Vous partagez des détails sur votre identité chaque fois que vous créez des comptes en ligne. Comment pouvez-vous protéger ces informations ?
Vous créez un compte chaque fois que vous vous inscrivez sur un site Internet, un réseau social ou une application. En tant qu'internaute actif, vous devez avoir créé plusieurs comptes, dont certains que vous avez oubliés.
De nombreuses plates-formes ne suppriment pas les comptes d'utilisateurs. Cela signifie que vos informations personnelles sont toujours sur les plateformes même si vous ne les avez pas utilisées depuis longtemps. La création de plusieurs comptes en ligne permet aux cybercriminels de récupérer vos informations personnelles par le biais d'attaques basées sur l'identité. Comment exécutent-ils exactement ces attaques et que pouvez-vous faire pour les arrêter ?
Que sont les attaques basées sur l'identité?
Les attaques basées sur l'identité se produisent lorsque des cybercriminels ciblent votre système informatique, votre réseau ou votre compte pour récupérer vos informations personnelles dans le cadre d'activités illégales ou malveillantes. Aussi connues sous le nom d'attaques d'usurpation d'identité, les acteurs de la menace les exploitent pour collecter des données sensibles, voler de l'argent et ruiner la réputation de la cible.
5 types d'attaques basées sur l'identité et leur fonctionnement
Les cybercriminels déploient les stratégies suivantes pour perpétuer les attaques basées sur l'identité.
1. Hameçonnage
L'hameçonnage se produit lorsqu'un intrus vous contacte par e-mail, SMS ou messages instantanés sur les réseaux sociaux pour obtenir des informations précieuses sous le couvert d'une personne ou d'une institution légitime. Les informations qu'ils veulent peuvent être vos coordonnées bancaires et de carte de crédit, les mots de passe de compte et d'autres informations personnellement identifiables.
Il existe des drapeaux rouges communs pour identifier les tentatives de phishing. La messagerie a généralement un sentiment d'urgence pour que vous envoyiez les informations immédiatement, contient des hyperliens sur lesquels ils veulent que vous cliquiez, ou ait des documents joints à un e-mail qu'ils veulent que vous ouvriez. Il y a aussi la vieille astuce qui consiste à faire des offres trop belles pour être vraies.
2. Bourrage d'informations d'identification
Le credential stuffing est collecter des données à partir d'une plate-forme et les essayer sur une autre plate-forme pour voir s'il sera valide. Par exemple, un attaquant récupère ou achète un ensemble de données comprenant des noms d'utilisateur et des mots de passe valides sur Facebook et essaie les identifiants de connexion sur Twitter. Ils réussiront si les victimes utilisent les mêmes identifiants de connexion sur les deux plates-formes.
La recherche montre que le credential stuffing a un faible taux de réussite, mais cela dépend du contexte. Le volume de données que les attaquants obtiennent pour le credential stuffing s'élève à des millions et des milliards de noms d'utilisateur. Même avec un taux de réussite de 0,1, ils enregistreront un succès tangible. Votre compte pourrait figurer parmi les entrées valides.
3. Attaques de l'homme du milieu
L'écoute clandestine est un moyen efficace d'obtenir les renseignements personnels des gens sans leur consentement. C'est ce qui se passe avec les attaques Man-in-the-Middle. Les cybercriminels se positionnent stratégiquement entre vos canaux de communication. Lorsque vous envoyez des données personnelles d'une application à une autre, elles les interceptent.
L'homme du milieu est efficace pour les attaques basées sur l'identité en raison de l'ignorance de la victime du dispositif d'interception. Les pirates peuvent remplacer les données en transit par un message malveillant. Le destinataire reçoit le message de l'attaquant et agit en conséquence, pensant qu'il provenait de l'expéditeur d'origine.
4. Pulvérisation de mot de passe
Si vous oubliez votre mot de passe et que vous entrez plusieurs fois plusieurs mots de passe erronés, vous pouvez être temporairement bloqué sur la plateforme. Et c'est parce que le système soupçonne un acte criminel. Les cybercriminels utilisent la pulvérisation de mots de passe pour éviter d'être bloqués lorsqu'ils tentent de pirater des comptes. Ils associent un mot de passe commun à plusieurs noms d'utilisateur sur le même réseau. Le système ne soupçonnera aucune faute car il semblera que plusieurs utilisateurs aient échoué lors de tentatives de connexion.
Les auteurs de menaces ont une grande confiance dans la pulvérisation de mots de passe, car les gens utilisent des mots et des expressions courants comme mots de passe. Sur des centaines de noms d'utilisateur, il n'est pas surprenant que quelques personnes aient un mot commun comme mot de passe.
5. Passe-le-hachage
Une attaque pass-the-hash est un processus par lequel un attaquant détourne le plan de votre mot de passe. Ils n'ont pas besoin de connaître ou d'obtenir le texte en clair de votre mot de passe, mais sa copie "hachée" qui se compose de caractères aléatoires.
