Identifiants compromis : un boulevard pour les attaquants

Un nom d’utilisateur et un mot de passe. Cela n’a pas forcément l’air de grand-chose. Et il peut être difficile d’imaginer ce que pourraient réussir avec cela des cybercriminels. Pour autant, plus ou moins difficilement et furtivement selon les mécanismes de sécurité en place dans l’organisation, ils peuvent aller loin, très loin, et commettre des dommages difficilement réparables. Comme avec le déclenchement d’un ransomware.

Certains attaquants l’ont expliqué à leurs victimes : « nous avons trouvé un login pour [votre serveur d’accès à distance] ». De là, ils ont poursuivi leur chemin dans le système d’information jusqu’à réussir à mettre la main sur un contrôleur de domaine, à partir duquel ils ont pu déployer leur rançongiciel sur l’ensemble des machines lui étant raccordées, pour ensuite les chiffrer et les prendre en otage.

L’utilisation de l’authentification à facteurs multiples (MFA) est d’ailleurs régulièrement recommandée par les cybercriminels à leurs victimes, tout particulièrement pour les systèmes permettant d’accéder à distance au système d’information et à ses ressources.

C’est pour cela qu’il peut être nécessaire, parfois, de recourir à une réinitialisation généralisée des mots de passe. Certes, le renouvellement global de mots de passe est plus courant dans les environnements Windows que les autres. Mais pour Benjamin Delpy, créateur de Mimikatz, « cela peut être une posture prise, par précaution, lors d’une suspicion de compromission de comptes à privilèges », susceptible d’avoir conduit, ou de conduire, à la compromission d’un contrôleur de domaine.

Dans le meilleur des cas, ce qui peut conduire à une telle décision, c’est l’observation d’un déplacement latéral, « ou même, la connaissance de la compromission d’un mot de passe à privilège, ou de l’accès à un hôte avec un compte à privilège déjà connecté ». Car les données de persistance de l’authentification sont alors stockées en mémoire vive et peuvent y être collectées avec un outil tel que Mimikatz, à l’instar d’un jeton Kerberos ou d’un condensat – ou hash – NTLM. 

Lancer une réinitialisation des mots de passe et demander à ses utilisateurs d’en définir un nouveau rapidement peut donc constituer une mesure de précaution, « en cas de doute, même non confirmé ». Mais ce n’est pas forcément le cas le plus probable, en particulier lorsque l’opération est lancée dans une grande organisation. Car à partir d’une certaine échelle, « le coût devient énorme ».

En décembre 2019, l’université Justus-Liebig, à Gießen, avait enclenché une telle procédure, allant même jusqu’à redistribuer manuellement, sur papier, les mots de passe des comptes de ses 38 000 utilisateurs, étudiants, enseignants, chercheurs et personnels administratifs. À l’époque, pour autant, aucun chiffrement de données ni nom de maliciel n’avait encore été évoqué. Rien moins que 1 200 clés USB de démarrage, sous Linux, avaient toutefois été déployées pour identifier les postes compromis à l’aide de règles Yara, développées à partir d’échantillons découverts à l’occasion d’une première analyse de l’environnement.

Plus récemment, à l’automne 2020, Air France-KLM a engagé une opération de renouvellement massive de mots de passe motivée par un « risque élevé de cyberattaque ». Au printemps, les équipes informatiques d’UniLaSalle ont procédé à une réinitialisation massive des mots de passe. L’école d’ingénieurs venait d’être frappée par le ransomware Ryuk.