Une attaque par usurpation d'identité est une tentative d'accès non autorisé à des systèmes d'information en se faisant passer pour un utilisateur autorisé. Ces attaques basées sur l'identité ciblent et compromettent spécifiquement les identités numériques des individus ou des organisations, en exploitant les vulnérabilités liées à la gestion des identités et des accès pour voler des informations telles que des noms d'utilisateur, des mots de passe ou des données personnelles, commettre des fraudes ou mener d'autres activités malveillantes.
Selon le Security Magazineil y a eu une augmentation stupéfiante de 131 % des usurpations d'identité entre le premier trimestre 2020 et le premier trimestre 2021, 55 % des professionnels de la cybersécurité affirmant qu'un cadre de leur entreprise a été usurpé. En outre, le rapport 2023 "Trends in Securing Digital Identities" (Tendances en matière de sécurisation des identités numériques) rapport de l'Identity Defined Security Alliance (IDSA) a révélé que 90 % des organisations ont subi au moins une violation liée aux identités numériques au cours de l'année écoulée. Ces attaques ont coûté aux entreprises 1,8 milliard de dollars de pertes rien que l'année dernière, et le fait de ne pas protéger les données des clients peut entraîner de lourdes amendes réglementaires et des litiges coûteux, comme le montre le règlement de 575 millions de dollars conclu par Equifax à la suite d'une violation.
Le problème est si répandu qu'un courriel sur 3 226 reçus (une fois tous les 24 jours) par un cadre est une tentative d'usurpation d'identité.
Dans cet article, nous exposons tout ce que vous devez savoir sur les attaques par usurpation d'identité, leurs types, comment les détecter et comment défendre votre organisation contre elles.
Points clés à retenir
- Les attaques par usurpation d'identité, l'une des principales formes de cybermenaces basées sur l'identité, utilisent l'ingénierie sociale pour imiter des entités de confiance afin d'obtenir un accès non autorisé ou de commettre une fraude.
- Touchant récemment 90 % des organisations, ces attaques posent d'importants risques financiers, juridiques et de réputation, et requièrent une attention urgente.
- Les tactiques vont de l'usurpation d'adresse électronique et des faux domaines (phishing) à l'exploitation de mots de passe réutilisés (credential stuffing) et à l'interception de communications (MitM).
- La vigilance à l'égard des signes suspects (urgence, demandes bizarres, courriels erronés) et une solide formation des utilisateurs sont des premières lignes de défense essentielles.
- Une défense technique multicouche, comprenant une authentification forte (MFA), la vérification du courrier électronique (DMARC), des correctifs réguliers et éventuellement un modèle de confiance zéro, est essentielle pour la protection.
Qu'est-ce qu'une attaque par usurpation d'identité ?
Une attaque par usurpation d'identité est une forme d'ingénierie sociale dans laquelle un attaquant se fait passer pour quelqu'un d'autre ou se fait passer pour un utilisateur légitime (ou un groupe d'utilisateurs), afin d'accéder à des informations qu'il n'est pas autorisé à détenir, de voler des données liées à l'identité, de commettre une fraude ou de mener d'autres activités malveillantes.
Dans ce type d'attaque, le pirate utilise souvent des techniques d'ingénierie sociale, manipulant la psychologie humaine et la confiance, pour obtenir des informations sur le système et/ou la cible, par exemple en se faisant passer pour un membre du service informatique et en demandant les identifiants de connexion. Ces attaques sont de plus en plus sophistiquées et font appel à des techniques avancées et à la collecte de renseignements ciblés.
Les attaques par usurpation d'identité peuvent se produire en personne, par téléphone ou en ligne. Et peuvent être catastrophiques si elles ne sont pas détectées.
Protégez-vous contre les attaques par usurpation d'identité avec PowerDMARC !
Comment se déroule une attaque par usurpation d'identité ?
On parle d'usurpation d'identité lorsqu'un acteur malveillant se fait passer pour un utilisateur ou un service légitime afin d'accéder à des informations protégées. Les attaques par usurpation d'identité sont faciles à réaliser et peuvent être très préjudiciables, en fonction du type de données que l'attaquant tente d'obtenir, ce qui peut entraîner d'importantes pertes financières ou une atteinte à la réputation.
Tout ce qu'un attaquant doit faire, c'est rassembler suffisamment d'informations sur un utilisateur ou un service légitime pour faire croire aux autres qu'il est bien celui qu'il prétend être. L'attaquant tentera ensuite d'amener sa ou ses cibles à révéler des informations sensibles qui seraient autrement protégées par des mesures de sécurité.
