Au début du mois d'octobre 2023, un important fournisseur d'analyses ADN a été victime d'une attaque classique de credential stuffing. Vous vous souvenez peut-être qu'une attaque de credential stuffing se produit lors de la tentative de connexion à un système à l'aide des identifiants qui ont été compromis lors d'une autre attaque. Ce type d'attaque existe depuis longtemps parce qu'il fonctionne toujours. Chaque personne qui utilise le même mot de passe pour plusieurs comptes peut contribuer à ce type d'attaque.
L'attaque en question aurait touché environ 14 000 comptes d'utilisateurs. Grâce à ces 14 000 comptes, les pirates ont obtenu des informations sensibles sur environ 6,9 millions de personnes qui utilisaient les fonctionnalités de partage facultatives de la plateforme. Ce chiffre représente près de la moitié de la clientèle de la société. Les données exposées lors de la violation comprenaient des noms, des dates de naissance, des relations et des pourcentages d'ADN avec d'autres personnes, des informations généalogiques et la localisation.
La société semble avoir été victime d'au moins deux attaques depuis août 2023 lorsqu'un hacker a annoncé la vente de 300 téraoctets de données sur un forum de cybercriminalité. L'acteur malveillant « Golem » a revendiqué l'attaque d'octobre et a publié plusieurs séries de données sur un forum distinct. TechCrunch a étudié les deux ensembles de données et a trouvé des enregistrements correspondants.
Première étape : l'entreprise avant tout.
Les gens réutilisent leurs mots de passe depuis toujours parce que mémoriser des dizaines, des douzaines voire des centaines de mots de passe est pénible. De nombreuses entreprises ont été victimes de ces attaques, notamment PayPal, Chick-fil-A, Norton et Disney+. La semaine dernière, le géant des télécommunications Orange Spain a perdu le contrôle de 50 % de son trafic lorsque son registre Internet régional qui gère ses adresses IP a été violé. Le registre, RIPE, est fréquemment la cible d'attaques de credential stuffing, car les mots de passe sont très peu sécurisés. Les attaques de ce type sont courantes, et elles le resteront jusqu'à ce que tout le monde dispose d'une défense contre elles ou que nous résolvions le problème des mots de passe.
Ce qui est inhabituel, c'est que la première réaction de la société d'ADN a été de modifier ses conditions générales pour y inclure la clause d'arbitrage obligatoire. En bref, la société a modifié les conditions générales, passant d'un arbitrage obligatoire à un arbitrage INDIVIDUEL obligatoire. Cette mesure vise à empêcher les victimes individuelles de collaborer contre la société. Extrait de la version révisée des conditions générales :
« … si vous êtes représentée par un avocat, ce dernier peut participer à la conférence, mais vous y participerez également. La conférence doit être personnalisée de telle sorte qu'une conférence distincte doit être organisée chaque fois que l'une des parties initie un litige, même si le même cabinet d'avocats ou le même groupe de cabinets d'avocats représente plusieurs utilisateurs dans des affaires similaires, sauf si toutes les parties sont d'accord ; plusieurs personnes à l'origine d'un litige ne peuvent pas participer à la même conférence sans l'accord de toutes les parties. »
(mon accentuation en gras)
Une violation est déjà suffisamment douloureuse pour les victimes dont les données ont été exposées. Toutes les entreprises s'efforcent de limiter les dégâts après une attaque, mais la plupart d'entre elles font preuve d'une certaine empathie à l'égard des victimes. En revanche, cette entreprise n'a fait que rendre les choses plus difficiles, plus fastidieuses et plus inconfortables pour les victimes. Il s'agit d'une tentative flagrante de réduire le nombre de plaintes déposées contre la société, et cela ne fait qu'aggraver les choses pour les personnes touchées par cette violation. Quelle que soit l'intention, elle n'a rien fait pour mettre fin à la vague de procès intentés contre la société.
Deuxième étape : accuser les victimes.
La mesure la plus intéressante et la plus mesquine prise par la société est d'accuser directement ses clients d'être à l'origine de la violation.
