Qu'est-ce qu'une attaque Pass-the-Hash (PtH) ?
Une cyberattaque pass-the-hash consiste à voler un mot de passe aux administrateurs et à l'utiliser pour obtenir un accès non autorisé à un réseau. Dans ce type d'attaque, il n'est pas nécessaire de voler ou de craquer un mot de passe, puisque seul le hachage du mot de passe est nécessaire pour obtenir un accès au sein d'un réseau et de ses systèmes.
Qu'est-ce que le hachage d'un mot de passe ?
Pour comprendre le fonctionnement d'une attaque pass-the-hash, il faut d'abord définir ce qu'est exactement le hachage de mot de passe. Le hachage d'un mot de passe est un algorithme à sens unique qui transforme un mot de passe en clair en une chaîne aléatoire de lettres et de chiffres qui ne peut pas être inversée ou décodée pour révéler le mot de passe réel.
Le hachage des mots de passe renforce la sécurité puisque les mots de passe en clair ne sont plus stockés sur un serveur. Avec cette méthode, seul l'utilisateur final connaît ses mots de passe en clair.
Comment fonctionne une attaque Pass-the-Hash ?
Une attaque pass-the-hash commence lorsqu'un pirate compromet la machine d'un administrateur. Pour ce faire, il infecte souvent sa machine avec un malware par le biais de techniques d'ingénierie sociale. Par exemple, un administrateur reçoit un e-mail d'hameçonnage l'invitant à cliquer sur une pièce jointe ou un lien. S'il clique sur le lien ou la pièce jointe, le malware peut se télécharger immédiatement à son insu.
Une fois le malware installé sur la machine de l'administrateur, le pirate récupère les hachages de mots de passe stockés sur la machine. Avec un seul hachage de mot de passe appartenant au compte d'un utilisateur privilégié, les pirates peuvent contourner le protocole d'authentification du réseau ou du système. Une fois qu'un pirate a contourné l'authentification, il peut accéder à des informations confidentielles et se déplacer latéralement dans un réseau pour accéder à d'autres comptes privilégiés.
Qui est le plus vulnérable aux attaques pass-the-hash ?
Les ordinateurs Windows sont les plus sensibles aux attaques pass-the-hash en raison d'une vulnérabilité dans les hachages NTLM (Windows New Technology Local Area Network Manager). NTLM est un ensemble de protocoles de sécurité proposé par Microsoft qui fait office de solution d'authentification unique (SSO), utilisée par de nombreuses entreprises.
Cette vulnérabilité NTLM permet aux acteurs malveillants d'exploiter des comptes de domaine compromis en disposant uniquement du hachage du mot de passe, sans jamais avoir besoin du mot de passe réel.
Comment atténuer les attaques pass-the-hash
Investissez dans une solution de gestion des accès privilégiés (PAM)
La gestion des accès privilégiés consiste à sécuriser et à gérer les comptes qui ont accès à des systèmes et à des données très sensibles. Les comptes privilégiés comprennent notamment les systèmes de paie, les comptes administrateurs informatiques et les systèmes d'exploitation, pour n'en citer que quelques-uns.
Les solutions PAM aident les entreprises à sécuriser et à gérer l'accès aux comptes privilégiés en s'appuyant sur le principe de moindre privilège (PoLP). Le PoLP est un concept de cybersécurité selon lequel les utilisateurs ont un accès juste suffisant aux données et aux systèmes dont ils ont besoin pour faire leur travail, ni plus ni moins. En adoptant une solution PAM, les entreprises s'assurent que les utilisateurs n'ont accès qu'aux comptes dont ils ont besoin grâce à des contrôles d'accès basés sur les rôles (RBAC). Les entreprises peuvent également imposer l'utilisation de mots de passe forts et l'authentification multifacteur (MFA) pour sécuriser davantage les comptes et les systèmes.
Effectuez une rotation régulière des mots de passe
La rotation régulière des mots de passe peut contribuer à atténuer le risque d'une attaque pass-the-hash, car elle réduit la durée de validité d'un hachage volé. Les meilleures solutions PAM sont globales et proposent une fonction de rotation des mots de passe que vous pouvez activer.
Appliquez le principe du zero trust
Le zero trust est un cadre qui part du principe que tous les utilisateurs ont été compromis, qui les oblige à confirmer en permanence leur identité et qui limite leur accès aux systèmes et aux données du réseau. Au lieu de faire implicitement confiance à tous les utilisateurs et appareils d'un réseau, le modèle zero trust ne fait confiance à personne et part du principe que tous les utilisateurs sont potentiellement compromis.
Le zero trust peut contribuer à réduire les risques de cybersécurité, à minimiser la surface d'attaque d'une entreprise et à renforcer le contrôle de l'audit et de la conformité. Grâce au zero trust, les administrateurs informatiques disposent d'une visibilité totale sur l'ensemble des utilisateurs, des systèmes et des appareils. Ils peuvent voir qui se connecte au réseau, d'où ils se connectent et à quoi ils accèdent.
Effectuez régulièrement des tests de pénétration
Également connus sous le nom de tests d'intrusion, les tests de pénétration consistent à simuler une cyberattaque contre les réseaux, les systèmes et les appareils d'une entreprise. En effectuant régulièrement ce type de tests, les entreprises peuvent déterminer où se trouvent leurs vulnérabilités afin de les corriger avant qu'elles ne soient exploitées par des pirates.
Protégez votre entreprise des attaques pass-the-hash avec KeeperPAM®
KeeperPAM est une solution de gestion des accès privilégiés de nouvelle génération qui combine le gestionnaire de mots de passe Enterprise (EPM), Keeper Secrets Manager (KSM) et Keeper Connection Manager (KCM) de Keeper dans une seule plateforme unifiée pour protéger votre entreprise contre les cyberattaques.