Dans de nombreux cas, les attaquants utilisent le courrier électronique ou d'autres formes de communication pour tenter des attaques par usurpation d'identité. Ils envoient des courriels en se faisant passer pour quelqu'un d'autre (spoofing), ce qui peut inclure des courriels d'hameçonnage contenant des liens qui téléchargent des logiciels malveillants sur le système d'un utilisateur peu méfiant.
Une autre méthode utilisée par les attaquants est connue sous le nom de "whaling" ; elle consiste à usurper l'identité d'un directeur ou d'un propriétaire et à envoyer des courriels demandant aux employés de transférer des fonds ou de fournir d'autres informations sensibles. Comme l'e-mail semble provenir d'une personne faisant autorité, de nombreux employés suivent les instructions sans poser de questions.
Comment les attaques par usurpation d'identité sont-elles planifiées ?
Afin de créer un plan pour une attaque par usurpation d'identité, les pirates doivent d'abord rassembler des informations sur leur cible. Ils utiliseront souvent des informations accessibles au public, comme les profils sur les médias sociaux et les informations accessibles au public sur le site Web de l'entreprise. Les pirates peuvent utiliser ces informations pour créer un personnage réaliste et commencer à interagir avec les employés de l'entreprise cible.
Le pirate contactera les employés en utilisant des méthodes conformes à ce que l'on attend de ce personnage. Le pirate peut envoyer des courriels, des SMS ou des appels aux employés en utilisant une fausse adresse électronique professionnelle ou un faux numéro de téléphone qui correspond le plus possible à l'adresse électronique ou au numéro de téléphone réel de l'entreprise - la différence est là, mais elle est presque invisible à l'œil nu.
L'employé a ainsi le sentiment d'interagir avec une personne connue dans son organisation.
Voici un exemple d'usurpation d'identité par courriel : Comme vous pouvez le voir ci-dessus, les différences entre les deux e-mails sont subtiles et faciles à manquer, surtout si vous recevez des centaines d'e-mails par jour. |
Une fois que le pirate a gagné la confiance de l'employé, il lui envoie un courriel qui semble provenir d'une source authentique de l'entreprise. Ces courriels contiennent souvent des liens vers des sites web qui demandent des informations personnelles ou exigent une action de la part de l'employé (par exemple, le téléchargement de fichiers). Ces sites web et ces fichiers sont infectés par des logiciels malveillants qui permettent aux pirates d'accéder aux données, de voler des informations personnelles ou d'introduire d'autres cyberattaques sur le réseau de l'entreprise.
Les fausses adresses d'expéditeur de ce type sont rejetées par une politique stricte de DMARCque vous pouvez utiliser pour vos courriels afin de rester protégé contre les attaques par usurpation d'identité.
Quelques tactiques courantes d'attaque par usurpation d'identité
Les attaquants peuvent tenter de se faire passer pour vous ou pour quelqu'un que vous connaissez de plusieurs façons. Voici quelques tactiques courantes :
1. Attaque gratuite de compte de messagerie
L'attaquant utilise un service de messagerie gratuit pour envoyer des messages à partir d'une adresse électronique similaire à celle utilisée par la cible. Cette tactique peut être utilisée pour convaincre les gens de visiter un site web malveillant, de télécharger un logiciel malveillant ou de fournir des informations telles que des mots de passe ou des numéros de carte de crédit.
2. Attaque du domaine des cousins
Dans le cas de l'attaque par domaine cousin, l'attaquant crée un site Web qui semble presque identique à celui de votre banque, mais qui se termine par .com au lieu de .org ou .net, par exemple. Il envoie ensuite des courriels à partir de ce faux site : lorsque les gens cliquent sur les liens contenus dans ces courriels, ils sont dirigés vers le faux site au lieu du site de leur vraie banque.
3. Attaque de l'expéditeur d'une fausse enveloppe
L'attaquant crée un courrier électronique avec une adresse d'expéditeur qui semble provenir d'une entreprise connue, telle que "[email protected]". Comme cette adresse semble légitime, elle contourne les filtres de la plupart des serveurs de messagerie. L'attaquant cible ensuite les victimes avec son message, les incitant à cliquer sur des liens ou à ouvrir des pièces jointes qui permettent aux logiciels malveillants d'infecter leur ordinateur.
