Qu'est-ce que l'Élévation des Privilèges ?

À mesure que le télétravail et l’utilisation de systèmes cloud étendus se généralisent, la vulnérabilité des entreprises aux cyberattaques augmente. Les attaques par élévation des privilèges constituent une menace courante et complexe, susceptible de cibler n’importe quel réseau.

Chaque ressource pouvant devenir un point d’entrée pour les intrus, les entreprises n’ont pas d’autre choix que de mettre en place plusieurs stratégies de défense. Pour prévenir les attaques de grande envergure ciblant le réseau et s’en protéger efficacement, il est essentiel de commencer par comprendre ce qu’est l’élévation des privilèges.

Qu’est-ce que l’élévation des privilèges ?

Une attaque par élévation des privilèges est une cyberattaque visant à obtenir un accès privilégié non autorisé à un système. Pour ce faire, les cybercriminels tirent profit des comportements humains, des failles de conception ou des lacunes des systèmes d’exploitation ou des applications web. Ce type d’attaque est étroitement liée au déplacement latéral, une tactique qui permet au cyberattaquant de s’insinuer plus profondément dans un réseau à la recherche de ressources de grande valeur.

Les attaques par élévation des privilèges permettent à un utilisateur interne ou externe d’obtenir des privilèges système non autorisés. Selon l’ampleur de la compromission, les cyberadversaires peuvent causer des dégâts mineurs ou majeurs. Il peut s’agir d’un simple e-mail non autorisé ou d’une attaque de ransomware ciblant de gros volumes de données. Si elles ne sont pas détectées, ces attaques peuvent donner lieu à des menaces persistantes avancées (APT) au niveau du système d’exploitation.

Comment fonctionne l’élévation des privilèges ?

Pour perpétrer une attaque par élévation des privilèges, les cyberadversaires utilisent généralement une technique d’ingénierie sociale reposant sur la manipulation du comportement humain. La plus basique de ces techniques est le phishing, qui consiste à envoyer des e-mails contenant des liens malveillants. Une fois le compte de l’utilisateur compromis par le cyberattaquant, c’est l’ensemble du réseau qui est exposé.

Les cybercriminels recherchent les points faibles dans les lignes de défense des entreprises qui pourraient leur permettre d’obtenir un accès initial ou des privilèges de base au travers du vol d’identifiants. Comme nous l’expliquons plus en détail ci-dessous, l’exploitation de vulnérabilités permet aux cyberadversaires d’obtenir des privilèges de niveau supérieur. Une stratégie efficace doit dès lors combiner des techniques de prévention, de détection et d’intervention rapide.

Techniques d’élévation des privilèges

L’élévation des privilèges peut être exécutée localement ou à distance. Au niveau local, elle débute sur site et est généralement le fait d’un utilisateur interne de l’entreprise. À distance, elle peut commencer depuis pratiquement n’importe quel endroit. Les deux approches peuvent se révéler efficaces dès lors que le cyberattaquant fait preuve de détermination.

Quels sont les principaux types d’élévation des privilèges ?

Ces attaques relèvent de deux catégories principales :

Dans le cas de l’élévation horizontale des privilèges (ou prise de contrôle de comptes), le cyberattaquant obtient un accès privilégié à un compte utilisateur standard doté de privilèges de niveau inférieur. Il peut alors voler le nom d’utilisateur et le mot de passe de l’employé et obtenir un accès à ses e-mails, à ses fichiers, ainsi qu’aux applications web ou aux réseaux secondaires dont l’utilisateur fait partie. Une fois implanté dans le système, l’attaquant peut ensuite se déplacer horizontalement au sein du réseau et étendre son accès privilégié aux comptes dotés de privilèges similaires.

Dans le cas d’une élévation verticale des privilèges, le cyberattaquant procède de manière similaire et utilise son accès initial pour tenter de se déplacer verticalement et ainsi accéder à des comptes dotés de privilèges supérieurs. Il peut, par exemple, cibler des comptes dotés de privilèges administrateur ou d’autorisations d’accès root, comme le compte d’un employé du support informatique ou d’un administrateur système. Un compte à privilèges peut donc être utilisé pour s’emparer d’autres comptes.

