stealing passwords data breach

Défendre l’identité numérique contre les agents utilisant l’ordinateur (CUA)

Lucas Morel

Les pirates utilisent des agents IA pour déjouer les anciennes connexions. Il est temps d’abandonner les mots de passe et de passer à des informations d’identification résistantes au phishing, comme les clés d’accès.

Depuis des années, les organisations s’appuient sur les mots de passe et l’authentification multifacteur (MFA) basée sur des secrets partagés tels que les codes SMS et les mots de passe à usage unique (OTP) comme fondement de la sécurité des identités. La montée en puissance des agents utilisant des ordinateurs (CUA) accélérera la capacité des attaquants à automatiser et à étendre les attaques de phishing et de credential-stuffing avec un minimum d’effort. En conséquence, l’adoption d’informations d’identification résistantes au phishing est passée du statut de bonne pratique à celui de nécessité. Les organisations doivent donner la priorité aux solutions cryptographiques liées aux appareils telles que FIDO2, aux clés d’accès et à l’authentification basée sur les certificats pour sécuriser l’accès aux applications SaaS. De même, les fournisseurs SaaS doivent garantir l’intégration avec des plateformes d’identité prenant en charge des informations d’identification résistantes au phishing afin de renforcer la sécurité globale.

Modèles d’utilisation des mots de passe : la cause première

Les organisations s’appuient de plus en plus sur le SaaS, l’entreprise moyenne utilisant 106 applications SaaS.

Il existe des recherches bien établies sur les raisons pour lesquelles la gestion de mots de passe uniques et complexes pour autant d’applications peut s’avérer fastidieuse.

  • Principe du moindre effort : Notre cerveau recherche des raccourcis pour réduire la charge cognitive, ce qui donne l’impression que la réutilisation des mots de passe est rationnelle.
  • Lassitude en matière de sécurité : Les changements fréquents de mots de passe et les règles complexes frustrent les utilisateurs, les poussant à les réutiliser.

En conséquence, les utilisateurs alternent souvent entre 4 et 10 mots de passe principaux. Selon un article d’Enzoic, une personne moyenne réutilise le même mot de passe sur jusqu’à 14 comptes.

Selon une enquête Google-Harris Poll, 66 % des Américains admettent réutiliser leurs mots de passe sur plusieurs comptes.

Même lorsque les utilisateurs tentent d’obtenir l’unicité, les modifications sont généralement triviales ou basées sur des formules, mettant la première lettre en majuscule, ajoutant un chiffre ou ajoutant un caractère spécial.

Les attaquants exploitent ces ajustements prévisibles via des attaques de masque, testant systématiquement les variations courantes. Ils optimisent davantage la logique de prédiction en tirant parti des règles de mot de passe exposées lors des processus de connexion SaaS.

Qu’est-ce qui est pire ? 73 % des utilisateurs réutilisent les mots de passe de leurs comptes personnels et professionnels, créant ainsi un chemin direct permettant aux attaquants d’accéder aux ressources de l’entreprise. Si l’utilisateur compromis détient un accès privilégié, l’impact peut être catastrophique.

Comment les attaquants exploitent ces modèles d’utilisation des mots de passe

Une fois que les attaquants ont obtenu les informations d’identification via des techniques courantes telles que :

  • Phishing : Fausses pages de connexion capturant les noms d’utilisateur et les mots de passe
  • Violations de données : Des millions d’identifiants divulgués en ligne
  • Enregistreurs de frappe : Frappes d’enregistrement de logiciels malveillants
  • Attaques de l’homme du milieu : Intercepter le trafic sur le Wi-Fi public
  • Ingénierie sociale : Manipuler les utilisateurs pour qu’ils révèlent des secrets

Ils utilisent ces identifiants volés comme une arme en utilisant le credential stuffing ; les testant automatiquement sur plusieurs applications SaaS pour obtenir un accès non autorisé.

Évolution du credential stuffing

Tentatives de connexion manuelle

Cette approche traditionnelle impliquait que les attaquants testaient manuellement les noms d’utilisateur et les mots de passe volés sur plusieurs applications SaaS.

Limites:

  • Cela prend du temps et demande beaucoup de travail.
  • Forte probabilité de déclencher des alertes d’anomalie à partir d’une ou plusieurs applications SaaS, ce qui donne aux utilisateurs le temps de répondre avant que les attaquants ne puissent effectuer le bourrage d’informations d’identification dans leur liste d’applications ciblées.

