Ces derniers mois, un gang de cybercriminels connu sous le nom de LAPSUS$ a revendiqué un certain nombre d’attaques très médiatisées contre des entreprises technologiques, notamment :
- T-Mobile (23 avril 2022)
- Globale
- Okta
- Ubisoft
- Samsung
- Nvidia
- Microsoft
- Vodafone
En plus de ces attaques, LAPSUS$ a également pu lancer avec succès une attaque de ransomware contre le ministère brésilien de la Santé.
Bien que les cyberattaques de grande envergure ne soient certainement pas nouvelles, il y a plusieurs choses qui rendent LAPSUS$ unique.
- Le cerveau présumé de ces attaques et plusieurs autres complices présumés étaient tous des adolescents.
- Contrairement aux gangs de rançongiciels plus traditionnels, LAPSUS$ a une très forte présence sur les réseaux sociaux.
- Le gang est surtout connu pour l’exfiltration de données. Il a volé le code source et d’autres informations exclusives et a souvent divulgué ces informations sur Internet.
Identifiants volés LAPSUS$
Dans le cas de Nvidia, par exemple, le les attaquants ont eu accès à des centaines de gigaoctets de données propriétaires, y compris des informations sur les puces que la société développe. Peut-être plus dérangeant; cependant, LAPSUS $ prétend avoir volé les informations d’identification de milliers d’employés de Nvidia. Le nombre exact d’informations d’identification volées n’est pas clair, divers sites d’actualités technologiques rapportant des chiffres différents. Cependant, Specops a pu obtenir environ 30 000 mots de passe qui ont été compromis lors de la violation.
La montée de la cyber-extorsion
Il y a deux principaux points à retenir des attaques LAPSUS$ auxquels les organisations doivent prêter attention. Premièrement, les attaques LAPSUS$ illustrent clairement que les gangs de cybercriminels ne se contentent plus d’effectuer des attaques de rançongiciels banales. Plutôt que de simplement chiffrer les données comme cela a si souvent été fait dans le passé, LAPSUS$ semble beaucoup plus axé sur la cyber-extorsion. LAPSUS$ accède à la propriété intellectuelle la plus précieuse d’une organisation et menace de divulguer ces informations à moins qu’une rançon ne soit payée.
Une entreprise technologique pourrait éventuellement subir un préjudice irréparable en cas de fuite de son code source, de sa feuille de route de produit ou de ses données de recherche et développement, en particulier si ces données devaient être mises à la disposition de concurrents.
Même si les attaques LAPSUS$ se sont jusqu’à présent principalement concentrées sur les entreprises technologiques, toute organisation pourrait être victime d’une telle attaque. En tant que telles, toutes les entreprises doivent soigneusement réfléchir à ce qu’elles peuvent faire pour garder leurs données les plus sensibles hors de portée des cybercriminels.
Mots de passe faibles en jeu
L’autre élément important à retenir des attaques LAPSUS$ est que, bien qu’il n’y ait aucune information définitive sur la façon dont les attaquants ont eu accès aux réseaux de leur victime, la liste des informations d’identification Nvidia divulguées qui a été acquise par Specops révèle clairement que de nombreux employés utilisaient des mots de passe extrêmement faibles. Certains de ces mots de passe étaient des mots courants (bienvenue, mot de passe, septembre, etc.), qui sont extrêmement sensibles aux attaques par dictionnaire. De nombreux autres mots de passe incluaient le nom de l’entreprise dans le mot de passe (nvidia3d, mynvidia3d, etc.). Au moins un employé est même allé jusqu’à utiliser le mot Nvidia comme mot de passe !
Bien qu’il soit tout à fait possible que les attaquants aient utilisé une méthode de pénétration initiale qui n’était pas basée sur l’utilisation d’informations d’identification collectées, il est beaucoup plus probable que ces informations d’identification faibles aient joué un rôle central dans l’attaque.
Ceci, bien sûr, soulève la question de savoir ce que d’autres entreprises peuvent faire pour empêcher leurs employés d’utiliser des mots de passe tout aussi faibles, ce qui rend l’organisation vulnérable aux attaques. La mise en place d’une politique de mot de passe qui nécessite des mots de passe longs et complexes est un bon début, mais les entreprises devraient faire plus.
Protéger votre propre organisation d’une attaque similaire
Une mesure clé que les organisations peuvent utiliser pour empêcher l’utilisation de mots de passe faibles consiste à créer un dictionnaire personnalisé de mots ou d’expressions qui ne sont pas autorisés à être utilisés dans le cadre du mot de passe. N’oubliez pas que lors de l’attaque de Nvidia, les employés ont souvent utilisé le mot Nvidia soit comme mot de passe, soit comme composant de leur mot de passe. Un dictionnaire personnalisé aurait pu être utilisé pour empêcher tout mot de passe de contenir le mot Nvidia.
Un autre moyen encore plus important pour une organisation d’empêcher l’utilisation de mots de passe faibles consiste à créer une politique empêchant les utilisateurs d’utiliser tout mot de passe dont on sait qu’il a été divulgué. Lorsqu’un mot de passe est divulgué, ce mot de passe est haché et le hachage est généralement ajouté à une base de données de hachages de mots de passe. Si un attaquant acquiert un hachage de mot de passe, il peut simplement comparer le hachage à la base de données de hachage, révélant rapidement le mot de passe sans avoir à effectuer une force brute fastidieuse ou un crack basé sur un dictionnaire.
La politique de mot de passe Specops donne aux administrateurs les outils dont ils ont besoin pour s’assurer que les utilisateurs évitent d’utiliser des mots de passe faibles ou des mots de passe connus pour avoir été compromis. Specops facilite la création d’une politique de mot de passe conforme aux normes de mot de passe courantes, telles que celles définies par le NIST. En plus de définir des exigences de longueur et de complexité, Specops permet aux administrateurs de créer des dictionnaires de mots qui ne doivent pas être utilisés dans le cadre d’un mot de passe. De plus, Specops maintient une base de données de milliards de mots de passe divulgués. Les mots de passe des utilisateurs peuvent être vérifiés automatiquement par rapport à cette base de données, empêchant ainsi les utilisateurs d’utiliser un mot de passe dont on sait qu’il a été compromis.