Différences entre l’élévation verticale et horizontale des privilèges

Pour faire court, l’élévation horizontale des privilèges consiste à obtenir un accès à des comptes dotés de privilèges similaires à ceux du compte ayant permis l’accès initial, tandis que l’élévation verticale des privilèges implique l’obtention d’un accès à des comptes dotés de privilèges et d’autorisations de niveau supérieur. Un cyberattaquant peut commencer par un compte utilisateur standard et l’utiliser pour compromettre des comptes de niveau supérieur dotés de privilèges administrateur, par exemple.

Plus le compte possède de privilèges, plus les dommages qu’un cyberadversaire peut causer seront immédiats. Un compte de support informatique peut porter atteinte à des comptes utilisateur standard et devenir lui-même le point de départ d’une élévation verticale des privilèges. Les attaques horizontales n’en demeurent pas moins tout aussi dangereuses, car le risque pour le réseau augmente avec le nombre de comptes compromis. Chaque vulnérabilité constitue un point d’entrée via lequel les cyberattaquants pourront s’enfoncer plus profondément dans le système. Les attaques horizontales et verticales doivent dès lors être prises en charge rapidement.

Autres techniques d’élévation des privilèges

Les cyberattaquants élaborent sans cesse de nouvelles méthodes pour accéder aux comptes et compromettre les systèmes, mais le phishing continue de prédominer. Les cyberattaquants utilisent ces messages de leurre, que ce soit dans le cadre de campagnes de masse et par saupoudrage ou de manière extrêmement ciblée, pour piéger les utilisateurs et les inciter à partager leurs identifiants, à télécharger un logiciel malveillant ou à exposer les réseaux à des utilisations non autorisées.

Il existe d’autres types d’attaques d’ingénierie sociale, notamment :

• Cybersquattage ou typosquattage : piratage d’une URL ou création d’une fausse URL pour inciter les utilisateurs à cliquer. L’attaquant peut utiliser un faux domaine de premier niveau (p.ex., Exemple.co, .cm ou .org au lieu de .com) ou glisser discrètement une faute d’orthographe dans le nom (p. ex., exempe.com, exernple.com ou exemp1e.com).
• Exposition du mot de passe : il arrive que les utilisateurs exposent volontairement leur mot de passe, en le partageant avec des amis ou des collègues. Mais le plus souvent, il s’agit d’un acte involontaire, lorsqu’ils notent leur mot de passe sur un bout de papier et laissent celui-ci en évidence sur leur bureau ou lorsqu’ils utilisent des mots de passe faciles à deviner.
• Exposition de la question de sécurité : il n’est pas rare que les utilisateurs oublient leur mot de passe. Le cas échéant, ils sont invités à répondre à une question de sécurité pour créer un nouveau mot de passe. Grâce aux réseaux sociaux, les réponses aux questions de sécurité n’ont jamais été aussi faciles à trouver. (Prenez garde aux publications ou aux quizz viraux qui vous demandent les « cinq choses que personne ne sait à votre sujet ».)
• Vishing ou phishing vocal : ici, le cyberattaquant contacte un collaborateur par téléphone et se fait passer pour une figure d’autorité afin d’inciter le collaborateur à lui fournir des informations privilégiées ou à installer un logiciel malveillant.

Les cyberadversaires peuvent également utiliser des techniques reposant sur l’assistance technologique. Les attaques par force brute et la collecte d’identifiants (credential dumping) sont les techniques les plus fréquentes, mais il en existe de nombreuses autres :

