On a parlé d’un des « plus gros casse du 21ème siècle ». La semaine dernière, en l’espace de quelques heures, un gang international de cybercriminels situés dans différentes villes ont vidé des ATM à hauteur de 45 millions de $. Alors que l'enquête fédérale est en cours, les experts en cyber-sécurité estiment généralement qu’un crime d'une telle ampleur n'aurait pas pu être commis sans aide depuis l’intérieur et une planification méticuleuse de plusieurs mois. Certains analystes soupçonnent même que les hackers aient fait partie des employés.
Le déroulement précis des évènements ayant mené à ce piratage n’est pas encore fermement établi. Mais, les premières hypothèses soulignent deux choses :
- Les hackers ont infiltré/obtenu un accès au réseau, téléchargé des données de cartes de debit prépayées et efface leur limite de retrait.
- Les données volées ont été transmises à de nombreux « encaisseurs » dans plusieurs villes à travers le monde, qui ont retiré des millions de $ dans les ATM.
La suppression de la limite de retrait sur les cartes donne lieu à deux suppositions :
Soit quelqu’un au sein de la banque a agi main dans la main avec les hackers, soit ces derniers ont volé les identifiants d’un employé pour avoir accès au réseau.
Institutions Financières – La Cible de Choix des Hackers
Mis à part cet incident, les institutions bancaires à travers le monde vivent peut-être aujourd'hui leur plus grande crise. Une série de cyber-attaques qui a affecté 15 des plus grandes banques US, cumulant 249 heures d’interruption sur une période de six semaines. Depuis septembre 2012, des rapports estiment que le nombre de cyber-attaques sur les réseaux bancaires a explosé.
En réalité, les banques et autres institutions financières ont toujours été la cible privilégiée des hackers. Au cours des dernières années, les organisations bancaires de renom à travers le monde ont été la proie du piratage. Au-delà des pertes financières énormes, les victimes subissent des dommages irréparables en termes de confiance et de crédibilité, deux choses essentielles pour les institutions financières. Chaque jour, ces criminels férus de technologie deviennent plus créatifs et 2013 est en passe de devenir « l'année des cyber-attaques ».
Les principales actions menées par les hackers sont la propagation de malwares, le siphonage des identifiants de connexion et les attaques par déni de service qui pénalisent les utilisateurs légitimes. Les canaux traditionnels d'attaque comprennent les virus, les trojans keyloggers et le cross-site scripting. Les keyloggers scrutent ce qui est frappé au clavier, l’enregistre dans un fichier qui est transmis à distance au hacker. Quant au Scripting, il permet aux hackers d'injecter un script côté client dans les pages Web consultées par d'autres utilisateurs et d'exploiter les informations recueillies pour contourner les contrôles d'accès.
La Menace Evolue
Les solutions logicielles de sécurité et d'analyse du trafic aident à lutter contre les vecteurs d'attaque traditionnels. Cependant, les hackers commencent à changer leur modus operandi. Les cybercriminels s’attaquent désormais aux identifiants de connexion des administrateurs gérant les ressources IT, en utilisant des techniques comme le spam et le phishing, les keyloggers et les Remote Access Trojans (RAT).
Les solutions logicielles de sécurité et d'analyse du trafic aident à lutter contre les vecteurs d'attaque traditionnels. Cependant, les hackers commencent à changer leur modus operandi. Les cybercriminels s’attaquent désormais aux identifiants de connexion des administrateurs gérant les ressources IT, en utilisant des techniques comme le spam et le phishing, les keyloggers et les Remote Access Trojans (RAT).
Toutefois, la situation devient plus grave si un mot de passe volé a également été utilisé pour accéder aux différentes applications et sites Web. Aujourd'hui, il est assez fréquent que les employés utilisent les mêmes identifiants pour différents sites - les réseaux sociaux, les services bancaires et de courtage et autres comptes de l'entreprise. Si le mot de passe est exposé sur l'un de ces sites, selon toute probabilité, les hackers sont alors en mesure d'accéder facilement à tous vos autres comptes.
C'est pourquoi les entreprises en ligne qui ont été la proie d’une attaque informent immédiatement leur clientèle pour qu’ils réinitialisent leurs mots de passe sur les autres applications qu’ils possèdent.
Une autre menace émergente et indéniable - le sabotage causé par des personnes internes aux entreprises et aux institutions financières. Personnel mécontent, techniciens avides et ex-employés sont à l’origine de la plupart des incidents de cyber sécurité reportés l'année dernière, et cela révèle une vérité fondamentale sur la sécurité d'entreprise – un abus de confiance peut se produire n'importe où conduisant à des conséquences désastreuses.
Dans les deux cas (attaques internes et externes), l'accès non autorisé et l'utilisation abusive de mots de passe privilégiés, justement dénommée «la clé du royaume», sont souvent en première ligne. Les mots de passe administrateurs, les comptes par défaut du système et les identifiants cryptés des scripts et applications sont tous dans le collimateur des cybercriminels.
Tour d’horizon des Mots de Passe Privilégiés
Alors qu’il est clair que les hackers cherchent à exploiter les mots de passé administratifs, beaucoup d’entreprises et d’institutions financières continuent de négliger la gestion des mots de passé privilégiés.