Automatisation basée sur des robots

Pour intensifier leurs attaques, les attaquants ont commencé à utiliser des robots pour imiter les clics sur les pages de connexion ou appeler les API exposées par les applications SaaS lorsqu’elles étaient disponibles. Au fil du temps, ces robots ont également évolué pour contourner les défenses anti-automatisation telles que les listes bloquées d’adresses IP, la limitation de débit, les CAPTCHA et la détection du comportement des robots mises en place par les applications SaaS. Cependant, des défis demeurent :

  • Les robots et les scripts sont souvent spécifiques à une application et nécessitent des mises à jour constantes à mesure que les applications SaaS modifient les éléments de l’interface utilisateur.
  • Ils exigent une expertise en codage, des configurations personnalisées et parfois un accès API.
  • Tous les robots ne peuvent pas contourner toutes les mesures anti-automatisation, obligeant les attaquants à sélectionner des robots spécifiques pour chaque application SaaS en fonction de ses défenses.
  • En résumé, étant donné que les identités Web sont implémentées de manière sur mesure dans des milliers d’applications SaaS et que les applications SaaS modifient également fréquemment leur interface utilisateur, il est difficile d’étendre une attaque de credential stuffing. Les protections généralisées contre les robots ont encore compliqué la situation.

Entrez les CUA

Les agents utilisant des ordinateurs sont des systèmes pilotés par l’IA qui interagissent avec les ordinateurs et les applications via leurs interfaces utilisateur, tout comme le ferait un humain. Ils s’appuient sur des modèles de langage vision (VLM) et de grands modèles de langage (LLM), leur permettant de combiner perception, raisonnement et planification d’action :

  • Perception: Observez les écrans via des données de pixels ou des captures d’écran pour interpréter ce qui est affiché.
  • Compréhension: Reconnaissez et interprétez les éléments de l’interface utilisateur (boutons, champs de texte, menus) comme un humain.
  • Action: Effectuez des clics, de la saisie, du défilement et de la navigation de manière autonome sur les applications et les sites Web.

Les CUA peuvent surpasser les robots et étendre les attaques de credential stuffing

Lorsqu’elles sont exploitées par des attaquants, les capacités des CUA les rendent bien plus efficaces que les robots traditionnels ou les outils d’automatisation dans les campagnes d’abus d’identifiants :

Interaction de type humain

Contrairement aux robots ou aux scripts traditionnels qui dépendent des API d’applications SaaS ou nécessitent une automatisation personnalisée pour chaque application, les CUA interagissent directement avec la même interface utilisateur que celle utilisée par les humains, éliminant ainsi le besoin d’API ou de code personnalisé. Cette approche humaine permise par CUA permet aux attaquants d’élargir considérablement la gamme d’applications SaaS qu’ils peuvent cibler pour le credential stuffing.

Tâches en langage naturel

Les CUA peuvent être instruits à l’aide de commandes en langage simple, éliminant ainsi le besoin de compétences en codage ou d’expertise technique. Cela réduit considérablement la barrière à l’entrée pour les attaquants.

Adaptabilité dynamique

Contrairement aux robots qui échouent ou nécessitent des modifications constantes chaque fois que les éléments de l’interface utilisateur liés à l’identité changent, les CUA perçoivent les pixels, déduisent les éléments et ajustent les flux de travail à la volée. Cette adaptabilité dynamique leur permet de gérer de manière transparente des mises en page évolutives et de fonctionner sur diverses plates-formes, réduisant ainsi considérablement la complexité.

Apprentissage adaptatif

Contrairement aux robots, les CUA apprennent des tentatives infructueuses, en optimisant les séquences d’attaque et en contournant les nouvelles défenses.

Résilience contre les défenses anti-bots

Les CUA utilisent des piles de navigateur complètes et des modèles d’interaction de type humain, y compris une cadence de clic et de frappe réaliste. Ces comportements leur permettent de contourner les défenses courantes telles que le CAPTCHA et l’analyse comportementale.

Exécution parallèle à grande échelle

Les CUA effectuent des tâches à la vitesse de la machine et en parallèle, permettant aux attaquants de lancer simultanément des milliers de tentatives de bourrage d’informations d’identification, soit des ordres de grandeur plus rapides que les attaques manuelles.