• Attaques par force brute : ce type d’attaque consiste à tenter de deviner les mots de passe de manière systématique et automatique et peut s’avérer particulièrement efficace avec les systèmes ayant des exigences insuffisantes en matière de mots de passe.
• Collecte d’identifiants de connexion : dans ce type d’attaque, le cybercriminel obtient un accès illégitime à un réseau et vole toute une série d’identifiants dans la foulée.
• Shoulder surfing : cette technique consiste à dérober les identifiants d’une personne via un réseau non sécurisé ou en piratant son terminal.
• Attaque par dictionnaire : dans ce type d’attaque, le cybercriminel combine des mots d’usage courant pour former des mots de passe possibles en fonction de la longueur des mots de passe et des exigences du réseau en la matière.
• Password spraying ou pulvérisation de mots de passe : ce type d’attaque repose sur des tentatives automatisées d’accès à plusieurs comptes à la fois en utilisant des mots de passe courants, tels que « mot de passe », « azerty », « 123456 » et bien d’autres.
• Credential stuffing ou recyclage d’identifiants : ce mode d’attaque repose sur l’utilisation des identifiants d’un système pour tenter de se connecter à un autre. Ces attaques aboutissent généralement, car de nombreux utilisateurs réutilisent le même mot de passe sur plusieurs réseaux.
• Attaques de type Pass the Hash (PtH) et attaques par table arc-en-ciel (rainbow table) : ces types d’attaques utilisent des algorithmes qui « hachent » ou mélangent les mots de passe.
• Modification et réinitialisation du mot de passe : les cyberadversaires les plus sophistiqués peuvent trouver des manières d’exploiter le processus de réinitialisation des mots de passe. Ils peuvent même demander eux-mêmes un nouveau de passe s’ils connaissent la réponse aux questions de sécurité.

Les serveurs Windows et les systèmes d’exploitation Linux sont vulnérables aux attaques. L’élévation des privilèges Windows recourt souvent à la manipulation de jetons, au contournement du contrôle du compte d’utilisateur (User Account Control) ou au piratage de la bibliothèque de liens dynamiques (DLL). Les attaques courantes par élévation des privilèges du système Linux incluent notamment l’énumération, l’exploitation du noyau et l’utilisation de l’accès sudo pour obtenir des privilèges racine. L’accès obtenu à l’aide d’identifiants volés est tellement puissant que les cybercriminels sont toujours à l’affût de nouvelles techniques pour élever les privilèges Linux.

Stratégies de prévention de l’élévation des privilèges

La prévention requiert une vigilance proactive de tous les instants. Toute entreprise dotée d’un réseau peut être la cible d’une attaque dans la mesure où chaque utilisateur présente un certain degré de vulnérabilité. Cela signifie que votre stratégie de prévention doit être exhaustive et inclusive, de façon à sensibiliser tous les utilisateurs du système à la sécurisation du cyberespace qu’ils partagent. En cas d’échec des dispositifs de prévention, des mesures de détection et des plans d’intervention doivent être en place et pouvoir être rapidement mis en œuvre, de façon à limiter les conséquences.

2024 CrowdStrike Global Threat Report: résumé

Le Global Threat Report 2024 de CrowdStrike s’appuie sur les observations des experts de l’équipe CrowdStrike spécialisée dans la lutte contre les cyberadversaires. Il passe en revue les thèmes, tendances et événements marquants du paysage des cybermenaces.

Télécharger

Comment détecter une attaque par élévation des privilèges ?

La détection d’une attaque par élévation des privilèges repose généralement sur la reconnaissance de schémas, la recherche de valeurs aberrantes et l’identification d’événements anormaux. Ce type d’attaque étant par nature imprévisible, il est extrêmement difficile à détecter. Dès qu’un cybercriminel parvient à infiltrer le réseau, il peut conserver un accès persistant. Dès lors qu’il obtient des identifiants, quels qu’ils soient, le système le reconnaît en tant qu’utilisateur légitime.

Le temps moyen pour détecter une attaque est difficile à estimer, car les attaques par élévation des privilèges peuvent s’étaler sur plusieurs semaines, voire plusieurs mois. La durée d’implantation désigne le laps de temps qui s’écoule entre le moment où un intrus vole un identifiant et celui où il atteint son objectif. Plus la durée d’implantation est longue, plus l’intrus a le temps de collecter des informations, d’obtenir des identifiants et d’élever ses privilèges. En outre, au moment où le cyberattaquant est enfin prêt à atteindre son objectif, il a généralement pris soin d’effacer toute trace de son passage (suppression des journaux, masquage des adresses IP, etc.).

