nouvelle cible privilégiée des fraudeurs

L’identité numérique est aujourd’hui une ressource clé, y compris pour des acteurs malveillants motivés financièrement.

Selon une récente étude de Verizon, 61% des brèches de données sont dues à des identifiants compromis. C’est une tactique commune parmi les fraudeurs : en utilisant les identifiants d’un tiers, ils évitent d’être détectés pendant qu’ils collectent des informations et des données volées, qui leur permettront de réaliser d’autres transactions frauduleuses.

Si le contrôle d’accès est un outil fondamental pour la défense des systèmes, il a ses limites. Les attaquants tentent en permanence de contourner ces barrières pour accéder aux comptes, ciblant souvent les parcours de connexion et de paiement. C’est pourquoi de nombreuses organisations investissent aujourd’hui dans des technologies anti-fraude pour détecter et réduire l’impact de ces attaques.

Cependant, les tactiques des fraudeurs sont tout aussi efficaces lorsqu’elles ciblent les systèmes d’identité, tels que les systèmes de provisionnement, de gestion de dispositifs, d’inscription et de réinitialisation des mots de passe. Ces systèmes, qui sont à la base du contrôle d’accès, sont en passe de devenir les cibles privilégiées des fraudeurs.

Des fraudeurs toujours plus experts

Historiquement, les fraudeurs tiraient parti d’identifiants disponibles sur le dark web – compromis lors de fuites ou de brèches de données – ignorant si ces comptes avaient une quelconque valeur. Ils ne disposaient pas non plus de renseignements précis leur permettant d’observer le comportement des vrais utilisateurs, afin d’éviter d’être détectés au moment d’accéder illégalement aux comptes.

Aujourd’hui, des groupes de ransomware tels que LockBit, Avaddon, DarkSide, Conti et BlackByte s’appuient sur des courtiers d’accès initial (initial access brokers – IAB) pour acheter des données d’organisations vulnérables sur des forums du dark web. Ces courtiers ont vu leur popularité grandir récemment, puisqu’ils facilitent et rendent abordable l’achat d’identifiants. Cela montre à quel point le sens des affaires des fraudeurs du dark web ne cesse de s’affiner.

Une hausse des attaques liée à l’identité

Les attaques et tentatives d’extorsion récentes, comme celles qui ont visé Okta et Microsoft, illustrent l’étendue des dégâts que peuvent causer les attaques par prises de contrôle de comptes (ATO – account takeover). Ce type d’attaque est désormais le premier choix pour de nombreux fraudeurs, une étude récente révélant qu’elles ont explosé de 148 % entre 2020 et 2021. Le groupe de ransomware Lapsus$ a par exemple réalisé toutes ses attaques ATO en utilisant des identifiants volés. Ces groupes continuent à acheter des données compromises, préférant celles avec accès au code source.

Si tous les comptes en ligne sont vulnérables aux attaques ATO, les acteurs malveillants courent naturellement après des cibles de premier choix, comme les comptes bancaires ou les comptes de fidélité, qui ont une valeur monétaire et contiennent des informations de paiement enregistrées. À l’instar de Lapsus$, ces fraudeurs utilisent généralement des outils automatisés, comme des botnets, pour commettre des attaques en continu (telles que le bourrage d’identifiants ou les attaques par force brute) contre des cibles de grande valeur.

Parmi les tactiques des fraudeurs, on trouve aussi l’hameçonnage, les escroqueries par centres d’appels, les attaques de type “man-in-the-middle” (MITM) et une technique connue sous le nom de “fermes à clic”, qui consiste à employer d’autres acteurs malveillants pour saisir manuellement les identifiants de connexion et ainsi outrepasser les outils de détection d’ouvertures automatiques de session. Ces méthodes permettent aux fraudeurs de passer à l’échelle supérieure, augmentant considérablement leurs chances d’obtenir des données personnelles qui pourront être utilisées pour accéder illégalement aux comptes d’utilisateurs.

Contrôle d’accès à plusieurs niveaux ne suffit plus, place aux systèmes de défense basés sur l’identité

Historiquement, le contrôle d’accès met en place des services d’authentification et d’autorisation pour vérifier les identités. L’authentification identifie les utilisateurs, l’autorisation détermine ce qu’ils sont censés pouvoir faire.

Alors que ces services étaient considérés auparavant comme une bonne première ligne de défense contre la fraude basée sur l’identité, ils peuvent aujourd’hui être facilement contournés. Les fraudeurs cherchent constamment à infiltrer les systèmes des organisations au point d’intersection entre sécurité et utilisabilité. Cela ne veut cependant pas dire que les outils de défense doivent faire de même. Chercher uniquement à rendre les systèmes très sûrs ou très simples à utiliser, rendrait l’autre attribut plus vulnérable.

Les organisations ont donc besoin d’un deuxième niveau de sécurité. Une solution automatisée et robuste de détection et de réduction des dégâts doit être déployée, afin de bloquer des méthodes d’attaques de plus en plus sophistiquées et dynamiques.

L’une des options serait de s’intéresser aux outils de gestion capables de collecter des milliards de personas et de caractéristiques comportementales des consommateurs. Cela permettrait aux équipes de sécurité d’identifier en temps réel les comportements inhabituels des utilisateurs, y compris l’activité automatisée des robots. Adopter des outils qui emploient des algorithmes de machine learning capables d’« apprendre » les comportements des utilisateurs permettra aux organisations de reconnaître les tactiques des fraudeurs tout au long du cycle de vie des identités, y compris le provisionnement et la maintenance des comptes. Ceci permettra de protéger les données avant qu’elles ne soient compromises et vendues au plus offrant.

En dernière instance, pour vaincre des cybercriminels dynamiques, les entreprises doivent penser comme leurs principaux ennemis et adopter des systèmes capables d’empêcher que les identités de leurs clients tombent entre de mauvaises mains.