.

Les établissements de soins de santé

Les établissements de santé conservent des dossiers médicaux et des informations personnelles extrêmement sensibles, ce qui en fait des cibles de choix pour les cybercriminels. Les réglementations strictes qui régissent ce secteur signifient que les infractions peuvent entraîner de lourdes sanctions financières et la perte de la confiance des patients.

Établissements d'enseignement

Les écoles et les universités disposent souvent de grands réseaux avec des bases d’utilisateurs diverses, ce qui les rend difficiles à sécuriser. Elles peuvent contenir des données de recherche précieuses et des informations sur les étudiants qui peuvent être exploitées à des fins malveillantes.

Administrations publiques

Les organisations gouvernementales sont ciblées pour des informations sensibles et des opportunités potentielles d’espionnage. Les infractions dans ce secteur peuvent avoir d'importantes répercussions sur la sécurité nationale et peuvent être motivées par des facteurs financiers et politiques.

Échanges de cryptomonnaies

Ces plateformes détiennent des actifs numériques précieux qui peuvent être transférés rapidement et anonymement s’ils sont compromis. Le potentiel de gains financiers élevés en fait des cibles fréquentes de cyberattaques sophistiquées.

Le piratage de compte n'est pas utile en soi à un cybercriminel. Ce qui se passe une fois qu'ils y ont accédé, c'est là que les dommages sont graves. Ces impacts peuvent toucher autant les entreprises que les particuliers :

• Business
  • Revente d'identifiants : certains agresseurs volent les identifiants d'autres employés afin de les vendre sur le dark web.
  • Compromission des e-mails de l'entreprise : Des agresseurs organisés peuvent voler les identifiants d'un employé important puis les utiliser pour lancer une attaque à partir de la véritable adresse e-mail dudit employé. Le but est alors de lancer une transaction frauduleuse ou d'organiser un transfert de fonds.
  • Mauvaise publicité : Les attaques par piratage de compte peuvent cibler plusieurs utilisateurs finaux d'une entreprise, ce qui peut ternir durablement la réputation d'une entreprise quant à sa sécurité et à la confidentialité de ses données.
  • Conséquences réglementaires : en fonction du secteur d'activité et de l'emplacement, les entreprises peuvent se voir infliger des amendes ou pénalités si elles ne protègent pas correctement les données de leurs clients.
  • Perturbations opérationnelles : la gestion des attaques ATO peut perturber les opérations normales de l'entreprise, car les ressources sont détournées pour résoudre le problème.
• Individu
  • Piratage de compte, et après : certains pirates utilisent des comptes compromis pour mener des opérations de reconnaissance et lancer des attaques personnalisées.
  • Campagnes de phishing : certains pirates essayent d'utiliser les comptes e-mail piratés pour lancer des campagnes de phishing qui risquent de passer inaperçues.
  • Pertes financières : les victimes d'une fraude par piratage de compte peuvent subir des pertes financières directes si les pirates utilisent leurs comptes pour effectuer des achats ou des transferts non autorisés.
  • Usurpation d'identité : les informations personnelles obtenues par fraude lors d'attaques de piratage de compte peuvent être utilisées à des fins d'usurpation d'identité à plus grande échelle, pouvant toucher de nombreux domaines de la vie d'une personne.
  • Détresse émotionnelle : faire face aux conséquences d'une attaque ATO peut être une source de stress et de perte de temps pour les victimes.

Il existe un certain nombre de mesures de sécurité qui peuvent être utilisées pour se prémunir contre le piratage de comptes :

