Le vol d'informations d'identification est un type de cyberattaque où les pirates ciblent le processus qui gère la sécurité de Windows. Vous pouvez le comparer à un voleur glissant les clés de votre maison et les copiant rapidement. Avec ces clés, ils ont accès à votre maison quand ils le souhaitent. Alors, que faites-vous lorsque vous découvrez que vos clés ont été volées? Vous changez les serrures. Voici comment faire l'équivalent de cela sur Windows pour lutter contre le vol d'informations d'identification.
Qu'est-ce que Windows LSASS ?
Le service Windows Local Security Authority Server (LSASS) est un processus qui gère la politique de sécurité de votre ordinateur. LSASS valide les connexions, les changements de mot de passe, les jetons d'accès et les privilèges administratifs pour plusieurs utilisateurs sur un système ou un serveur.
Considérez LSASS comme le videur qui vérifie les pièces d'identité à la porte principale et boucle les salles VIP. Sans videur à la porte, n'importe qui peut entrer dans le club avec une fausse carte d'identité, et rien ne l'empêche d'entrer dans les zones réglementées.
Qu'est-ce que le vol d'informations d'identification ?
LSASS s'exécute en tant que processus, lsass.exe. Au démarrage, lsass.exe stocke les informations d'authentification telles que les mots de passe chiffrés, les hachages NT, les hachages LM et les tickets Kerberos en mémoire. Le stockage de ces informations d'identification en mémoire permet aux utilisateurs d'accéder à des fichiers et de les partager pendant des sessions Windows actives sans avoir à saisir à nouveau les informations d'identification chaque fois qu'ils doivent effectuer une tâche.
Le vol d'informations d'identification se produit lorsque les attaquants utilisent des outils tels que Mimikatz pour supprimer, déplacer, modifier ou remplacer le véritable fichier lsass.exe. D'autres outils de vol d'informations d'identification populaires incluent Crackmapexec et Lsassy.
Comment les pirates volent les informations d'identification LSASS
Habituellement, lors du vol d'informations d'identification, les attaquants accèdent à distance à l'ordinateur de la victime. Les pirates obtiennent un accès à distance de plusieurs manières. Pendant ce temps, l'extraction ou la modification de LSASS nécessite des privilèges d'administrateur. Ainsi, la première tâche de l'attaquant sera d'élever ses privilèges. Avec cet accès, ils peuvent installer des logiciels malveillants pour vider le processus LSASS, télécharger le vidage et en extraire les informations d'identification localement.
Cependant, Microsoft Defender est devenu plus efficace pour identifier et supprimer les logiciels malveillants, ce qui signifie que les pirates ont tendance à recourir à Vivre des attaques terrestres. Ici, l'attaquant détourne des applications Windows natives vulnérables et les utilise pour piller les informations d'identification dans LSASS.
Par exemple, en utilisant le Gestionnaire des tâches, un attaquant peut ouvrir le Gestionnaire des tâches, faire défiler jusqu'à « Processus Windows » et trouver « Local Processus de l'autorité de sécurité. » Un clic droit donne à l'attaquant la possibilité de créer un fichier de vidage ou d'ouvrir le fichier emplacement. La décision de l'attaquant à partir de maintenant dépend de ses objectifs. Ils peuvent télécharger le fichier de vidage pour extraire les informations d'identification ou remplacer le vrai lsass.exe par un faux.
Vol d'informations d'identification: comment vérifier et quoi faire
Lorsqu'il s'agit de vérifier si vous avez été victime d'une attaque de vol d'informations d'identification, voici cinq façons de le savoir.
1. Lsass.exe utilise beaucoup de ressources matérielles
Chargez le Gestionnaire des tâches et vérifiez l'utilisation du processeur et de la mémoire du processus. Normalement, ce processus devrait utiliser 0 % de votre processeur et environ 5 Mo de mémoire. Si vous constatez une utilisation intensive du processeur et plus de 10 Mo d'utilisation de la mémoire, et que vous n'avez pas effectué d'action liée à la sécurité, comme la modification récente de vos informations de connexion, il y a quelque chose qui ne va pas.
Dans ce cas, utilisez le Gestionnaire des tâches pour terminer le processus. Ensuite, allez à l'emplacement du fichier et Maj + Suppr le fichier. Le vrai processus générerait une erreur, mais pas un faux, donc vous le sauriez avec certitude. Aussi, pour être certain, vous devriez consulter l'historique des fichiers pour vous assurer que Windows n'a pas conservé de sauvegarde.
2. Lsass.exe est mal orthographié
Comme dans le typosquatting, les pirates renomment souvent les processus qu'ils ont piratés pour qu'ils ressemblent aux vrais. Dans ce cas, un attaquant peut intelligemment nommer le faux processus avec un "i" majuscule pour imiter l'apparence du "L" minuscule. Un convertisseur de cas peut vous aider à repérer facilement le fichier imposteur. Le faux nom de processus peut également avoir un "a" ou un "s" supplémentaire. Si vous voyez de tels processus mal orthographiés, Maj + Suppr le fichier et suivez l'historique des fichiers pour supprimer les sauvegardes.
