Saisir vos informations d'identification chaque fois que vous souhaitez vous connecter à un système peut être fatiguant, en particulier lorsque vous vous connectez régulièrement au système. Vous pouvez même oublier vos mots de passe.
La mise en œuvre de systèmes d'exploitation qui offrent une expérience d'authentification unique aux utilisateurs vous évite de ressaisir vos informations de connexion à chaque fois. Mais il y a un problème avec ça. Les attaquants peuvent exploiter vos informations d'identification enregistrées dans le système via une attaque Pass-the-Hash (PtH).
Ici, nous verrons comment fonctionne une attaque Pass-the-Hash et comment vous pouvez l'atténuer.
Qu'est-ce qu'une attaque Pass the Hash ?
Le hachage est le processus de traduction de chaînes de caractères en un code, ce qui le rend beaucoup plus court et plus facile. C'est l'un des grands acteurs de la cybersécurité, qui est essentiel pour prévenir les violations de données.
Administrateurs d'applications Web chiffrer les fichiers et les messages
pour empêcher tout accès non autorisé à ceux-ci. Bien que ces fichiers restent confidentiels, le hachage permet de vérifier leur intégrité. Il empêche quiconque de corrompre les fichiers ou de modifier leur contenu, puis de les présenter comme les fichiers originaux.Un hachage ne peut pas être inversé après traduction. Il permet uniquement de détecter si deux fichiers sont similaires ou non sans vérifier leur contenu. Avant d'accéder à un système ou à un service sur le réseau, vous devez vous authentifier en présentant votre nom d'utilisateur et votre mot de passe. Désormais, ces informations sont stockées dans la base de données pour une comparaison future lorsque vous essayez de vous reconnecter.
Vos mots de passe sont en texte clair, ce qui les rend moins sécurisés. Et si un attaquant peut accéder à la base de données, il peut voler votre mot de passe et obtenir un accès non autorisé à votre compte. La situation s'aggravera si vous faites partie de ces utilisateurs qui utilisent un seul mot de passe pour différents comptes. L'attaquant utilisera le mot de passe volé pour accéder à vos autres comptes.
Alors, comment le hachage entre-t-il en jeu ici ?
Le mécanisme de hachage transforme votre mot de passe en texte clair en données qui ne peuvent pas être remplacées par son mot de passe d'origine. Une fois votre mot de passe haché et stocké dans la mémoire du système, il est utilisé pour prouver votre identité la prochaine fois que vous souhaitez accéder à un service.
Le hachage protège les comptes des utilisateurs contre tout accès non autorisé. Mais pas aussi longtemps que les cybercriminels ont mis au point une stratégie pour récolter le hachage. La faille de sécurité détectée dans l'authentification unique (SSO) a cédé la place à l'attaque Pass-the-Hash. Il est apparu pour la première fois en 1997 et existe depuis 24 ans.
Une attaque Pass-the-Hash est similaire aux astuces des attaquants utiliser pour voler les mots de passe des utilisateurs. Il s'agit de l'une des attaques les plus courantes mais sous-estimées en matière de vol et d'utilisation des informations d'identification des utilisateurs.
Avec la technique Pass-the-Hash, les attaquants n'ont pas besoin de déchiffrer le hachage. Il peut être réutilisé ou transmis à un serveur d'authentification. Les hachages de mot de passe restent statiques d'une session à l'autre jusqu'à ce qu'ils soient modifiés. Pour cette raison, les attaquants s'attaquent aux protocoles d'authentification des systèmes d'exploitation pour voler les mots de passe hachés.
Comment fonctionne une attaque Pass the Hash ?
Les attaques Pass-the-Hash sont les plus courantes sur les systèmes Windows, bien qu'elles puissent se produire sur d'autres systèmes d'exploitation tels que Linux et UNIX. Les pirates recherchent toujours des failles dans ces systèmes pour atteindre leurs victimes.
La vulnérabilité de Windows réside dans son authentification NTLM, qui implémente une fonction d'authentification unique (SSO). Il permet aux utilisateurs d'entrer leurs mots de passe une seule fois et d'accéder à toutes les fonctionnalités de leur choix.
Voici comment cela fonctionne:
Lorsque vous vous inscrivez sur un système Windows pour la première fois, il hache votre mot de passe et le stocke dans la mémoire du système. Il s'agit d'une ouverture pour les attaquants pour exploiter votre mot de passe haché. Ils peuvent avoir un accès physique à votre système, supprimer sa mémoire active ou l'infecter avec des logiciels malveillants et d'autres techniques.
Des outils tels que Metasploit, Gsecdump et Mimikatz sont utilisés pour extraire les informations d'identification hachées de la mémoire du système. Cela fait, les attaquants réutilisent vos informations d'identification pour se connecter en tant que vous et accéder à toutes les applications auxquelles vous avez des droits.
