On parle de « credential dumping » ou dumping d’identifiants lorsqu’un acteur de la menace vole vos informations d’identification, telles que votre mot de passe, afin d’effectuer diverses activités malveillantes, y compris des ransomwares. Elle est souvent confondue avec le credential stuffing (ou bourrage d’identifiants), un type de cyberattaque qui consiste à « bourrer » des informations d’identification volées sur plusieurs sites web. Pour l’essentiel, le credential stuffing revient à « jeter des spaghettis sur le mur et voir lequel colle », tandis que le credential dumping exploite les vulnérabilités de votre mémoire vive pour voler et copier vos informations d’identification. Une fois que vos informations d’identification ont été consultées, on dit que ces données ont été « dumpées ».
Quoi qu’il en soit, ces deux menaces nécessitent une solide stratégie de gestion des informations d’identification au sein de votre entreprise.
Comment fonctionne le « credential dumping » ?
Généralement, les cybercriminels piratent la mémoire vive de votre appareil (et non la mémoire morte aussi appelée ROM (Read-Only Memory) et recherchent les informations d’identification qu’ils peuvent trouver, telles que les noms d’utilisateur et les mots de passe. Une fois que les acteurs malveillants ont reçu vos informations d’identification, ils tentent d’accéder à vos comptes ou d’infecter d’autres appareils connectés au même réseau (Il s’agit d’une stratégie de « préparation » courante pour une attaque de type ransomware-as-a-service à l’échelle de l’entreprise, par exemple).
En tant que telle, l’usurpation d’identité est rarement une menace ponctuelle et précède généralement une cyberattaque beaucoup plus complète et sur plusieurs fronts. Par exemple, le « dump » peut être la première tentative d’accès au gestionnaire des comptes de sécurité (SAM – Security Account Manager) de votre appareil, qui contient une liste de hachages de mots de passe utilisés pour se connecter à vos appareils. Les cybercriminels peuvent alors utiliser les informations d’identification hachées volées pour obtenir un accès autorisé à d’autres ordinateurs sur le même réseau (il s’agit d’une attaque de type « Pass the Hash » (PtH)).
Pourquoi le credential dumping est-il si dangereux ?
On peut affirmer que la plupart des violations de données commencent par une fuite de données d’identification. Il s’agit d’une préoccupation importante, d’autant plus que les experts ont constaté une augmentation de 78 % des compromissions de données signalées publiquement en 2023 par rapport à 2022 (2023 Data Breach Report, Identity Theft Resource Center). Ce chiffre devrait augmenter au cours des prochaines années et coûter aux entreprises des millions de dollars en perte de productivité. Voici quelques chiffres :
- Le coût global des violations de données en 2023 était de 4,45 millions de dollars, soit une augmentation de 15 % en trois ans (Cost of Data Breach Report, IBM).
- 6,41 millions de données ont été divulguées dans le monde au cours du seul premier trimestre 2023 (Statista).
- Le nombre moyen de jours pour identifier une violation de données est de 204, et le temps moyen nécessaire pour contenir ces violations est de 73 jours (Statistica).
- Les cyberattaques causées par le vol d’informations d’identification et l’exploitation de l’identité ont connu une hausse de 71 % (IBM).
À quoi peut conduire le credential dumping ?
Le dumping d’identifiants peut servir de tremplin à des cyberattaques beaucoup plus dangereuses, notamment :
Pass the Hash (PtH)
Les pirates volent les identifiants hachés des utilisateurs (un type de cryptographie) et les réutilisent pour créer une nouvelle session d’utilisateur sur le même réseau. Plutôt que de craquer les informations d’identification, les attaques PtH utilisent des mots de passe chiffrés et stockés pour lancer une nouvelle session.
Pass the Ticket (PtT)
Les attaques PtT volent votre ticket d’authentification dans votre domaine Windows pour se faire passer pour vous et obtenir un accès non autorisé à votre réseau informatique. Alors que PtH et PtT sont des attaques basées sur l’authentification, PtT abuse des tickets Kerberos en les volant et est plus spécifique aux environnements Windows.
Réduire le risque de credential dumping
Il existe de nombreuses façons de réduire le risque de dumping d’identifiants. Parmi les moyens d’atténuer le risque, on peut citer :
- Examiner et mettre à jour les algorithmes faibles ou obsolètes utilisés dans le chiffrement SSL/TLS.
- Garder des mots de passe forts pour chaque application ou logiciel (évitez d’utiliser le même mot de passe pour tout).
- Limiter le nombre de comptes ayant des droits d’administrateur.
- Implémenter l’authentification multifactorielle (AMF) ou 2FA (à 2 facteurs) sur tous les comptes.
- Organiser régulièrement des formations à la cybersécurité pour tous les membres de votre entreprise.
- Concevoir des stratégies de protection des mots de passe sur PowerShell, telles que l’exigence d’un mot de passe après la mise en veille ou la configuration de l’expiration du mot de passe.
- Mettre en place un pare-feu.
- Gardez votre réseau informatique en bonne santé grâce à un système performant de gestion des correctifs.
Se défendre contre le credential dumping
Le « credential dumping » ou dumping d’identifiants demeurera une menace importante, principalement parce que de plus en plus de personnes utilisent divers appareils pour stocker leurs informations personnelles ou sensibles. Bien qu’il soit impossible d’éliminer le risque de vol de vos données d’identification, vous pouvez le réduire en rendant leur accès aussi difficile que possible pour les pirates.