3. Lsass.exe est dans un autre dossier
Vous devrez passer par le Gestionnaire des tâches ici. Ouvrir Gestionnaire des tâches> Processus Windows, et recherchez « Processus de l'autorité de sécurité locale ». Ensuite, faites un clic droit sur le processus pour voir vos options et choisissez Lieu de fichier ouvert. Le vrai fichier lsass.exe sera dans le dossier "C:\Windows\System32". Un fichier dans n'importe quel autre emplacement est très probablement un logiciel malveillant; retirez-le.
4. Plus d'un processus ou fichier Lsass
Lorsque vous utilisez le Gestionnaire des tâches pour vérifier, vous ne devriez voir qu'un seul "processus d'autorité de sécurité locale". Il est normal que ce processus ait des activités en cours d'exécution lorsque vous cliquez sur le bouton déroulant. Cependant, si vous voyez plus d'un processus d'autorité de sécurité locale en cours d'exécution, il y a de fortes chances que vous ayez été victime d'un vol d'informations d'identification. Il en va de même pour voir plus d'un fichier lsass.exe lorsque vous accédez à l'emplacement du fichier. Dans ce cas, essayez de supprimer les fichiers. Le vrai lsass.exe générera une erreur si vous essayez de le supprimer.
5. Le fichier Lsass.exe est trop volumineux
Les fichiers Lsass.exe sont petits - celui sur notre machine fonctionnant sous Windows 11 est de 83 Ko. L'ordinateur Windows 10 que nous avons vérifié en a un de 60 Ko. Les fichiers lsass.exe sont donc minuscules. Bien sûr, les attaquants savent qu'un gros fichier Lsass.exe est un cadeau mort, ils réduisent donc généralement leurs charges utiles. Une petite taille de fichier conforme à nos valeurs ne vous dit donc pas grand-chose. Cependant, si vous tenez compte des signes révélateurs susmentionnés, vous pouvez facilement repérer le logiciel malveillant déguisé.
Comment empêcher le vol d'informations d'identification via Windows LSASS
La sécurité sur les ordinateurs Windows continue de s'améliorer, mais le vol d'informations d'identification reste un puissant menace, en particulier pour les anciens appareils exécutant des systèmes d'exploitation obsolètes ou de nouveaux logiciels en retard mises à jour. Voici trois façons d'empêcher le vol d'informations d'identification pour les utilisateurs Windows non avancés.
Téléchargez et installez les dernières mises à jour de sécurité
Les mises à jour de sécurité corrigent les vulnérabilités que les attaquants peuvent exploiter pour prendre le contrôle de votre ordinateur. Maintenir à jour les appareils de votre réseau réduit le risque de piratage. Alors, configurez votre ordinateur pour qu'il télécharge et installe automatiquement les mises à jour Windows dès qu'elles sont disponibles. Vous devriez également obtenir mises à jour de sécurité pour les programmes tiers sur votre PC.
Utiliser Windows Defender Credential Guard
Protection des informations d'identification Windows Defender est une fonctionnalité de sécurité qui crée un processus LSASS isolé (LSAIso). Toutes les informations d'identification sont stockées en toute sécurité dans ce processus isolé, qui, à son tour, communique avec le processus LSASS principal pour valider les utilisateurs. Cela protège l'intégrité de vos informations d'identification et empêche les pirates de voler des données précieuses en cas d'attaque.
Credential Guard est disponible sur les versions Enterprise et Pro de Windows 10 et Windows 11, ainsi que sur certaines versions de Windows Servers. Ces appareils doivent également répondre exigences strictes comme Secure Boot et la virtualisation 64 bits. Vous devez activer cette fonctionnalité manuellement, car elle n'est pas activée par défaut.
Désactiver l'accès au bureau à distance
Remote Desktop vous permet, à vous et à d'autres personnes autorisées, d'utiliser un ordinateur sans être au même endroit physique. C'est idéal lorsque vous souhaitez obtenir des fichiers à partir d'un appareil de travail sur votre ordinateur personnel ou lorsque le support technique souhaite vous aider à résoudre un problème que vous ne pouvez pas décrire exactement. Malgré la commodité, l'accès au bureau à distance vous laisse également vulnérable aux attaques.
Pour désactiver l'accès à distance, appuyez sur la Clé Windows puis tapez "paramètres à distance". Sélectionnez "Autoriser l'accès à distance à votre ordinateur et décochez "Autoriser la connexion de l'assistance à distance à cet ordinateur" dans la boîte de dialogue.
Vous souhaitez également vérifier et supprimer logiciel d'accès à distance comme TeamViewer, AeroAdmin et AnyDesk. Non seulement ces programmes augmentent votre exposition aux logiciels malveillants courants et aux attaques de vulnérabilité, mais également aux attaques de Living off the Land, où les pirates exploitent des programmes préinstallés pour mener une attaque.
Les attaquants veulent les clés de la maison, mais vous pouvez les arrêter
LSASS détient les clés de votre ordinateur. Compromettre ce processus permet aux attaquants d'accéder à tout moment aux secrets de votre appareil. Le pire, c'est qu'ils peuvent y accéder comme s'ils étaient un utilisateur légitime. Bien que vous puissiez trouver et supprimer ces intrus, il est préférable de les empêcher en premier lieu. Maintenir votre appareil à jour et régler les paramètres de sécurité vous aide à atteindre cet objectif.