• Questions de sécurité : les utilisateurs doivent répondre à des questions prédéterminées après avoir fourni leur mot de passe. Bien que ce type d'amélioration de la sécurité reste très basique, il améliore la protection contre une tentative de connexion malveillante.
• Authentification à deux facteurs (Two-factor authentication, ou 2FA) : en associant un compte séparé tel qu'un numéro de téléphone ou une deuxième adresse e-mail, vous pouvez empêcher les appareils ou adresses IP non reconnus d'accéder à un compte, même lorsque le pirate est en possession du mot de passe.
• Liste de blocage d'IP : la détection de tentatives de connexion multiples et répétées depuis la même adresse IP est un signe manifeste de tentative d'intrusion par force brute ou à l'aide de listes d'identifiants volés. Le maintien d'une liste d'adresses IP bloquées fiable peut atténuer ces attaques.
• Limitation du nombre de tentatives de connexion : en n'autorisant qu'un nombre limité de tentatives de connexion pour sécuriser les comptes, il est possible d'empêcher les cybercriminels d'abuser des tentatives de connexion à la recherche du bon mot de passe. C'est une technique particulièrement efficace contre les tentatives à outrance par des robots pouvant provenir de différentes adresses IP.
• Suivi des appareils : Le suivi et l'affichage des lieux de connexion peuvent faciliter la détection des activités suspectes. Par exemple, une connexion qui se fait de manière récurrente à 300 km de l'utilisateur légitime peut être signalée automatiquement au service informatique qui est alors invité à suspendre le compte.
• Formation des employés : les employés sont souvent la dernière ligne de défense contre le piratage de compte. Il est important de bien les former à détecter les signes et les symptômes d'un compte compromis. Les outils de formation qui proposent des démonstrations d'interactions avec des situations de piratage de compte, ou montrent des e-mails de phishing, peuvent les aider à protéger leur identité en ligne et à éviter les pièges de social engineering.
• Sandboxing : si des comptes sont compromis, il est important de disposer de fonctionnalités pour empêcher que cela débouche sur d'autres piratages. En mettant les comptes suspects en sandboxing, il est possible de suivre et de bloquer toute activité qui s'avérerait effectivement malveillante.
• Configuration d'un WAF : un Web application firewall robuste peut être configuré afin de reconnaître et de limiter les tentatives de piratage de compte à l'aide de stratégies ciblées capable de détecter les identifiants volés, les signes d'une attaque par force brute ou botnet probing.
• Détection par l'IA : les WAF traditionnels ne sont pas toujours capables de détecter les tentatives de piratage de compte les plus élaborées. Les stratégies statiques peuvent être trompées pour les amener à croire de certaines tentatives de connexion malveillantes qu'elles sont tout à fait légitimes. Il est désormais possible de tirer parti des derniers progrès technologiques en matière d'IA pour identifier les techniques de piratage de compte les plus complexes et pour surveiller le trafic vers un site Web ou une application Web afin d'y repérer toute activité suspecte.
• Force du mot de passe : l'une des méthodes les moins contraignantes pour se protéger contre un ATO consiste à créer et à mettre en œuvre une politique de mots de passe forts. Demander aux employés de créer des mots de passe forts et de les réinitialiser régulièrement permet de garder les informations de connexion à jour et de garder les cybercriminels dans l’expectative.
• Protection de l'API et de la connexion : les pirates qui utilisent le credential stuffing peuvent lancer des tentatives de connexion répétées avec des noms et des mots de passe différents, en essayant de se frayer un chemin d'accès vers vos comptes. L'utilisation d'une solution de sécurité des connexions et des API est un bon moyen d'identifier et de bloquer ces attaques.

Barracuda Impersonation Protection est un puissant moteur d'intelligence artificielle qui apprend les modèles de communication propres à chaque entreprise pour identifier et bloquer en temps réel les tentatives d'attaques de piratage de compte. Sa fonctionnalité de protection contre le piratage de compte évite et limite les dégâts causés par de telles attaques en surveillant le trafic e-mail et en identifiant rapidement les comptes compromis.

La formation de sensibilisation à la sécurité Barracuda se compose de simulations et de formations de haut niveau vous permettant de mesurer la vulnérabilité de vos employés face aux e-mails de phishing et aux attaques par ingénierie sociale pouvant mener à un piratage de compte. Vous pouvez également explorer des niveaux de protection plus approfondis grâce au logiciel Barracuda Email Protection de Barracuda.

En identifiant les facteurs de risque humains, elle peut préparer votre entreprise à identifier et éliminer les attaques ciblées lancées depuis des comptes compromis. Contactez-nous dès maintenant si vous avez des questions ou si vous souhaitez obtenir plus d'informations sur la protection contre le piratage de compte.