« … les utilisateurs ont utilisé les mêmes noms d'utilisateur et mots de passe que ceux qui avaient déjà fait l'objet de failles de sécurité, et les utilisateurs ont recyclé leurs mots de passe par négligence et n'ont pas mis à jour leurs mots de passe à la suite de ces derniers incidents de sécurité. »
Ces propos sont tirés d'une réponse écrite à une action collective intentée par les victimes individuelles. Il n'est pas rare qu'une entreprise se protège, mais il est inhabituel de pointer directement du doigt les victimes de manière aussi spécifique. Vous pouvez lire la lettre ici et le billet de blog ici. Ces deux documents disent aux victimes : « Vous n'auriez pas dû faire ça, donc ce n'est pas de notre faute ». La culpabilisation des victimes dans toute sa splendeur.
Tous ceux qui utilisent un mot de passe savent que les gens réutilisent leurs mots de passe. C'est pourquoi il existe un marché pour des entreprises comme Keeper, Dashlane et Have I Been Pwned (HIBP). C'est pourquoi la gestion des identités est une activité de plusieurs milliards de dollars. Il n'y a tout simplement aucune excuse pour qu'une société valant des centaines de millions de dollars ne règle pas l'un des problèmes les plus fondamentaux de sécurité informatique.
Le modèle de sécurité partagée dont nous avons parlé ces dernières années à propos d'AWS et d'Azure ne s'applique pas uniquement aux fournisseurs de clouds publics. Toutes les entreprises ont la responsabilité d'inclure des mesures de sécurité adéquates dans leurs processus d'authentification. Il peut tout simplement s'agir d'ajouter une authentification multifactorielle (MFA), l'utilisation de mots de passe à usage unique ou l'envoi de liens secrets (liens magiques) à un e-mail appartenant à l'utilisateur. Pour illustrer la méthode du lien secret, prenons l'exemple de la plateforme de communication Slack. Lorsqu'un utilisateur tente de se connecter à Slack, il reçoit un lien de vérification (lien magique) dans l'e-mail qu'il a enregistré. L'utilisateur n'a pas besoin de mot de passe pour Slack s'il a accès à son propre compte de messagerie enregistré. Cela protège le compte Slack contre le credential stuffing et facilite grandement la tâche d'un utilisateur qui en a marre de créer et mémoriser de nouveaux mots de passe.
Aucune mesure de protection supplémentaire n'a été mise en place pour les clients de cette société. Même une simple intégration avec HIBP ou un fournisseur similaire aurait pu alerter l'utilisateur lorsqu'il créait son compte ou se connectait ultérieurement en lui disant « Votre mot de passe a été piraté. Veuillez ne pas réutiliser ce mot de passe ». C'est particulièrement choquant compte tenu du type de données sensibles dont ils disposent.
« La décision d'accuser les victimes a suscité une presse négative, a esquivé les responsabilités et n'a fait preuve d'aucune compassion à l'égard des personnes touchées. Bien que le service juridique de l'entreprise soit probablement à l'origine de cette décision, le ton de la lettre risque d'irriter les clients et de susciter des réactions négatives. En fin de compte, dans de nombreux cas, la personne moyenne ne sait pas que son mot de passe a été compromis ailleurs. Il incombe à une organisation de s'assurer que ses mesures de sécurité sont suffisamment solides pour atténuer tout risque pour l'utilisateur final. Le fait de minimiser publiquement le risque et de détourner la responsabilité constitue sans aucun doute une mauvaise opération de relations publiques. » ~ Yvonne Eskenzi, citée dans The Register
Troisième étape : autres choses stupides
L'entreprise s'en prend une nouvelle fois aux victimes en affirmant que les données volées n'ont causé aucun préjudice. Il s'agit de données ADN, ce qui rend cette déclaration à la fois ridicule et personnellement offensante. Peu après la violation initiale, « 1 million de données concernant exclusivement les Juifs ashkénazes » ont été proposés à la vente ainsi que des données sur des personnes d'origine chinoise et d'autres données identifiant les utilisateurs comme étant « principalement européens » ou « principalement arabes ». Ces données peuvent certainement être utilisées comme armes par des groupes haineux et il est irresponsable de dire que cette fuite ne peut pas faire de mal.