Fort heureusement pour leurs cibles, les cybercriminels commettent parfois des erreurs qui les rendent traçables ou peuvent tomber dans des pièges. Cependant, selon un rapport de Third Way, très peu d’entre eux — moins d’un demi pour cent — sont arrêtés. Les entreprises doivent dès lors se préparer non seulement à détecter les menaces, mais aussi à les neutraliser et, à cet égard, la rapidité d’action est primordiale.

Exemples d’attaques par élévation des privilèges

Les attaques par élévation des privilèges consistent souvent à infecter un réseau ou une application à l’aide d’un logiciel malveillant, ou malware, une vaste catégorie à laquelle appartiennent les menaces suivantes :

• Ver : un ver est un programme autonome qui se réplique automatiquement et se propage à d’autres ordinateurs.
• Rootkit : un rootkit est un ensemble de logiciels conçu pour permettre à des cybercriminels de prendre le contrôle d’une application ou d’un réseau. Une fois activé, il installe une porte dérobée qui permettra aux cybercriminels d’envoyer des logiciels malveillants supplémentaires, qui peuvent persister pendant des années étant donné qu’ils sont difficiles à détecter.
• Cheval de Troie : un cheval de Troie est un logiciel malveillant déguisé en logiciel légitime afin de piéger les utilisateurs au moyen de techniques d’ingénierie sociale, comme le phishing ou les faux sites web.
• Logiciel malveillant sans fichier : contrairement à un logiciel malveillant classique, aucun code malveillant n’est installé sur le système cible par le cyberattaquant, ce qui complique sa détection.
• Spyware : un spyware est un logiciel espion qui collecte des informations sur les activités web des utilisateurs à leur insu ou sans leur consentement. (Un adware, ou logiciel publicitaire, est un type de spyware qui surveille l’activité en ligne de l’utilisateur afin d’afficher des publicités correspondant à ses centres d’intérêt.)
• Enregistreur de frappe : l’enregistreur de frappe est un spyware qui surveille l’activité de l’utilisateur et qui est généralement installé par des techniques de phishing. Une fois installé, il peut dérober des mots de passe, des noms d’utilisateur, des informations bancaires et d’autres données.
• Scareware : le scareware est un programme (généralement une fenêtre contextuelle d’avertissement) qui fait croire aux utilisateurs que leur ordinateur est infecté et qui les convainc d’installer un logiciel antivirus factice qui est en réalité un logiciel malveillant.
• Ransomware : lors d’une attaque de ransomware, le cyberadversaire chiffre les données de sa victime et lui fournit une clé de déchiffrement en échange du paiement d’une rançon. Ce type d’attaque peut être lancé au moyen de techniques d’ingénierie sociale ou en exploitant des vulnérabilités non corrigées ou des erreurs de configuration des règles.

L’importance de prévenir les attaques par élévation des privilèges

L’élévation des privilèges peut être utilisée dans pratiquement n’importe quel type de cyberattaque. La priorité doit donc être de frapper préventivement à la source.

Comment éviter qu’une attaque par élévation des privilèges n’affecte la sécurité des applications ?

Étant donné que les collaborateurs doivent régulièrement obtenir des autorisations pour accéder à des centaines d’applications, les entreprises doivent se doter d’outils de gestion des identités sécurisés qui limitent la nécessité de s’authentifier à de multiples reprises. Les services d’authentification unique (Single Sign-On, SSO) tels que les services de fédération Active Directory (AD FS) permettent aux utilisateurs d’utiliser un jeu unique d’identifiants pour se connecter à plusieurs systèmes internes et externes. Une telle approche est synonyme de gain de temps et de tranquillité d’esprit, et améliore l’efficacité et l’expérience utilisateur en permettant des déplacements fluides entre les applications.

L’inconvénient est que, pour peu qu’un cyberattaquant entre en possession de ce jeu unique d’identifiants, il pourra se déplacer à sa guise au sein du réseau. Les conséquences d’une élévation des privilèges peuvent être graves pour les utilisateurs, les clients et les entreprises, de même que pour la sécurité du cloud. Outre le fait que ces attaques peuvent coûter cher, elles sont également susceptibles de nuire à l’intégrité et à la réputation d’une entreprise pour peu que celle-ci perde le contrôle d’informations confidentielles ou de systèmes critiques.