4. Attaque de l'expéditeur d'un faux en-tête
Une attaque contre l'expéditeur de l'en-tête est un type d'usurpation de courrier électronique qui peut être utilisé pour faire croire qu'un message a été envoyé par quelqu'un d'autre que sa véritable source. Dans ce type d'attaque, le champ "expéditeur" de l'en-tête d'un courriel est modifié pour inclure une adresse autre que celle qui a réellement envoyé le message. Cela peut se faire en modifiant soit le champ "From :", soit le champ "Return-Path :", soit les deux. Le but de ces attaques est de faire croire qu'un courriel a été envoyé par quelqu'un d'autre, par exemple un associé ou un ami, afin d'inciter les destinataires à ouvrir les messages d'une personne qu'ils connaissent.
5. Attaque de compte de messagerie compromis
Dans cette attaque, un attaquant obtient l'accès à un compte de messagerie légitime et utilise ensuite ce compte pour envoyer des courriels et des messages à d'autres personnes de l'organisation. L'attaquant peut prétendre être un employé ayant des connaissances ou une autorité particulières, ou se faire passer pour une autre personne ayant des connaissances ou une autorité particulières.
6. Attaque de fraude du PDG
Dans cette attaque, les attaquants se font passer pour le PDG d'une entreprise et tentent de convaincre les employés ou les clients qu'ils doivent accéder à des informations sensibles. L'attaquant utilise souvent des techniques d'ingénierie sociale, comme des courriels ou des appels téléphoniques de phishing, pour faire croire qu'il appelle depuis le service informatique de votre entreprise. Il utilisera souvent un langage spécifique à votre secteur ou à votre entreprise pour paraître plus légitime et digne de confiance tout en demandant des informations sensibles comme des mots de passe ou des numéros de carte de crédit.
7. Attaque de l'homme du milieu (MITM)
Ce type d'attaque implique que l'attaquant intercepte vos communications avec un service légitime et les relaie ensuite au service légitime comme si elles venaient de vous. De cette façon, l'attaquant peut écouter votre communication, la modifier ou l'empêcher complètement.
8. Remplissage de lettres de créance
Cette attaque exploite la pratique courante qui consiste à réutiliser les mots de passe sur plusieurs services en ligne. Les attaquants se procurent des listes de noms d'utilisateur et de mots de passe volés lors de précédentes violations de données (souvent disponibles sur le dark web) et essaient systématiquement ces identifiants sur d'autres sites web ou systèmes. Si un utilisateur a réutilisé son mot de passe, le pirate obtient un accès non autorisé. La violation de données de Target en 2013, qui a compromis les données de plus de 41 millions de consommateurs et a donné lieu à un règlement de 18,5 millions de dollars, a été facilitée par des attaquants qui ont utilisé des identifiants volés pour accéder au système d'un fournisseur connecté.
Comment reconnaître une attaque d'usurpation d'identité ?
Un sentiment d'urgence : L'attaquant peut inciter le destinataire à agir immédiatement (par exemple en initiant un virement immédiat, faute de quoi son compte sera définitivement bloqué) en utilisant un ton urgent dans ses courriels. Cela pousse les victimes à agir sans réfléchir.
La confidentialité : L'attaquant peut indiquer que les informations qu'il demande doivent rester privées, ce qui implique que leur divulgation pourrait avoir de graves conséquences.
Demande de partage d'informations sensibles : L'attaquant peut vous demander des informations que seule votre banque connaît, comme votre numéro de compte ou votre mot de passe. Il peut également vous demander de partager les informations d'identification de votre entreprise, qui sont des informations privées auxquelles vous êtes le seul à avoir accès. Cela lui permettrait d'accéder aux bases de données de votre entreprise et de divulguer des informations sensibles.
Adresses électroniques modifiées : Par exemple, si vous recevez un courriel d'une personne prétendant appartenir à "Amazon" et vous demandant de vous connecter et de mettre à jour les informations de votre compte, mais que l'adresse électronique est en fait "[email protected]", il peut s'agir d'une attaque par usurpation d'identité.
Courriels mal rédigés : Les courriels de phishing sont mal rédigés, avec souvent des fautes d'orthographe et de grammaire, car ils sont généralement générés en masse.
Présence de liens ou de pièces jointes malveillants : Les liens et pièces jointes malveillants sont un moyen courant de mener une attaque par usurpation d'identité. Ces types d'attaques peuvent être identifiés par la présence de :
- Liens qui s'ouvrent dans un nouvel onglet au lieu de l'onglet actuel.
- Les pièces jointes dont le titre ou l'extension de fichier est étrange (comme "pièce jointe" ou ".zip").
- Les pièces jointes contenant un fichier exécutable (comme .exe).
Se protéger contre l'usurpation d'identité
La prévention des attaques basées sur l'identité, comme l'usurpation d'identité, nécessite une approche à plusieurs niveaux combinant la sensibilisation des utilisateurs et les contrôles techniques.
