Sur la piste des hackers
Malgré des technologies de sécurité sophistiquées, les collaborateurs restent un point faible sensible pour les entreprises. En effet, les cybercriminels ne cessent d'affiner leurs attaques d'ingénierie sociale. Le phishing, en particulier, fait partie des vecteurs d'attaque qui causent actuellement des maux de tête aux entreprises. Ainsi, les criminels imitent à s'y méprendre des e-mails au nom de services de paiement, de fournisseurs de boutiques ou d'hôtes de services de messagerie afin de s'emparer de données de connexion et d'autres données sensibles.
Mais quelles sont les conséquences si les données d'utilisateurs des collaborateurs tombent entre de mauvaises mains et quel serait l'impact sur l'entreprise ? L'équipe de recherche de Bitglass a tenté de découvrir les voies de diffusion des données obtenues illégalement à l'aide d'une expérience baptisée "Cumulus".
L'expérience : un employé de banque comme leurre
Pour répondre à ces questions, l'équipe de recherche a utilisé un leurre : elle a créé l'identité numérique d'un employé de banque d'une banque fictive. Pour ce faire, un portail bancaire fonctionnel a été mis en place et un compte Google Drive a été créé, dans lequel ont été déposées des données personnelles telles que des numéros de carte de crédit ainsi que des documents relatifs au travail quotidien. Les données de connexion Google du compte leurre ont finalement été publiées sur le Darknet par l'équipe de recherche. Tous les fichiers du dossier Google Drive ont toutefois été préalablement munis d'un filigrane numérique, de sorte que l'équipe de recherche a pu suivre toutes les activités des "voleurs de données", de la connexion au téléchargement des fichiers.
Dans les 24 heures qui ont suivi la publication sur le darknet, plus de 1400 visiteurs de plus de 30 pays ont examiné de plus près les données d'utilisateurs apparemment volées, et les premiers téléchargements de fichiers du dossier Google Drive ont eu lieu dans les 48 heures.
1. les voleurs de données sont sélectifs
Parmi les visiteurs, une approche ciblée a été clairement identifiée : les fichiers contenant des informations financières apparemment sensibles ont été ouverts le plus rapidement. Les journaux d'activité que l'équipe Bitglass a reçus de l'intégration API de l'application Google ont également montré que dans de nombreux cas, le téléchargement de fichiers était effectué immédiatement après l'accès au lecteur Drive. Différentes procédures ont été observées : Alors que certains téléchargeaient tous les fichiers, y compris les menus de la cantine, 12% se concentraient exclusivement sur les contenus les plus sensibles, notamment les documents contenant des données de cartes de crédit et les documents d'entreprise contenant des informations sur les clients des banques.
Toutefois, aucune transmission ou utilisation des données des cartes de crédit n'a eu lieu pendant l'expérience. Il n'y a toutefois aucune certitude que les pirates informatiques ne réutiliseront pas ces données à l'avenir.
2. une erreur fatale de l'utilisateur : la commodité dans l'attribution du mot de passe
Comme de nombreux internautes, l'employé de banque fictif utilisait le même mot de passe pour différents services Web. Un fait dont les cybercriminels sont conscients : Après que les pirates aient réussi à accéder au lecteur Google Drive à l'aide des informations de connexion divulguées, l'équipe de recherche a remarqué que la plupart d'entre eux essayaient ensuite d'utiliser les mêmes informations de connexion sur d'autres sites Web. A cet égard, les pirates ont été extrêmement implacables : 36% des cybercriminels attirés se sont jetés sur le compte bancaire privé de la victime, auquel ils ont pu accéder facilement avec les informations de connexion. Les chercheurs de Bitglass ont également observé plusieurs connexions récurrentes des mêmes utilisateurs criminels, certaines en quelques heures, d'autres plusieurs semaines après la première connexion. De même, il a été fréquemment observé que les pirates modifiaient les mots de passe afin d'exclure l'utilisateur de ses comptes.
3. les pirates informatiques préservent leur anonymat de manière professionnelle
Pour certains accès au portail bancaire, il a été possible de déterminer que les cybercriminels provenaient des États américains du Wisconsin et de Californie, ainsi que d'Autriche, des Pays-Bas, des Philippines et de Turquie. La nette majorité d'entre eux (68%) ont toutefois utilisé le navigateur Tor pour accéder au portail bancaire et au lecteur Google Drive, afin de masquer leur adresse IP. Un hacker de la communauté Dark Web a même encouragé les membres à utiliser un service VPN payé en crypto-monnaie en combinaison avec Tor, afin de minimiser le risque de poursuites judiciaires en vertu de la loi américaine sur la fraude et l'abus informatique. Un signe clair de la professionnalisation et de l'organisation croissantes parmi les cybercriminels.
La sécurité dans le cloud nécessite une approche à plusieurs niveaux
Comme l'a montré l'expérience, les données d'entreprise et les données personnelles sont des marchandises très prisées qui trouvent toujours des acheteurs intéressés. Pour protéger efficacement leurs données et ne pas devoir compter uniquement sur la conscience de la sécurité de leurs collaborateurs, les entreprises devraient établir à plusieurs niveaux des mécanismes de contrôle qui peuvent prévenir la perte de données sensibles.
Pour les applications de cloud public comme Google Drive, la possibilité de limiter ou d'empêcher l'accès en fonction du contexte est la clé de la protection des données sensibles. Dans l'exemple de la banque, le service informatique aurait pu utiliser une solution Cloud Access Security Broker (CASB) pour identifier les tentatives de connexion suspectes, empêcher le téléchargement de données clients depuis le cloud ou bloquer le chargement de données sensibles dans le cloud. Les administrateurs informatiques sont en outre immédiatement avertis de toute activité inhabituelle - comme celle qui se déroule dans le lecteur Google de l'employé de la banque -, notamment lorsque plusieurs connexions proviennent de sites distants, et peuvent prendre immédiatement des contre-mesures. La technologie de filigrane utilisée dans l'expérience peut également donner un aperçu de l'utilisation suspecte des données provenant d'applications en nuage. Combiné à des techniques d'apprentissage automatique pour saisir le comportement des utilisateurs et identifier les écarts, les accès suspects peuvent être immédiatement détectés - même s'ils peuvent sembler aux administrateurs informatiques humains comme une "aiguille dans une botte de foin".
Enfin, les accès réussis recensés dans l'expérience auraient pu être évités si la réutilisation des mots de passe avait été interdite et si des méthodes d'authentification avancées avaient été utilisées. Une solution intégrée de gestion des identités prenant en charge l'authentification unique, l'authentification multifactorielle ainsi que les mots de passe à usage unique est indispensable à cet effet. En cas de connexion ou d'activité suspecte, par exemple, elle applique toujours une authentification multifactorielle. En appliquant cette approche à plusieurs niveaux, les entreprises peuvent non seulement protéger leurs données sensibles, mais aussi continuer à offrir à leurs collaborateurs le confort qu'offre le travail avec des applications en nuage.
Texte : Michael Scheffler, directeur régional CEEU, Bitglass
