Mauvaise nouvelle : le monde est rempli de gens qui veulent vos mots de passe. Et ils les veulent pour une multitude de raisons, mais pour faire court, ce ne sont que pour de mauvaises raisons. Découvrons les types d’acteurs malveillants qui veulent vos mots de passe, pourquoi ils les veulent, comment ils les obtiennent, et comment limiter les dégâts si l’un de vos mots de passe tombe entre de mauvaises mains.
On peut les répartir ces acteurs en trois groupes principaux : états-nations, cybercriminels et collaborateurs malveillants. Leurs motivations varient considérablement, mais l’objectif reste le même : obtenir un accès à des données ou des systèmes sensibles.
États-nations
Il s’agit d’une façon polie (utilisée en informatique, en science politique ou par les diplomates) de désigner les gouvernements. Ils veulent obtenir des mots de passe pour accéder à des systèmes, des informations ou les deux. Et ils veulent obtenir ces accès pour pouvoir voler ces informations, s’incruster à long terme au sein de ces systèmes, une combinaison des deux, et dans de rares cas, détruire ces données ou ces systèmes. Ce dernier cas de figure peut avoir des conséquences dévastatrices, en particulier si ces données ou systèmes sont liés à des infrastructures vitales (pensez au réseau d’électricité).
Cybercriminels
Tout est dans le nom. Le « pourquoi » est limpide dans ce cas de figure. Il s’agit de criminels motivés par l’argent. Les mots de passe offrent deux voies pour en gagner : Ils peuvent être vendus (les identifiants de connexion valent en moyenne une dizaine de dollars pièce sur le dark web) ou être utilisés pour obtenir un accès à des comptes ou des systèmes afin de générer de l’argent de différentes façons, comme les rançongiciels, l’exfiltration de données ou l’extorsion, ou s’il s’agit d’un compte bancaire, et le vidant directement de ses fonds.
Collaborateurs malveillants
Malgré la tentation, on ne parle pas ici des collègues qui réchauffent du chou-fleur ou du poisson au micro-ondes en salle de pause. On parle plutôt des collègues qui cherchent à nuire à l’entreprise en exploitant l’accès à ses réseaux. Ils peuvent vouloir votre mot de passe pour effectuer des tâches malveillantes en votre nom, afin de vous faire passer pour la personne coupable et compliquer les investigations. Ou ils peuvent vouloir votre mot de passe parce que vous avez accès à d’autres parties du réseau de l’entreprise, par exemple à des données financières sensibles, ou à des systèmes de contrôle industriels capables d’entraîner des dégâts physiques.
Comment les obtiennent-ils ?
Ces acteurs malveillants utilisent parfois les mêmes méthodes pour tenter d’obtenir vos mots de passe, qu’ils utilisent des logiciels malveillants achetés en ligne ou qu’ils achètent directement vos identifiants piratés lors d’une attaque précédente auprès d’un vendeur sur le dark web. Mais il existe également des différences dans la façon dont ces acteurs malveillants s’y prennent pour obtenir vos mots de passe. Découvrons ces différences.
Les états-nations ont le plus d’expérience et de ressources (autrement dit de personnel et d’argent), et disposent donc de plus d’options. Ils développent souvent leurs propres logiciels malveillants en exploitant des vulnérabilités logicielles qui n’ont pas encore été corrigées, afin d’accéder à des appareils ou des réseaux pour en exfiltrer des mots de passe. Ils peuvent également cibler directement un individu via un e-mail d’harponnage pour l’inciter à fournir son mot de passe. Ou ils peuvent cibler un fournisseur de services en amont, comme un service dans le cloud, pour accéder à de nombreux comptes à la fois et aux identifiants associés.
Sans surprise, les cybercriminels ont une approche plus entrepreneuriale. Certains groupes se concentrent essentiellement sur le vol de mots de passe via des infostealers ou des e-mails d’hameçonnage pour ensuite les revendre sur le dark web (pour en savoir plus sur les infostealers, consultez notre billet de blog
ici). D’autres exploitent des logiciels malveillants créés par d’autres groupes sous forme de kits d’hameçonnage ou d’infostealers, qu’ils vendent sous forme de service, comme un logiciel normal. Ces offres de logiciel-service (malware-as-a-service ou MaaS) sont conçues pour que des personnes sans expertise technique particulière puissent configurer et lancer des campagnes d’hameçonnage ou des logiciels malveillants. Elles sont dotées d’une interface utilisateur pratique qui simplifie la configuration des modes d’attaque.
Les collaborateurs malveillants ont un avantage sur les autres acteurs, puisqu’ils ont généralement déjà accès à vos bureaux et vos réseaux. Ils peuvent fouiller votre bureau à la recherche de mots de passe que vous avez notés par écrit, ou consulter les dossiers partagés de votre réseau pour voir si des mots de passe ont été stockés sur un site SharePoint ou un autre emplacement partagé. Ils peuvent également fouiller les dépôts de code à la recherche de mots de passe codés en dur, le tout pour obtenir un accès illicite ou pour entraîner des dégâts et nuire à leur employeur ou leurs collègues.
Comment limiter les dégâts ?
La réponse (ne) va (pas) vous surprendre : utilisez un gestionnaire de mots de passe ! Il vous suffit de mémoriser un seul mot de passe maître, vous pouvez créer et stocker des mots de passe complexes et uniques pour chacun de vos comptes, et si un mot de passe est piraté, c’est facile de le remplacer. LastPass offre également la surveillance gratuite des identifiants à tous ses clients. Si vous décidez d’activer la surveillance du dark web, notre service surveille en permanence une base de données d’identifiants piratés et vous alerte en cas de besoin pour que vous puissiez agir pour vous protéger. Utiliser des mots de passe uniques pour vos comptes limite également les dégâts en cas de piratage de vos identifiants, en limitant ce que le pirate peut en faire. De nos jours, il ne s’agit plus de savoir si vos identifiants seront exposés, mais quand, alors autant s’y préparer, et nous sommes là pour ça.