Sélection de la langue

Government of Canada / Gouvernement du Canada

Avis aux lectrices et aux lecteurs

Cette publication ne répond pas actuellement aux normes Web du gouvernement du Canada. Les informations restent valables.

Alerte - Tentatives de connexion par force brute

Numéro : AL17-003
Date : 16 février 2017

Objet

La présente alerte a pour but d’attirer l’attention sur des tentatives de connexion par force brute généralisées et constantes qui ciblent des organismes de vente au détail.

Évaluation

Plusieurs entreprises du secteur de la vente au détail ont signalé au CCRIC des tentatives de connexion par force brute constantes sur leurs portails clients. Les acteurs malveillants semblent cibler les organismes de vente au détail qui ont des programmes de fidélisation ou de récompense et utilisent les justificatifs de comptes compromis externes pour voler les points ou les récompenses accumulés. Les récompenses ont une valeur équivalente en dollars, puisqu’elles peuvent habituellement être échangées contre des cartes-cadeaux, de la marchandise ou des services, ou encore vendues à un tiers.

Les acteurs malveillants ont utilisé plusieurs stratégies et tactiques pendant leurs tentatives de connexion, notamment :

  • l’utilisation de multiples listes de jeux de justificatifs d’identité obtenus lorsque les données de services ou sites Web tiers ont été compromises et divulguées publiquement;
  • la pulvérisation de mots de passe (« password-spraying ») au moyen de listes d’adresses courriel publiques et des dictionnaires de mots de passe couramment utilisés;
  • la limitation du trafic des tentatives de connexion pour demeurer sous les seuils de détection;
  • l’utilisation simultanée de nombreux hôtes malveillants distincts pour éviter la détection;
  • l’utilisation de serveurs mandataires et de RPV pour cacher la source du trafic malveillant.

L’accès aux comptes clients et aux données pourrait potentiellement permettre aux acteurs malveillants de s’adonner à d’autres activités frauduleuses (p. ex., hameçonnage).

Mesures Recommandées

Le CCRIC recommande aux organisations d’examiner les mesures d’atténuation ci-dessous et de les mettre en œuvre en fonction de leur environnement réseau.

  • Utiliser un test captcha sur les formulaires de connexion.
  • Utiliser le géoblocage contre les visiteurs en dehors de la zone habituellement couverte par l’entreprise.
  • Mettre en œuvre des méthodes d’authentification à facteurs multiples.
  • Examiner les journaux pour détecter les activités ou du trafic suspects, lesquels pourraient signaler des tentatives potentielles de connexion par force brute. Le CCRIC suggère de faire enquête en cas d’activités réseau ou de serveur Web ou de paramètres d’utilisation atypiques, notamment :
    • périodes prolongées de charge, de trafic ou d’utilisation élevé;
    • volume élevé d’échecs de connexion, y compris à des comptes inexistants ou non conformes (conventions de nom d’utilisateur/mot de passe);
    • tentatives de connexion multiples pour différents utilisateurs à partir de la même adresse IP;
    • volume élevé de tentatives de connexion qui ne proviennent pas de votre groupe démographique habituel.
  • empêcher l’échange de points contre des articles ayant une valeur monétaire directe (p. ex., cartes-cadeaux).
  • Recouper les adresses courriel des clients avec les jeux de justificatifs compromis connus du public.
  • Avoir une politique sur l’utilisation de mots de passe forts et empêcher l’utilisation de mots de passe couramment utilisés.

Références :

Guide Pensez cybersécurité pour les petites et moyennes entreprises
http://www.pensezcybersecurite.gc.ca/cnt/rsrcs/pblctns/smll-bsnss-gd/index-fr.aspx

Utiliser les mots de passe
http://www.pensezcybersecurite.gc.ca/cnt/prtct-yrslf/prtctn-dntty/usng-psswrds-fr.aspx

Reconnaître les courriels malveillants
https://www.cse-cst.gc.ca/fr/node/237/html/2998

Date de modification :