Votre service d’assistance IT pourrait-il compromettre votre sécurité ?

Découvrez comment votre équipe peut combler une faille de sécurité croissante.

Les risques liés à la chaîne d'approvisionnement sont en forte augmentation parmi les entreprises internationales. Verizon affirme que l'implication de tiers dans les violations de données a doublé au cours de l'année dernière, pour atteindre 30 %. Pourtant, ce type de risque est généralement associé à des problèmes liés aux composants open source (Log4Shell), aux logiciels propriétaires (MOVEit) et aux fournisseurs physiques (Synnovis). Que se passe-t-il lorsque votre propre sous-traitant informatique est à l'origine d'une violation majeure ?

Malheureusement, certaines grandes marques commencent à le découvrir, car des acteurs malveillants sophistiqués ciblent leurs services d'assistance externalisés avec des attaques de vishing. La réponse réside dans des défenses multicouches, une vigilance raisonnable et une bonne formation et sensibilisation à la cybersécurité.

Pourquoi les services d'assistance sont-ils une cible ?

Les services d'assistance informatique externalisés (ou helpdesks) sont une alternative de plus en plus prisée par de nombreuses entreprises. Sur le papier, ils offrent des économies en termes de dépenses et d'exploitation, une expertise spécialisée, une efficacité opérationnelle et une évolutivité que les PME, en particulier, ont du mal à égaler en interne. Cependant, ces opérateurs sont également en mesure de réinitialiser les mots de passe, d'enregistrer de nouveaux appareils, d'élever les privilèges des utilisateurs et même de désactiver l'authentification multifactorielle (MFA) pour les utilisateurs. Et c'est exactement en partie voire en totalité ce dont un acteur malveillant a besoin pour obtenir un accès non autorisé aux ressources du réseau et pour se déplacer latéralement. Il lui suffit de trouver un moyen de persuader le personnel du service d'assistance qu'il est un employé légitime.

Il existe d'autres raisons pour lesquelles les services d'assistance tiers font l'objet d'une attention particulière de la part des acteurs malveillants :

• Ces services peuvent être composés de professionnels de l'informatique ou de la cybersécurité en début de carrière. De ce fait, les employés peuvent ne pas avoir l'expérience nécessaire pour repérer les tentatives sophistiquées d'ingénierie sociale.
• Les adversaires peuvent exploiter le fait que les services d'assistance sont là pour fournir un service aux employés de leurs clients et donc le personnel peut s'avérer trop empressé à répondre aux demandes de réinitialisation de mot de passe, par exemple.
• Le personnel des services d'assistance IT est souvent submergé de demandes, en raison de la complexité croissante des environnements informatiques, du télétravail et de la pression exercée par les entreprises. Cela peut également être exploité par des pirates informatiques chevronnés.
• Les cybercriminels peuvent employer des tactiques que même le personnel expérimenté des services d'assistance peut ne pas être en mesure de détecter, comme l'utilisation de l'IA pour se faire passer pour des cadres supérieurs de l'entreprise qui « ont besoin de leur aide de toute urgence ».

Les services d'assistance sous le feu des critiques

Les attaques d'ingénierie sociale contre les services d'assistance ne sont pas nouvelles. En 2019, des cybercriminels ont réussi à pirater le compte Twitter de Jack Dorsey, alors PDG de Twitter, après avoir convaincu un employé du service clientèle de son opérateur mobile de transférer son numéro vers une nouvelle carte SIM. À l'époque, ces attaques par échange de carte SIM (appelées aussi SIM swap) permettaient d'intercepter les SMS contenant des codes d'accès à usage unique, un moyen très répandu pour les services d'authentifier leurs utilisateurs.

Parmi les exemples plus récents, on peut citer :

• En 2022, le groupe LAPSUS$ a réussi à compromettre plusieurs grandes organisations, dont Samsung, Okta et Microsoft, après avoir ciblé le personnel du service d'assistance. Selon Microsoft, ils ont recherché des employés spécifiques afin de répondre à des questions de récupération courantes telles que « la première rue où vous avez vécu » ou « le nom de jeune fille de votre mère ».
• Les acteurs malveillants du collectif Scattered Spider ont récemment été accusés d'« exploiter la vulnérabilité humaine » en menant des attaques de vishing contre des employés du service d'assistance. On ne sait pas exactement quelles organisations ont été compromises, mais le groupe a réussi à pirater MGM Resorts de cette manière. Cette attaque de 2023 aurait coûté au moins 100 millions de dollars à l'entreprise.
• Le fabricant d'eau de Javel Clorox poursuit son fournisseur de services d'assistance Cognizant après qu'un employé aurait accédé à une demande de réinitialisation de mot de passe sans même demander à la personne à l'autre bout du fil de vérifier son identité. Cette compromission aurait coûté 380 millions de dollars à l'entreprise.

