Si les enjeux d’accès et d’authentification sont de plus en plus complexes, la menace est réelle et les failles restent nombreuses.

Usurper une identité : simple comme bonjour

Créer un faux compte sur un réseau social pour se faire passer pour quelqu’un d’autre, envoyer des emails en falsifiant l’adresse de l’expéditeur pour demander des informations ou de l’argent au destinataire, souscrire un abonnement en utilisant un faux nom, détourner des fonds ou aides d’État… les exemples sont nombreux pour illustrer l’usurpation d’identité.

Cette dernière consiste à utiliser les informations d’autrui sans son accord et est globalement utilisée dans deux cas principaux : pour compromettre un individu ou une marque en nuisant à sa réputation, et/ou dans une volonté de soutirer de l’argent ou des informations (dans le cas de l’espionnage industriel par exemple).

Aujourd’hui, 90% des attaques informatiques, qu’elles soient perpétrées dans un objectif d’usurpation d’identité ou pas, commencent par un email. L’hameçonnage (phishing), qui consiste à leurrer l’internaute pour l’inciter à communiquer ses données personnelles, reste la méthode la plus utilisée.

Comment se protéger des cyber attaquants… et de nous-mêmes !

L’erreur est humaine, et les cybercriminels l’ont bien compris. Pourquoi dépenser de l’argent pour acheter des malwares lorsqu’il suffit de demander à la cible son mot de passe ? La plus grande faille sécurité dans le cas de tentatives d’usurpation d’identité reste en effet l’humain.

Quelques bonnes pratiques peuvent cependant nous permettre de renforcer notre vigilance : utiliser une passerelle de courrier électronique sécurisée (Secure Email Gateway) ainsi qu’un firewall, installer des antivirus sur les postes de travail, passer sa souris sur une adresse pour vérifier l’URL avant de cliquer dessus, être alerté par les fautes d’orthographe… mais aussi et surtout se former régulièrement pour apprendre à repérer les fraudes.

Si le risque d’usurpation d’identité concerne tout le monde, certains utilisateurs, pourtant avertis et sensibilisés à ces problématiques, sont particulièrement ciblés : les administrateurs de réseaux. Pour faire simple, compromettre un utilisateur lambda dans une entreprise correspondrait à obtenir les clefs d’une boîte aux lettres, compromettre un administrateur équivaudrait à mettre la main sur les clefs de la maison et de toutes les pièces.

Les solutions PAM pour protéger les administrateurs

Les administrateurs de système sont donc des cibles de choix pour les usurpateurs. Se faire passer pour eux leur permet de mettre un pied dans l’infrastructure, d’avoir potentiellement accès à des informations sensibles et d’extraire des données. Compromettre un administrateur, c’est donc avoir accès à l’ensemble d’un système d’informations pour y causer des dommages irréversibles.

Arrêtons-nous sur une solution - parmi d’autres - pour lutter contre ce type de cybercriminalité VIP : les logiciels PAM (Privileged Access Management), qui sont des systèmes qui permettent de contrôler ce que fait un administrateur sur un réseau, en enregistrant ses actions. Mais cette surveillance-là ne permet pas d’identifier s’il y a compromission d’identité ou pas.

Les logiciels PAM vont plus loin grâce au principe d’apprentissage automatique des machines (machine learning) et au développement de solutions biométriques. En effet, chaque utilisateur a sa propre façon de taper un mot de passe sur un clavier par exemple, ou de faire bouger une souris d’ordinateur. En véritables graphologues de clavier, les PAM vont permettre de détecter les comportements inhabituels et donc d’alerter ou de bloquer un compte en cas de suspicion de compromission d’identité.

Notons également que si elles peuvent parfois être vues comme des outils de surveillance, les solutions PAM sont aussi un moyen de dédouaner les utilisateurs en cas de problème.

La lutte contre l’usurpation d’identité doit s’appréhender de façon globale dans les entreprises. Il est essentiel que tous les acteurs utilisent des solutions d’authentification multi-facteurs, et soient sensibilisés aux méthodes d’attaques grâce à des formations régulières. Pour les cibles les plus critiques, aka les administrateurs, l’audit des modifications de l’architecture se doit d’être renforcé, et les protocoles d’accès scrutés à la loupe !

Par Benjamin Miserey, Vendor Manager