Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Jean-François Pruvot, CyberArk : Yahoo et son vol de privilèges

mars 2017 par Jean-François Pruvot, Regional Director France chez CyberArk

Fin 2016, Yahoo annonçait avoir subi une attaque massive en 2014 ayant conduit à la prise de contrôle de plus de 500 millions de comptes utilisateurs, ainsi qu’au vol d’informations confidentielles. Après plusieurs mois d’enquête, le media américain Ars Technica révèle une interview du FBI qui indique que les auteurs de ce piratage auraient suivi un schéma récurrent dans de nombreuses attaques comme ce fut le cas pour la Banque Centrale du Bangladesh, ou encore lors du blackout en Ukraine.

Ce type d’attaque démarre généralement par une campagne de phishing ciblée pour voler les identifiants d’un employé, compromettre son poste de travail avec un malware ou détourner ses identifiants administrateurs afin d’étendre leur attaque à l’ensemble des systèmes de l’entreprise.

Pour Jean-François Pruvot, Director Regional France chez CyberArk, les identifiants administrateurs sont le graal du cyber-espionnage, trop d’entreprises n’en ont pas suffisamment conscience, c’est pourquoi les campagnes de sensibilisation et d’accompagnement des organisations – grandes et petites – sont plus indispensables que jamais :

« On ne le dit plus, les comptes à privilèges sont la voie royale des hackers, le sésame vers le cœur d’une organisation : son système informatique et, par conséquent, ses données les plus sensibles et confidentielles. Les identifiants d’accès à ces comptes permettent aux pirates informatiques de s’installer et de se déplacer insidieusement dans le réseau de l’entreprise, et ce parce qu’ils parviennent à se faire passer pour un utilisateur de confiance.

Dans le cas de Yahoo, l’exploitation de ces identifiants a permis aux hackers d’étendre leurs accès pour compromettre la base de données d’utilisateurs de l’organisation et ainsi exploiter les informations dérobées pour créer de faux jetons d’identification : en d’autres termes, ils pouvaient se faire passer pour n’importe quel utilisateur possédant un compte email Yahoo. Les pirates étaient donc en mesure de lire tous les emails, réinitialiser les mots de passe de tous les sites que les utilisateurs avaient reliés à leur compte Yahoo – comme des comptes bancaires en ligne par exemple –, ou se faire passer pour l’utilisateur afin d’envoyer des emails de phishing à ses contacts.

Selon le département de justice américain, les cyberattaquants se servent de ce "pouvoir" afin d’accéder aux comptes de journalistes, de représentants du gouvernement, de responsables financiers d’importantes structures ou encore d’employés d’entreprises de sécurité. Un constat effrayant dans notre monde ultra-connecté, qui conduit notamment les internautes à se méfier de plus en plus des informations publiées.

Cette campagne massive d’espionnage qui a touché Yahoo a simplement commencé par une entrée dans les systèmes, via des comptes à privilèges ; la plupart des RSSI et autres professionnels de sécurité ont pleinement conscience du fait que ces comptes sont le point d’entrée recherché par les hackers infiltrés dans le réseau pour prendre le contrôle des systèmes et mener à bien leur mission. Il ne devrait donc pas être nécessaire de rappeler que le contrôle de ces comptes et la gestion des accès doivent être une priorité pour les organisations qui seront tôt ou tard la cible de hackers. Et pourtant… »




Voir les articles précédents

    

Voir les articles suivants