Comment les courtiers en accès initial (IAB) vendent les informations d'identification de vos utilisateurs

Même si vous ne vous êtes pas penché sur les méthodes employées par les courtiers d'accès initial (Initial Access Brokers - IAB), vous avez certainement lu des articles sur leur travail lors de récentes cyber-attaques. Ces cybercriminels spécialisés s'introduisent dans les réseaux d'entreprise et vendent les accès volés à d'autres attaquants. Considérez-les comme des serruriers high-tech dont on peut louer les services : ils piratent les systèmes de sécurité et vendent les « clés » aux groupes de ransomware et aux cybercriminels qui lancent leurs propres attaques.

Pour comprendre le fonctionnement des IAB, prenons l'exemple d'un incident récent ayant visé les clients d'Amazon Web Services (AWS). Les attaquants ont systématiquement scanné les systèmes AWS à la recherche de vulnérabilités, volant plus de deux téraoctets de données sensibles, dont des milliers d'identifiants — des clés d'accès AWS aux identifiants de connexion aux bases de données. Fidèles au modèle commercial de l'IAB, ils ont vendu cet accès volé sur des canaux Telegram privés, permettant ainsi à d'autres criminels de cibler les organisations compromises.

Comment votre entreprise peut-elle se protéger contre les IAB ? Voici ce que vous devez savoir sur le fonctionnement des IAB, pourquoi ils privilégient les informations d'identification des utilisateurs par rapport aux autres actifs numériques et les mesures que vous pouvez prendre pour renforcer les défenses de votre organisation.

Comment les IAB gèrent leurs entreprises criminelles

Les IAB gèrent leurs opérations comme des entreprises légitimes, avec des équipes de service client, des modèles de tarification avec plusieurs niveaux et des garanties de remboursement si leur accès volé ne fonctionne pas. Et ils en ont pour tous les goûts sur le dark web. Pour les petits criminels qui disposent de fonds mais manquent d'expertise technique, les IAB constituent un point d'entrée vers des cibles d'entreprise de grande valeur qu'ils ne pourraient jamais atteindre de manière indépendante.

Pour les attaquants plus sophistiqués, en particulier les groupes de ransomware, les IAB offrent un gain d'efficacité précieux - au lieu de perdre des semaines à essayer de s'introduire dans les systèmes de leurs cibles, ils achètent simplement un accès garanti et déploient immédiatement des logiciels malveillants ou se mettent à voler des données. La cybercriminalité est donc plus efficace. Les IAB se chargent de l'infiltration du réseau pendant que leurs clients se concentrent sur la monétisation de l'accès avec leurs propres attaques.

Guichet unique

Les IAB offrent aux cybercriminels un guichet unique pour leurs actions malveillantes, en vendant tout : des informations d'identification VPN de base et accès au bureau à distance aux comptes d'administrateur puissants et jetons de service cloud. Leurs annonces de vente comprennent généralement des informations détaillées sur l'organisation victime - comme le chiffre d'affaires annuel, le secteur d'activité et le nombre d'employés - ce qui permet aux acheteurs de sélectionner les cibles qui correspondent le mieux à leurs objectifs. Un compte d'utilisateur de base peut se vendre pour quelques centaines de dollars, tandis que les informations d'identification de l'email d'un administrateur peuvent atteindre 140 000 dollars..

Pourquoi les IAB aiment-ils les informations d'identification compromises

Les informations d’identification compromises restent leur bien le plus précieux parmi tous les types d’accès vendus par les IAB. Les récentes atteintes à la sécurité de grandes entreprises montrent à quel point le vol d'informations d'identification peut être dévastateur.

À la fin de l'année 2024, des pirates ont utilisé le credential stuffing pour exploiter l'outil de devis en ligne de Geico, exposant ainsi les données de 116 000 clients et entraînant une amende de 9,75 millions de dollars.
Au cours de la même période, le site ADT a subi deux violations de données d'identification en l'espace de deux mois seulement : 30 000 dossiers de clients ont d'abord été exposés sur un forum de piratage, puis une autre violation a eu lieu lorsque des pirates ont utilisé des données d'identification volées à un partenaire commercial pour s'infiltrer dans ses systèmes internes.

Ces incidents montrent que même les entreprises disposant de budgets de cybersécurité conséquents peuvent être victimes d’attaques commençant par des informations d’identification compromises.

L'ampleur de la compromission des données d'identification

L'ampleur de la compromission en matière de données d'identification est stupéfiante. Le rapport 2024 IBM Cost of a Data Breach Report révèle que les informations d'identification volées ou compromises étaient à l'origine de 19 % de toutes les violations, et que 292 jours étaient en moyenne nécessaires pour identifier ces incidents. Le rapport 2024 Verizon Data Breach Investigations montre quant à lui que les informations d'identification volées constituent la première ligne d'attaque dans 24 % des violations de données.

Le rôle des solutions de renseignement sur les menaces

Comment votre organisation peut-elle assurer la sécurité de ses données et de ses systèmes ? L'un des meilleurs moyens consiste à utiliser de manière proactive des outils de veille sur les menaces pour aider à identifier les informations d'identification compromises avant que les attaquants de ne puissent les utiliser. Les plateformes modernes de renseignement sur les menaces surveillent en permanence les marchés du dark web, les sites de collage et les forums clandestins sur lesquels les informations d'identification sont échangées. Que se passerait-t-il si les informations d'identification des employés apparaissaient dans de nouveaux fichiers ou étaient mises en vente par des IAB ? Une plateforme de veille sur les menaces pourrait alerter votre équipe de sécurité, lui permettant de forcer immédiatement la réinitialisation des mots de passe, de verrouiller les comptes concernés et d'enquêter sur les activités suspectes.

Mais la surveillance seule ne suffit pas - votre organisation doit créer et appliquer des politiques de mots de passe robustes qui empêchent les employés d'utiliser des informations d'identification compromises en premier lieu. Envisagez la mise en œuvre d'une solution spécialisée comme Specops Password Policy, qui vérifie activement les mots de passe Active Directory de votre organisation en les confrontant à une base de données continuellement mise à jour de plus de 4 milliards d'informations d'identification uniques connues et compromises. La base de données de Specops comprend des informations d'identification trouvées sur le dark web par une équipe de renseignement sur les menaces dirigée par des humains.

En scannant en permanence votre Active Directory par rapport à cette liste croissante de mots de passe compromis, vous ajoutez une couche de protection supplémentaire empêchant ainsi les pirates d'exploiter les informations d'identification divulguées pour s'infiltrer dans votre réseau.

Réduire les risques liés à l'IAB

Bien qu’aucune solution ne puisse éliminer complètement la menace des IAB, comprendre leur fonctionnement et mettre en œuvre de solides mesures de protection des informations d’identification peut réduire vos risques. Adoptez une approche proactive, en combinant la veille sur les menaces pour savoir quand vos informations d'identification ont été exposées avec des politiques de mot de passe robustes qui empêchent l'utilisation d'informations d'identification compromises. En restant vigilant et en maintenant une défense solide, votre organisation peut réduire sa vulnérabilité face aux attaques basées sur les informations d'identification.

Les identifiants compromis sont les voies d’accès les plus faciles à votre organisation : verrouillez-les dès aujourd’hui. Essayez Specops Password Policy gratuitement.

Sur le même thème

Partenaires