Sécurité : Les attaques par déplacement latéral

De www.yakakliker.org

Définition

Une attaque par déplacement latéral consiste à se déplacer « latéralement » d'un appareil, d'une application ou d'un compte à un ou une autre sur le réseau. Lorsqu'un assaillant a réussi à s'introduire sur un réseau, cette technique lui permet de se déplacer en toute discrétion et sans se faire repérer pour atteindre son objectif : vol de données, attaque par ransomware ou autre activité malveillante.

Fonctionnement

3 phases

Reconnaissance

L'attaquant observe et cartographie le réseau ciblé. Il collecte des informations sur les utilisateurs, les appareils, les systèmes d'exploitation et les vulnérabilités potentielles

Vol d'identifiants

Pour se déplacer sur le réseau, les assaillants ont besoin en priorité d'identifiants de connexion valides. Techniques d'ingénierie sociale consistant à manipuler les personnes pour qu'elles divulguent leurs informations de connexion, achat de mots de passe volés mis en vente sur le dark Web, utilisation de keyloggers pour se servir directement... les cyber malfaiteurs ne manquent pas d'ingéniosité.

Premier accès à la cible

Une fois le malfaiteur en possession d'identifiants légitimes, il n'a plus qu'à se connecter au réseau. Il reprend alors son travail de reconnaissance pour planifier son déplacement latéral jusqu'à sa cible. À ce stade, son objectif est de rester en mouvement et d'élever son niveau d'accès et de privilège.

Techniques de vol des identifiants

Les attaquants disposent d'un large éventail de techniques et d'outils pour dérober les mots de passe. Passons en revue les quatre principaux

Ingénierie sociale

Les hackers ont le choix entre de nombreuses techniques d'ingénierie sociale pour voler les identifiants de connexion, par exemple le phishing ou le typosquattage. Cette méthode consiste à manipuler les personnes pour qu'elles divulguent leurs mots de passe.

Keyloggers

Ces programmes d'enregistrement de frappe sont déployés par l'intermédiaire d'e-mails de phishing contenant des liens malveillants ou des fichiers infectés. Une fois implantés sur un appareil, ils enregistrent chaque frappe au clavier et transmettent le tout à l'attaquant. Les mots de passe et les informations de connexion sont concernés par ce stratagème

« Pass-the-ticket »

Pour les malfaiteurs, des outils tels que Mimikatz permettant d'extraire les tickets d'authentification Kerberos facilitent l'authentification sans mots de passe d'utilisateur. Dans une attaque de type « pass-the-ticket », le pirate intercepte et réutilise des tickets Kerberos pour se faire passer pour un utilisateur légitime.

« Pass-the-hash »

Ici, les attaquants capturent la chaîne de hachage authentifiée d'un mot de passe et l'utilisent pour se connecter à des appareils en local et distants et à des machines virtuelles. Ils obtiennent ainsi l'accès non autorisé aux systèmes sans se donner la peine de décrypter le hachage.

Comment se défendre

Un certain nombre de mesures permettent de limiter le risque d'une attaque par déplacement latéral :

  • Implémentation de politiques de mots de passe strictes. Par exemple, encourager les utilisateurs finaux à créer des phrases de passe aléatoires de plus de 15 caractères
  • Obligation de l'authentification multi facteur (MFA) pour tous les comptes d'utilisateurs
  • Mise à jour de vos systèmes et logiciels avec application de correctifs, le tout régulièrement, pour supprimer des vulnérabilités
  • Formation et sensibilisation à la sécurité pour informer vos collaborateurs sur les différentes techniques d'attaque telles que le phishing et l'ingénierie sociale
  • Surveillance du trafic réseau et utilisation de systèmes de détection et de prévention pour détecter et bloquer les activités malveillantes ; analyse de journaux pour détecter des signes d'attaque par mouvement latéral
  • Utilisation de techniques de traque des menaces pour déceler au plus tôt les menaces cachées
  • Segmentation du réseau pour limiter les possibilités de déplacement latéral des malfaiteurs
  • Mise en place d'un plan de réponse aux incidents pour détecter, étudier et corriger au plus tôt les failles de sécurité potentielles

Liens

https://www.silicon.fr/Thematique/cybersecurite-1371/Breves/Securisation-identifiants-protection-contre-attaques-deplacement-464818.htm?utm_source=newsletter&utm_medium=email&utm_campaign=silfr&utm_content=13122024

Récupérée de « http://www.yakakliker.org/index.php?title=Sécurité_:_Les_attaques_par_déplacement_latéral&oldid=612 »