Selon une étude réalisée en 2021 par IBM, une cyberattaque moyenne aux États-Unis coûte aux entreprises 9,05 millions de dollars (environ le double de la moyenne mondiale, évaluée à 4,24 millions de dollars). En 2017, la société Target a accepté de payer 18,5 millions de dollars à la suite d’une compromission de cybersécurité largement médiatisée. Les cyberattaquants ont exploité des vulnérabilités du système de Target grâce à des identifiants volés achetés à un fournisseur tiers. Une fois l’accès à la base de données du service clientèle obtenu, les cyberattaquants ont installé un logiciel malveillant pour capturer les coordonnées de contact, les numéros de cartes de crédit et d’autres données confidentielles des clients.

L’élévation des privilèges peut également toucher des petites entreprises dotées de mesures de cybersécurité et de budgets insuffisants. Les établissements scolaires constituent également des cibles fréquentes. Ainsi, le Lincoln College de l’Illinois a été contraint de fermer ses portes en 2022 après qu’une attaque de ransomware a mis à l’arrêt des opérations critiques, alors que l’établissement traversait déjà une période difficile. Personne n’est à l’abri d’une cyberattaque, pas même les gouvernements nationaux. Nous devons donc tous rester sur nos gardes.

Comment protéger vos systèmes contre une attaque par élévation des privilèges ?

Les cyberattaques sont un phénomène mondial. Selon le Forum économique mondial, « ces risques ne peuvent pas être neutralisés par les entreprises seules. Des mesures au niveau politique sont nécessaires pour favoriser la collaboration et la prise de responsabilité tant au niveau des entreprises que des gouvernements ».

Cependant, chacun a un rôle à jouer au sein de l’écosystème de la cybersécurité. Pour élaborer une stratégie de prévention efficace, il convient de comprendre les techniques d’élévation courantes et de mettre en place les contrôles ad hoc pour les circonscrire.

Quels contrôles mettre en place pour prévenir les attaques par élévation des privilèges ?

Pour limiter le risque de vol d’identifiants, plusieurs couches de protection sont nécessaires. Les contrôles techniques, tels que le chiffrement, les pare-feux et les solutions de surveillance, antivirus et antimalware, permettent de corriger les vulnérabilités au niveau du matériel informatique et des logiciels. Ils comprennent également des solutions de gestion des informations et des événements de sécurité qui collectent et analysent les incidents de sécurité, ainsi que des systèmes de détection et de prévention des intrusions qui surveillent les événements suspects et interviennent si nécessaire.

Les contrôles administratifs, tels que les règles, les procédures, les formations et les bonnes pratiques, sont axés sur les utilisateurs et prennent en charge les techniques d’ingénierie sociale. Les contrôles physiques bloquent ou empêchent tout accès physique non autorisé à des ressources sensibles. Ces contrôles vont des caméras de surveillance aux agents de sécurité, en passant par l’identification biométrique. Même une porte verrouillée peut vous protéger contre le vol d’identifiants.

Quelles techniques utiliser pour se protéger contre les attaques par élévation des privilèges ?

Étant donné que bon nombre des compromissions ont pour origine une attaque de phishing, il est essentiel de mettre en place des techniques de prévention à caractère social et culturel. Les membres du réseau constituent souvent le premier point d’attaque et, par conséquent, la première ligne de défense. Cependant, la peur ne constitue généralement pas une motivation suffisante. Les entreprises doivent dès lors former leurs employés, organiser des campagnes de rappel et leur inculquer le sens de la responsabilité partagée.