Si un ami ou un collègue s'est connecté à votre système, le pirate peut également récolter son hachage. N'oubliez pas qu'il s'agit d'une technique de mouvement latéral. Dans le pire des cas, un pirate informatique accède aux systèmes de contrôle qui exécutent toute une organisation ou une infrastructure informatique. Une fois à l'intérieur, ils peuvent voler des informations sensibles, modifier des enregistrements ou installer des logiciels malveillants.
Comment atténuer une attaque Pass the Hash
Voici quelque chose que vous devez savoir sur l'attaque Pass-the-Hash. Ce n'est pas un bug mais une fonctionnalité. Le protocole d'authentification unique mis en œuvre avec un hachage évite aux utilisateurs d'avoir à ressaisir leurs mots de passe. Ainsi, les pirates profitent désormais de la fonctionnalité Windows SSO, le protocole de communication des systèmes Linux et Unix à des fins malveillantes.
Vous pouvez réduire vos chances d'être victime de telles attaques en suivant ces solutions efficaces.
1. Activer la protection des informations d'identification de Windows Defender
Windows Defender Credential Guard est une fonctionnalité de sécurité fournie avec les systèmes Windows 10 et versions ultérieures. Il protège les informations sensibles stockées sur le système. Le service de sous-système de l'autorité de sécurité locale (LSASS) applique la politique de sécurité sur le système Windows.
2. Implémenter le modèle de sécurité du moindre privilège
Voici le problème: si vous êtes propriétaire d'une entreprise et que des personnes travaillent pour vous, limitez leurs droits d'accès aux seules ressources et fichiers nécessaires pour effectuer leur travail dans le système réseau.
Éliminez les droits d'administrateur inutiles et n'accordez des privilèges qu'aux applications de confiance. Cela réduira la capacité d'un pirate à étendre son accès et sa permission.
3. Redémarrer les systèmes après la déconnexion
N'oubliez pas que l'objectif est de minimiser le risque d'être victime d'une attaque Pass-the-Hash. Étant donné que le système stocke le hachage du mot de passe dans sa mémoire, le redémarrage de votre ordinateur après la déconnexion supprimera le hachage de la mémoire du système.
4. Installer le logiciel antimalware
Les cybercriminels font un excellent travail en utilisant des logiciels malveillants pour compromettre les réseaux. Les outils automatisés tels que les logiciels anti-malware sont utiles pour mettre en place une défense contre ces cyberattaques. Ces outils détectent les fichiers infectés ou malveillants dans votre système et les neutralisent avant qu'ils ne frappent.
Lors de l'installation d'un logiciel anti-malware sur vos appareils, vous protégez votre système contre les logiciels malveillants. Vous pouvez également utiliser des plates-formes de logiciels malveillants en tant que service pour obtenir solutions personnalisées contre les logiciels malveillants.
5. Mettez à jour vos systèmes d'exploitation
Pourquoi s'en tenir à une ancienne version d'un système d'exploitation avec moins de sécurité alors que vous pouvez le mettre à jour ?
Les derniers systèmes d'exploitation offrent généralement une bien meilleure expérience utilisateur et disposent de défenses plus robustes. Par exemple, Windows 10 version 1703 dispose de plusieurs fonctionnalités de sécurité qui protègent les utilisateurs sur les réseaux.
Adoptez une approche efficace pour réussir l'attaque par hachage
Les attaques Pass-the-Hash affecteront toujours les systèmes d'exploitation qui prennent en charge une authentification unique. Alors que la fonction de hachage essaie de protéger votre mot de passe, les attaques contournent la sécurité pour voler les mots de passe hachés avec plusieurs outils.
Prenez la responsabilité de protéger vos informations d'identification en effectuant une mise à niveau vers les derniers systèmes d'exploitation, accorder des autorisations uniquement aux applications de confiance et installer un logiciel anti-malware sur votre l'ordinateur. Les cybercriminels ne peuvent passer le hachage que lorsqu'il y a une autoroute pour eux. Il est de votre responsabilité de combler toutes les failles de votre réseau.
Contrairement à la plupart des logiciels malveillants, Emotet vole sous le radar et travaille en silence pour attirer les victimes. Découvrez comment cela fonctionne et ce que vous pouvez faire pour vous protéger.
Lire la suite
- Sécurité
- La cyber-sécurité
- Sécurité informatique
Chris Odogwu s'engage à transmettre des connaissances à travers ses écrits. Écrivain passionné, il est ouvert aux collaborations, au réseautage et à d'autres opportunités commerciales. Il est titulaire d'une maîtrise en communication de masse (relations publiques et publicité) et d'un baccalauréat en communication de masse.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !
Cliquez ici pour vous abonner