Blog WatchGuard

Savoir d’où proviennent les tentatives d’accès, une des clés de la MFA

Les cyberattaques dans le domaine de la géopolitique jouent un rôle toujours plus important. 2020 a été une année intense, au cours de laquelle la pandémie a été mise à profit dans le cadre de campagnes de désinformation et des incidents graves ont été causés par des groupes liés à des puissances étrangères. 2021 a également connu son lot d’incidents marquants comme lorsque le gouvernement allemand a révélé disposer d’« informations fiables » selon lesquelles les récentes cyberattaques menées contre des États membres de l’Union européenne étaient l’œuvre d’« acteurs » liés à la GRU et à l’agence de renseignements russe.

Cette cyber-campagne, nommée « Ghostwriter » ciblait « de nombreux membres du parlement, des officiels du gouvernement, des politiciens, des membres de la presse et de la société civile dans l’UE » si l’on en croit un article de presse publié par le Conseil Européen. Les pirates informatiques utilisaient l’hameçonnage par email pour obtenir des identifiants, accéder aux systèmes et voler des informations. 

Groupes de menaces persistantes avancées (APT)

Dans un tel contexte, la protection des identifiants de l’utilisateur prend une importance encore plus grande. Il y a quelques semaines, nous indiquions que le nombre de mots de passe professionnels ayant fait l’objet de fuites sur le Dark Web a augmenté de 429 % depuis mars dernier.

Mais au-delà de ces fuites massives dans lesquelles des cyber-acteurs malveillants mettent en vente de grandes quantités de données, les cas tels que Ghostwriter démontrent que les groupes APT ciblés et liés à un État représentent également un risque sérieux pour la sécurité des identifiants d’une organisation.

Ces pirates informatiques disposent des ressources nécessaires pour enquêter sur leurs victimes potentielles et leurs environnements de travail de façon individuelle. Une fois cette recherche préliminaire effectuée, ils utilisent des méthodes d’ingénierie sociale telles que le spear phishing, qui leur permettent de tromper leurs cibles en simulant l’identité d’autres collègues, du service informatique ou même de leurs supérieurs (dans la fraude dite au Président). Grâce à cette méthode, ils parviennent à les induire en erreur pour obtenir leurs identifiants, même si les utilisateurs sont habitués aux pratiques de cybersécurité.

Comme ces menaces sophistiquées proviennent de l’étranger, il est légitime de se demander comment les entreprises et les états peuvent se protéger pour lutter contre les failles et les cyberattaques provenant de lieux spécifiques. L’une des réponses à cette question est l’authentification multifacteur avec géolocalisation. 

MFA avec stratégies de risques liés au géo-repérage

Les politiciens, fonctionnaires et autres personnes affectées par la campagne Ghostwriter auraient pu éviter cet incident si leurs organisations avaient déployé des outils de cybersécurité fournissant des mesures de géo-repérage contre les tentatives venant de Russie, étant donné leur historique.

Cependant, ces mesures de géo-repérage doivent être combinées à des solutions d’authentification multifacteur (MFA) avancées offrant des capacités d’authentification basée sur les risques afin d’assurer que quiconque saisit les identifiants pour se connecter au système est bien un utilisateur ou un employé légitime.

À cet égard, WatchGuard AuthPoint fournit une couche de sécurité avancée qui détermine des facteurs lors de la prise de décisions d’authentification grâce à l’authentification dite « risk-based ». Par exemple, les administrateurs peuvent activer les stratégies de risque lié au géo-repérage (très facilement grâce à WatchGuard Cloud) pour vérifier que l’accès n’a lieu que depuis des emplacements autorisés, même s’il provient d’appareils apparemment légitimes.

Le point positif de l’authentification basée sur les risques est qu’elle tient compte des facteurs de risque pour prendre une décision d’authentification. Elle va au-delà de l’authentification statique en permettant aux administrateurs de créer des règles qui peuvent modifier le comportement d’authentification, parfois en le facilitant lorsque le risque est faible, ou en requérant des étapes supplémentaires pour vérifier qu’il s’agit du bon utilisateur. En outre, elle permet de bloquer l’accès si le risque est trop élevé, même si l’utilisateur a renseigné le bon mot de passe à usage unique sécurisé (OTP).

Une valeur ajoutée avérée

Les partenaires WatchGuard proposent à leurs clients une sécurité améliorée lors de leurs processus d’authentification grâce à des notifications push incluant la géolocalisation. Cela permet aux administrateurs comme aux utilisateurs de savoir avec précision d’où vient la demande. Cela réduit considérablement la probabilité de permettre l’accès à leurs systèmes à des groupes APT étrangers, même s’ils étaient déjà parvenus à obtenir des identifiants précédemment.

À partager :