Une bonne hygiène IT au niveau individuel inclut les mesures suivantes :

• Création de mots de passe forts et protection de ceux-ci contre le vol
• Connexion au réseau via une connexion Wi-Fi sécurisée
• Vigilance de tous les instants face aux e-mails indésirables ou aux documents contenant des liens suspects
• Signalement de toute activité suspecte ou compromission accidentelle à l’équipe de sécurité

Une bonne hygiène IT à l’échelle du système est également primordiale. De nombreuses entreprises continuent de s’appuyer sur des mesures de sécurité traditionnelles que les cybercriminels d’aujourd’hui n’ont aucun mal à contourner. Les recommandations à ce niveau sont les suivantes :

• Configuration de mots de passe forts et mise en place de pratiques de gestion des identifiants
• Gestion appropriée des cookies
• Surveillance des systèmes en temps réel et maintien de la cyberveille à jour
• Threat Hunting proactif et continu
• Mise en œuvre de programmes robustes de protection des identités couvrant toute la durée de vie des comptes
• Application du principe du moindre privilège et séparation des privilèges en plusieurs composants
• Application d’un modèle de sécurité Zero Trust et traitement de tout terminal comme étant suspect tant qu’il n’a pas été authentifié
• Segmentation des réseaux et applications afin de limiter les déplacements latéraux
• Contrôle de la gestion des accès privilégiés avec surveillance étroite des sessions dotées de privilèges
• Création de sauvegardes hors ligne à l’épreuve des ransomwares pour préserver les données en cas d’attaque

La vigilance au niveau de l’entreprise doit aller plus loin encore pour limiter l’exposition : prédiction, investigation, Threat Hunting proactif et neutralisation rapide des menaces :

• Suppression des systèmes obsolètes et non corrigés et installation rapide des correctifs
• Utilisation de l’authentification multifacteur et des protocoles RDP (Remote Desktop Protocol) appropriés
• Protection contre les types courants de logiciels malveillants
• Surveillance du Dark Web à la recherche de preuves de compromissions
• Tests d’intrusion en continu
• Prévention de la lassitude face aux alertes répétées générées par les solutions de sécurité qui renvoient trop de faux positifs ou d’alertes sans possibilité de les prioriser
• Filtrage automatique des URL contenues dans les e-mails et analyse des pièces jointes en environnement sandbox

Quels outils et logiciels utiliser pour protéger vos systèmes contre une attaque par élévation des privilèges ?

La protection des systèmes contre les attaques par élévation des privilèges nécessite des outils et des logiciels intégrant les fonctionnalités suivantes, entre autres :

• Protection de l’identité de tous les utilisateurs
• Visibilité en temps réel sur tous les utilisateurs actifs grâce à l’EDR afin d’identifier les activités administrateur malveillantes
• Threat Hunting, idéalement 24 h/24 et 7 j/7, avec possibilité de suivre, de valider et de prioriser les alertes
• Cyberveille portant sur les cyberattaquants, leurs tactiques, leurs stratégies et leurs objectifs
• Fonctionnalités de recherche avancée sur les logiciels malveillants avec indicateurs de compromission exploitables
• Antivirus de nouvelle génération

Ces outils doivent présenter les caractéristiques fondamentales suivantes : installation et configuration aisées, évolutivité et stockage cloud bon marché.

Comme la plupart des attaques par élévation des privilèges se produisent dans le cloud, les entreprises doivent se doter d’un système cloud natif et à l’échelle du cloud pour garder une longueur d’avance sur les cybercriminels. Parallèlement aux technologies d’intelligence artificielle et de filtrage intelligent ultrarapide, des experts humains spécialisés peuvent assurer de manière proactive la surveillance des environnements et alerter les utilisateurs en cas d’activité inhabituelle. Les équipes de sécurité internes peuvent avoir besoin de cette assistance supplémentaire pour protéger pleinement leur entreprise contre les menaces posées par les attaques par élévation des privilèges.

Blocage des menaces et poursuite des opérations

Aucune entreprise ne souhaite être victime d’une attaque par élévation des privilèges, et la plupart ont besoin d’aide pour garder une longueur d’avance sur les cyberadversaires sophistiqués d’aujourd’hui — et de demain. CrowdStrike possède l’expérience, l’expertise et les outils dont vous avez besoin pour renforcer les défenses de votre entreprise et protéger vos réseaux contre les cybercriminels potentiels.

Découvrez comment CrowdStrike peut vous aider à gagner la course contre les cyberattaques et vous permettre de vous concentrer sur votre cœur de métier.