Les pirates peuvent récupérer le mot de passe haché en manipulant le protocole New Technology LAN Manager (NTLM). Le hachage du mot de passe est aussi bon que le mot de passe lui-même. À moins que vous ne changiez le mot de passe, le hachage reste le même. Un attaquant peut l'utiliser pour accéder à votre système et récupérer vos informations personnelles lors d'une attaque basée sur l'identité.
Comment pouvez-vous empêcher les attaques basées sur l'identité?
La prévention des attaques basées sur l'identité consiste à garder vos informations personnelles loin des intrus qui les recherchent. Voici quelques façons de le faire.
1. Désactiver les comptes dormants
Il n'est pas courant de garder un œil sur tous les systèmes en ligne sur lesquels vous vous inscrivez. Il est courant de passer à autre chose lorsque vous n'avez plus besoin des comptes sans les supprimer. Mais à votre insu, les comptes abandonnés sont des moyens pour les vecteurs de menace d'accéder à vos données. La suppression de vos comptes inactifs vous aide à minimiser l'exposition des données personnelles.
Créer une feuille de calcul de tous vos comptes est un bon moyen de les suivre. Vous pouvez consulter le gestionnaire de mots de passe de votre fournisseur de messagerie pour afficher tous vos comptes et leurs mots de passe. Désactivez les comptes que vous n'avez pas utilisés depuis des années.
2. Adoptez l'authentification multifacteur
L'authentification multifacteur oblige les utilisateurs essayant d'accéder à votre système à passer plusieurs vérifications. Cela signifie qu'un pirate obtenant votre nom d'utilisateur et votre mot de passe valides ne suffit pas pour accéder à votre compte. Ils devront vérifier leur identité via votre adresse e-mail, votre numéro de téléphone ou votre appareil.
L'authentification multifacteur est une défense solide contre les attaques basées sur l'identité, car un intrus doit avoir accès à plusieurs comptes ou appareils pour réussir les vérifications. Bien qu'il y ait quelques vulnérabilités d'authentification multifacteur que les pirates peuvent exploiter, il est généralement sûr et difficile à battre.
3. Implémenter le contrôle d'accès à moindre privilège
L'utilisation de systèmes d'authentification pour valider les utilisateurs au point d'entrée ne signifie pas que tous ceux qui ont réussi le contrôle sont inoffensifs. Le moindre privilège est un principe de contrôle d'accès qui vous permet de traiter tout le trafic et les utilisateurs de votre réseau comme suspects. Au lieu d'ouvrir tous les domaines à n'importe qui, restreint leur accès à ce qui les concerne.
Gardez vos données personnelles hors de portée des autres utilisateurs, y compris le personnel de cybersécurité effectuant la maintenance et les réparations du système. Si vous devez leur accorder l'accès, surveillez leurs activités et tenez-les responsables de tout comportement suspect.
4. Améliorer la culture des mots de passe
De nombreuses attaques basées sur l'identité dépendent fortement des mots de passe pour réussir. Si vous pouviez sécuriser vos mots de passe, vous êtes hors du radar des perpétuels. Vos mots de passe peuvent être tout sauf faciles à deviner. Évitez les mots et les chiffres courants qui vous sont affiliés.
Pour plus de sécurité, choisissez des phrases plutôt que des mots comme mots de passe. Plus important encore, n'utilisez pas un seul mot de passe sur plusieurs comptes. Créer des mots de passe uniques pour plusieurs comptes peut être difficile à retenir. Vous pouvez sauter cet obstacle en en utilisant un gestionnaire de mots de passe sécurisé.
5. Cultiver la sensibilisation à la cybersécurité
L'une des meilleures défenses en matière de cybersécurité que vous puissiez construire consiste à acquérir de la compréhension et de l'expertise. Même si vous implémentez les outils de sécurité les plus sophistiqués, vous n'en tirerez pas le meilleur parti sans savoir comment les utiliser.
Familiarisez-vous avec les techniques de cyberattaque, comment elles fonctionnent et comment les prévenir. Par exemple, si vous êtes familier avec le phishing, vous réfléchirez à deux fois avant de cliquer ou d'ouvrir des liens et des pièces jointes étranges. Ne pas utiliser le même mot de passe sur plusieurs comptes vous évite également le credential stuffing.
Les attaques basées sur l'identité commencent par vous. Les pirates ne peuvent pas vous cibler de cette manière s'ils ne disposent pas de vos informations personnelles. Ils ont un effet de levier sur vous au moment où ils obtiennent vos informations personnelles.
Être conscient de votre empreinte numérique vous aide à contrôler ce à quoi ils peuvent accéder à votre sujet. Ils ne peuvent pas récupérer ce qui n'est pas disponible.
