Infostealers : une menace qui s’étend bien au-delà des rançongiciels

Rentrée scolaire, début janvier 2023. Des menaces d’attentat étaient diffusées via les espaces numériques de travail (ENT). Elles concernaient une vingtaine d’établissements scolaires. 

Pas la moindre substance explosive n’avait été trouvée dans les établissements concernés. Auprès de nos confrères du Monde, le ministère de l’Éducation nationale indiquait qu’un « tel nombre de menaces est une première ».

Les menaces émanaient d’un compte ENT d’un élève, piraté. Mais comment ? À l’aide d’identifiants dérobés par un infostealer. Dès le mois de mars suivant, l’éducation nationale s’attachait à sensibiliser sur cette menace.

Avec les identifiants volés, la frontière entre vie personnelle et vie professionnelle s’efface. Dans ce contexte, pas de doute, de nombreuses victimes en devenir s’ignorent encore. 

Longtemps, l’accent a été mis sur les cyberattaques avec rançongiciel, dans le cadre desquelles des comptes compromis de VPN SSL, de services RDWeb ou de poste de travail virtuel sont exploités pour établir un accès initial. À juste titre. Du moins certaines statistiques le suggèrent-elles.

Ainsi, sur l’ensemble de l’année 2024, ransomware.live a constaté l’existence d’identifiants compromis pour plus de 45 % des victimes de rançongiciel connues, en s’appuyant sur les données d’Hudson Rock.

Cela ne permet pas de conclure que ces identifiants ont effectivement été utilisés pour établir l’accès initial dans tous ces cas. Mais dans certains incidents de cyber-extorsion le suggèrent très fortement. Et cela même si aucun ransomware n’était impliqué.

Car certains acteurs malveillants ne cherchent plus à aller aussi loin. Pourquoi s’ennuyer à cela quand les données sont accessibles plus rapidement ? Cela vaut pour bon nombre d’applications Web, hébergées on-premise comme en mode SaaS. Le groupe Hellcat compte parmi ces acteurs.

Il a revendiqué un vol de données chez Schneider Electric en novembre 2024, et un autre, plus récemment, chez Orange Roumanie. Et que dire de Fog et de ses revendications nébuleuses autour d’instances Gitlab ? 

Si des identifiants de VPN SSL et d’autres systèmes d’accès distants à des actifs informationnels d’entreprises sont susceptibles d’être stockés dans des navigateurs, puis volés par infostealers, rien ne suggère que cela ne puisse pas s’appliquer à des identifiants d’applications métiers Web. Des applications susceptibles de contenir des informations sensibles que des acteurs malveillants tenteront de monétiser, comme un CRM par exemple. 

Hudson Rock a indexé plus de 7400 URLs d’instances Confluence, pour près de 3000 organisations différentes dans le monde, pour lesquels des identifiants ont été compromis par infostealer. Pour Jira ? Près de 14 400 URLs couvrant plus de 6 300 entreprises autour du globe.

L’extraction de données et l’extorsion ne sont en outre que la première menace : les données volées ainsi peuvent être exploitées, par exemple à l’aide d’outil d’IA générative, pour en apprendre plus sur les organisations affectées. Et éventuellement découvrir de nouveaux vecteurs et angles d’attaque ; ceux qu’une reconnaissance extérieure aurait cachés. 

Quelle que soit leur nature, les données volées ont une durée de vie parfois longue, très longue, trop longue.

Face à cela, que faire ? Peut-être déjà généraliser l'authentification à facteurs multiples, mais aussi et surtout aider ses collaborateurs à ne pas confier leurs identifiants à leurs navigateurs Web, en leur fournissant un gestionnaire de mots de passe. De préférence assorti d’une licence et d’une architecture permettant de combiner usages privés et professionnels de manière strictement segmentée, mais confortable. 

Et de les habituer à fermer régulièrement leurs sessions au lieu de simplement fermer onglet ou fenêtre. En tout cas arrêter de mettre l’accent, dans les sensibilisations, sur le seul mail dont une pièce jointe malveillante aurait été ouverte par accident ou cette célèbre page Web de phishing.

Ces menaces existent. Mais elles sont loin, très loin, d’être les seules. Plus que jamais, la sensibilisation doit s’appuyer sur le renseignement sur les menaces et s’ajuster dynamiquement à ses enseignements.