Quelques leçons à retenir

Ces attaques ont connu un tel succès que des groupes professionnels russes spécialisés dans la cybercriminalité recruteraient activement des interlocuteurs anglophones pour faire leur sale boulot. Des annonces publiées sur des forums criminels montrent qu'ils recherchent des interlocuteurs parlant couramment l'anglais, avec un accent minimal, capables de « travailler » pendant les heures de bureau occidentales. Cela devrait alerter tout responsable de la sécurité d'une organisation qui externalise son service d'assistance.

Que pouvons-nous donc retenir de ces incidents ?

Il va sans dire qu'il convient de faire preuve de vigilance à l'égard de tout nouveau prestataire de services. Cela implique notamment de vérifier qu'il dispose des certifications de bonnes pratiques telles que ISO 27001 et d'examiner ses politiques internes en matière de sécurité et de recrutement. Plus généralement, les RSSI devraient s'assurer que leur prestataire a mis en place :

• Des processus d'authentification stricte pour toute personne appelant le service d'assistance avec des demandes sensibles telles que la réinitialisation d'un mot de passe. Cela peut inclure une politique obligeant l'appelant à raccrocher et le service d'assistance à le rappeler sur un numéro de téléphone préenregistré et authentifié. Ou l'envoi d'un code d'authentification par e-mail/SMS afin de poursuivre la procédure.
• Des politiques de privilèges minimaux qui limiteront les possibilités de déplacement latéral vers des ressources sensibles, même si l'adversaire parvient à réinitialiser un mot de passe ou à effectuer une action similaire. Et la séparation des tâches pour le personnel du service d'assistance, de sorte que les actions à haut risque doivent être approuvées par plusieurs membres de l'équipe.
• Enregistrement complet et surveillance en temps réel de toutes les activités du service d'assistance, dans le but de mettre fin aux tentatives de vishing.
• Formation continue des agents basée sur des exercices de simulation en conditions réelles, régulièrement mis à jour pour inclure les nouvelles techniques, tactiques et procédures (TTP) des acteurs malveillants, y compris l'utilisation de voix synthétiques.
• Évaluations régulières des politiques de sécurité afin de s'assurer qu'elles tiennent compte de l'évolution du paysage des menaces, des mises à jour internes des renseignements sur les menaces, des enregistrements du service d'assistance et des changements dans l'infrastructure.
• Contrôles techniques tels que la détection de l'usurpation d'identité de l'appelant et des faux enregistrements audio (utilisés par le groupe ShinyHunters). Tous les outils du service d'assistance doivent également être protégés par une authentification multifactorielle (MFA) afin de réduire davantage les risques.
• Une culture qui encourage le signalement des incidents et la sensibilisation à la sécurité en général. Cela signifie que les agents seront plus enclins à signaler les tentatives de vishing qui échouent, et leur permettra de renforcer leur résilience et leur apprentissage futur.

Renforcez vos défenses avec le MDR

Le vishing est fondamentalement un défi humain. Mais la meilleure façon de le relever est de combiner l'expertise humaine avec l'excellence technique et l'amélioration des processus, sous la forme de l'authentification multifactorielle (MFA), du principe du moindre privilège, d'outils de détection et de réponse, etc.

Pour les MSP qui offrent des services d'assistance, la détection et la réponse gérées (MDR) d’éditeurs tels qu'ESET peuvent aider à alléger la pression en fonctionnant comme une extension de l'équipe de sécurité interne du sous-traitant. De cette manière, ils peuvent se concentrer sur la prestation du meilleur service d'assistance possible, avec la tranquillité d'esprit qu'une équipe d'experts surveille les signaux suspects 24 heures sur 24, 7 jours sur 7, grâce à une IA avancée, afin de détecter tout élément suspicieux.