1. Formation à la cybersécurité : Les entreprises doivent être conscientes que la formation à la cybersécurité est essentielle. Cette formation doit porter sur les points suivants
- Comment les attaquants peuvent se faire passer pour des utilisateurs et accéder aux systèmes.
- Comment reconnaître les signes indiquant que quelqu'un essaie de se faire passer pour vous afin de pouvoir agir avant que des dommages ne soient causés.
- Comprendre l'importance des contrôles préventifs
2. Authentification forte : Mettre en œuvre des méthodes d'authentification robustes.
- Authentification multifactorielle (MFA) : Activez l'authentification multifactorielle chaque fois que cela est possible. Elle exige des utilisateurs qu'ils fournissent au moins deux facteurs de vérification (par exemple, un mot de passe plus une OTP, une réponse biométrique ou une question de sécurité), ce qui entrave considérablement l'accès non autorisé, même en cas de vol des informations d'identification.
- Pratiques en matière de mots de passe forts : Encourager les utilisateurs à créer des mots de passe complexes et uniques pour différents comptes. Promouvoir l'utilisation de gestionnaires de mots de passe réputés pour générer et stocker des mots de passe forts en toute sécurité. Éviter les modèles faciles à deviner.
3. Sécurité du courrier électronique: Protégez votre principal canal de communication.
- Protection du domaine : Le domaine de messagerie de l'entreprise doit être protégé contre l'usurpation d'identité. Utilisez un domaine spécifique à votre entreprise (par exemple, "@votreentrepriseici.com") plutôt que des fournisseurs génériques comme "@gmail.com".
- Mise en œuvre de DMARC: Mettre en œuvre des protocoles d'authentification du courrier électronique tels que DMARC (Domain-based Message Authentication, Reporting & Conformance). DMARC permet aux propriétaires de domaines de spécifier comment les serveurs de messagerie destinataires doivent traiter les courriels qui échouent aux contrôles SPF (Sender Policy Framework) ou DKIM (DomainKeys Identified Mail), ce qui permet de bloquer les courriels usurpés. L'application d'une politique DMARC stricte (p=reject ou quarantine) empêche l'utilisation non autorisée de votre domaine dans les attaques de phishing et d'usurpation d'identité.
- Filtrage du courrier électronique : Utiliser des solutions avancées de sécurité du courrier électronique capables de détecter les liens suspects, les pièces jointes et les anomalies de l'expéditeur.
4. Sécurité des systèmes et des logiciels : Maintenir un environnement informatique sécurisé.
- Mises à jour régulières et gestion des correctifs : Maintenir les systèmes d'exploitation, les applications et les logiciels de sécurité à jour avec les derniers correctifs de sécurité afin de corriger les vulnérabilités connues exploitées par les attaquants.
- Solutions de sécurité : Installez et maintenez à jour un logiciel antivirus/anti-malware réputé et envisagez de mettre en place des systèmes de détection d'intrusion (IDS) pour surveiller toute activité suspecte sur le réseau.
- Éliminer progressivement les anciens systèmes : Remplacer les systèmes obsolètes qui peuvent présenter des vulnérabilités non corrigées ou des contrôles de sécurité faibles, car ils sont souvent la cible des attaquants.
5. Protection des données : Protéger les informations sensibles.
- Chiffrement des données : Cryptez les données sensibles lorsqu'elles sont stockées (au repos) et lorsqu'elles sont transmises (en transit) afin de les protéger même si elles sont interceptées.
6. Adopter un modèle de confiance zéro : Mettre en œuvre une sécurité de confiance zéro qui part du principe qu'aucun utilisateur ou appareil n'est intrinsèquement digne de confiance. L'accès est accordé sur la base d'une vérification continue et du principe du moindre privilège, ce qui minimise l'impact potentiel d'une identité compromise.
En mettant en œuvre ces mesures préventives et en favorisant une culture de la cybersécurité, les organisations peuvent réduire considérablement leur vulnérabilité à l'usurpation d'identité et à d'autres attaques basées sur l'identité. Rester vigilant, s'adapter aux nouvelles menaces et former continuellement les employés sont des éléments essentiels d'une stratégie de défense solide.
Voulez-vous une protection 24/7 contre l'usurpation d'identité ? PowerDMARC est un fournisseur de solutions d'authentification des e-mails - fournissant des services visant à permettre aux entreprises de sécuriser leurs communications par e-mail. Nous vous aidons à gérer la réputation de votre domaine en garantissant que seuls les e-mails provenant d'expéditeurs autorisés seront délivrés par des passerelles sécurisées, tout en le protégeant contre l'usurpation d'identité par des cybercriminels et des phishers.