D'autres problèmes se posent également, notamment le fait que l'activité des utilisateurs n'a pas été suivie. La sécurité des applications utilise des métriques telles que les métadonnées de connexion de l'utilisateur, le comportement de l'utilisateur, les pages visitées, etc. Ces données permettent aux outils et aux équipes de sécurité de comprendre les comportements normaux et anormaux. Dans ce cas, seuls 14 000 comptes sur quelques millions ont été compromis, mais les anomalies auraient probablement permis d'alerter sur une éventuelle attaque. Une détection précoce de l'attaque aurait permis de réduire le nombre de victimes individuelles, car le pirate n'aurait pas eu le temps de voler autant de données. Tout doit être surveillé et compris pour que les équipes de sécurité puissent mettre en place des techniques de détection et prévenir ces attaques.
Le credential stuffing existe depuis toujours et elle va s'aggraver à mesure que les acteurs malveillants auront accès à des bases de données plus récentes et plus volumineuses. Les utilisateurs continueront à réutiliser leurs mots de passe et l'un des meilleurs moyens d'éviter cela est d'avoir une intégration avec un tiers comme HIBP ou la protection des mots de passe Barracuda Application Protection, qui peut identifier et bloquer la création de comptes compromis.
D'autres mécanismes doivent également être mis en place, en particulier lorsque plusieurs services communiquent entre eux. Dans ce cas, les 14 000 comptes piratés ont permis d'accéder aux données de plusieurs millions d'utilisateurs. Ce type de système nécessite une relation zero trust ou une autre relation de protection dans laquelle l'accès aux données est contrôlé, suivi et bloqué lorsque des comportements anormaux sont détectés.
Barracuda Application Protection inclut la protection des comptes privilégiés, qui surveille et apprend les habitudes des connexions entrantes et des modifications de compte. Cette fonctionnalité alerte les équipes de sécurité lorsque des comportements anormaux sont détectés. Les équipes peuvent alors examiner ces comportements et en rechercher la cause. C'est ainsi que vous identifiez et bloquez les attaques faibles et lentes comme cette violation de credential stuffing.
Les pirates ne sont pas stupides. Ils ne vont pas attaquer à l'aide d'un seul bot ou d'un seul utilisateur qui utilise un vidage de mot de passe et qui attaque à partir d'une seule adresse IP. Ces attaques sont automatisées et fonctionnent grâce à des dizaines de milliers de dispositifs répartis sur des dizaines de milliers d'adresses IP. Vous avez besoin d'une protection robuste contre le credential stuffing et d'autres attaques d'applications.
Dans toute entreprise, la protection de vos utilisateurs est toujours très importante, et probablement plus que toute autre chose. En cas de violation des données des utilisateurs par votre entreprise, vous pouvez être confronté à de lourdes amendes et autres sanctions réglementaires. Vous pourriez faire face à des poursuites judiciaires coûteuses qui s'étendent sur plusieurs années. La réputation de votre marque et l'avenir de votre activité sont menacés après une violation de données. Vous le savez probablement déjà. Cette société d'ADN le savait aussi.
La protection des identifiants des utilisateurs est une responsabilité partagée. La part de responsabilité de l'entreprise est de réduire autant que possible la surface d'attaque des violations. Cela signifie appliquer la MFA, surveiller les anomalies et déployer un mécanisme qui protège les comptes contre les identifiants compromis au moment de la création et lors de toutes les tentatives de connexion ultérieures. Ce ne sont là que quelques-unes des nombreuses mesures que vous pouvez prendre pour protéger vos clients et votre entreprise. C'est la responsabilité de l'entreprise. En aucun cas, une entreprise ne doit ignorer les meilleures pratiques et ensuite punir les victimes en cas de violation.
Par Tushar Richabadas
Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.
Retour