Comment les CUA peuvent transformer les attaques d’ingénierie sociale et de phishing

Ces mêmes capacités de CUA permettent également aux attaquants de porter l’ingénierie sociale et le phishing à un tout autre niveau. Les CUA redéfinissent comment et où le phishing se produit, passant du courrier électronique aux plateformes sociales et aux outils de collaboration, où les contrôles anti-phishing des entreprises ne sont généralement pas en place et sont également moins efficaces. En utilisant le langage naturel, un attaquant peut demander à un CUA de créer des comptes sur des plateformes sociales, de publier des messages, de renforcer sa crédibilité, puis d’exploiter cette confiance pour fournir des liens de phishing visant à voler des informations d’identification.

Au-delà d’un large engagement, lorsqu’elles ciblent un utilisateur particulier, les CUA peuvent exploiter l’IA pour récupérer les informations des utilisateurs sur diverses plateformes sociales, puis les utiliser pour créer des messages hautement personnalisés qui établissent une relation et servent de leurre de phishing, redirigeant finalement la victime vers des sites malveillants.

Pour se défendre contre ces attaques sophistiquées, les organisations sont encouragées par les agences de cybersécurité comme la CISA à mettre en œuvre des informations d’identification résistantes au phishing, telles que des clés d’accès (FIDO2) et des informations d’identification basées sur une infrastructure à clé publique.

FIDO2/Clés d’accès

Clés de sécurité FIDO2 : Il s’agit d’appareils physiques, souvent portables, qu’un utilisateur connecte via USB, communication en champ proche (NFC) ou Bluetooth pour effectuer une authentification. Ils contiennent la clé privée d’un utilisateur et utilisent une signature cryptographique pour s’authentifier en toute sécurité auprès d’un service.

Clés d’accès basées sur la plateforme : Il s’agit d’un type d’identifiant FIDO qui peut être stocké sur les appareils grand public d’un utilisateur, tels que les smartphones et les ordinateurs portables. L’authentification à l’aide de ces mots de passe nécessite que l’utilisateur présente les données biométriques ou un code PIN pour déverrouiller l’appareil avant de l’utiliser.

Informations d’identification basées sur PKI

Authentification basée sur un certificat/cartes à puce : repose sur une carte à puce physique contenant un certificat numérique et une clé privée. L’authentification nécessite la présence de la carte et la présentation par l’utilisateur d’un code PIN pour déverrouiller la clé privée de la carte.

Comment ces identifiants résistent au phishing

  • Aucun secret partagé: Il n’existe aucun mot de passe ni code à usage unique qui puisse être intercepté, volé par un phisher ou réutilisé dans une attaque par rejeu.
  • Vérifié cryptographiquement: Au lieu d’un mot de passe ou d’un code à usage unique, une paire de clés cryptographiques participe à l’authentification de l’utilisateur ; la clé privée est le secret, qui ne quitte jamais l’appareil de l’utilisateur, et le serveur peut vérifier l’identité de l’utilisateur sans jamais transmettre ce secret.
  • Lié à l’appareil: La clé privée de la bi-clé cryptographique est liée à un périphérique physique spécifique. À moins que l’attaquant ne puisse se connecter à l’appareil de l’utilisateur, il ne peut pas utiliser la clé privée pour générer la signature cryptographique.
  • Lié à l’origine: Dans le cas des clés d’accès, les clés sont liées cryptographiquement au domaine d’un site Web ou d’une application spécifique, garantissant qu’elles ne peuvent être utilisées que pour ce service précis et non sur un site malveillant ou une réplique.

Appel à l’action

  • Organisations : Appliquez des informations d’identification résistantes au phishing dans toutes les applications SaaS.
  • Fournisseurs SaaS : Intégrez-vous aux plateformes d’identité prenant en charge les informations d’identification résistantes au phishing.
  • Responsables de la sécurité : Considérez cela comme une nécessité et non comme une aspiration. Le coût du retard est un compromis à grande échelle.

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Gemini, Google, Smartphone
Gemini pour Chrome dispose d’un deuxième agent IA pour le surveiller
Cyberattaques contre les universités | Chouette noire
Cyberattaques contre les universités | Chouette noire
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern
Ermittler kappen Tausende Nummern von mutmaßlichen Betrügern