Les mots de passe liés aux ressources IT sont souvent stockés dans des sources non sécurisées tels que des tableurs, des fichiers texte et des systèmes développés en interne. Cependant, il n'est également pas rare de trouver des mots de passe stockés sur papier ou même dans des coffres physiques. Si l’une de ces sources tombes entre de mauvaises mains, la sécurité et la réputation des entreprises est compromise.
De plus, en particulier dans le secteur des services financiers, les départements IT doivent gérer des milliers de mots de passe privilégiés, dont la majorité sont utilisés dans un environnement « partagé ». Cela signifie qu’un groupe d'administrateurs utilise le même compte privilégié pour accéder à la ressource.
Outre les mots de passe « officiellement partagés », les utilisateurs ont souvent tendance à révéler leurs mots de passe à leurs collègues. Par exemple, il est courant qu’un responsable IT donne les mots de passe à d'autres membres du staff en cas d'absence au bureau.
Généralement, les développeurs, les techniciens help desk et même certains fournisseurs tiers qui ont besoin temporairement d'un accès aux mots de passe privilégiés, ces informations sensibles étant transmises verbalement ou par e-mail. Dans la majorité des cas, il n'existe pas de procédure formelle dans l’entreprise pour révoquer un accès temporaire et réinitialiser un mot de passe utilisateur, laissant un trou béant dans les défenses de l'entreprise.
La négligence s'avère souvent coûteuse. Ce style désordonné dans la gestion des mots de passe fait de l'entreprise un paradis pour les hackers à la fois en interne et en externe. De nombreuses failles de sécurité proviennent déjà du manque de politiques adéquates pour gérer les mots de passe, de restrictions d'accès et de contrôles internes - et cela risque de se confirmer tout au long de 2013.
Un renforcement des contrôles internes
La lutte contre les cyber-attaques exige une stratégie à plusieurs volets comprenant un ensemble complexe d'activités. Cela inclue le déploiement de dispositifs de sécurité, le renforcement des politiques de sécurité, le contrôle des accès aux ressources, la surveillance des événements, l’analyse des logs, la détection des vulnérabilités, la gestion des correctifs, le suivi des changements, le respect des règles de conformité, la surveillance du trafic et plus encore.
De toutes les mesures de riposte, renforcer les contrôles internes devrait être prioritaire au vue des récentes attaques. L'accès aux ressources IT et aux actifs de la société doivent correspondre à la position et aux besoins de l’employé. Une approche générale et simpliste n’est plus suffisante de nos jours. De plus, il devrait y avoir un moyen clair pour identifier « qui » accède à « quoi » et « quand ». Le partage des mots de passe doit être réglementé et une politique d'entreprise bien établie devrait être en place pour attribuer les mots de passe donnant accès aux ressources sensibles. Les politiques de gestion standards, dont l'utilisation de mots de passe forts et une rotation fréquente devraient être appliquées.
Un moyen efficace pour renforcer les contrôles internes est d'automatiser l'ensemble du cycle de vie des accès privilégiés (PAM) qui impose de meilleures pratiques à l’échelle de l'entreprise. Les gestionnaires de mots de passe privilégiés comme Password Manager Pro de ManageEngine automatisent les tâches administratives manuelles et permet de sécuriser le stockage des identités privilégiées dans un coffre-fort centralisé, sélectionne les mots de passe partagés, renforcent les politiques d’accès aux identités. Les gestionnaires de mots de passe professionnels offre une protection avancée aux ressources IT en établissant des contrôles d'accès à l'infrastructure IT, ce qui permet à un enregistrement en continu et un suivi de toutes les actions de l'utilisateur lors des sessions privilégiées, afin de fournir une visibilité complète sur les accès privilégiés.
Les gestionnaires de mots de passe éliminent également le problème de la « réutilisation des mots de passe ». Les utilisateurs peuvent protéger leur identité en ligne en utilisant un mot de passe unique pour chaque application ou site web, sans avoir besoin de se souvenir de chacun d’entre eux.
Le renforcement des contrôles internes comme détaillé ci-dessus fera en sorte que même si un hacker parvient à pénétrer dans le périmètre, les identités privilégiées ne seront pas compromises. De même, la menace interne est également significativement réduite.
Gardez un œil sur vos activités, Restez vigilant
Une fois les contrôles internes renforcés, les institutions financières doivent rester vigilantes et garder un œil sur les activités internes et en externes. Les logs provenant de systèmes critiques contiennent des informations vitales qui peuvent se révéler efficaces pour la prévention des incidents de sécurité.
Par exemple, le suivi des activités telles que les connexions des utilisateurs, les connexions échouées, l'accès aux mots de passe, les changements de mot de passe, les tentatives de suppression et autres activités suspectes peuvent aider à identifier les tentatives de piratage, les attaques malveillantes, les attaques DoS, les violations de politiques et autres incidents. Surveiller l'activité réseau en temps réel est essentielle pour la sécurité des entreprises. Les solutions d’analyse des logs et SIEM de ManageEngine, EventLog Analyzer et Firewall Analyzer, sont d’un grand secours pour connaître la situation en temps réel.
Bien sûr, tous les incidents de sécurité ne peuvent être prévenus ou évités. De même que la gestion des mots de passe privilégiés ne déjoue pas tous les incidents de cyber sécurité. Toutefois, un trop grand nombre d'incidents se produisent à la suite de contrôles internes laxistes (en particulier une mauvaise gestion des mots de passe), ces violations auraient certainement pu être évitées. Il est temps pour les organisations IT de prendre le taureau par les cornes et d’adopter une protection des mots de passe efficace.