mar. Sep 17th, 2019
netwrix - pierre louis lussan

Le mouse jacking, du vol de voitures à la compromission de l’Active Directory

Par Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix

D’après une récente étude de Coyote Secure, le mouse jacking ou « vol à la souris », qui consiste à pirater des systèmes de sécurité à distance, représenterait 85 % des vols de voitures commis en France ; une méthode qui ne touche pas seulement le secteur automobile.

Les entreprises ont tout intérêt à connaître cette menace et à s’en protéger même si elle est moins répandue que les attaques par ransomware, phishing ou que les fraudes au président :

 

Pour accéder au réseau par mouse jacking, un appareil bon marché et une charge utile facile à fabriquer suffisent. Lorsqu’un employé utilise son clavier et sa souris sans fil, les informations décrivant ses actions sont envoyées au dongle USB connecté à son ordinateur. Dans le cadre du mouse jacking, le dispositif de l’attaquant recherche les paquets sans fil transmis. Lorsqu’il en trouve un, il peut se faire passer pour la souris ou le clavier, et envoyer ses propres signaux au dongle. L’utilisateur est alors susceptible de remarquer que quelque chose d’anormal est en train de se produire, comme la saisie de texte ou le déplacement inattendu de la souris, mais il est peut-être déjà trop tard ; quelques touches ou clics suffisent pour installer des logiciels malveillants ou copier des fichiers depuis l’ordinateur ciblé. Le cybercriminel n’a même pas besoin d’être physiquement proche du système pour en prendre le contrôle – le piratage peut être exécuté jusqu’à une distance de 100 mètres. Cependant, seuls les postes de travail en cours d’exploitation peuvent être compromis.

Plus concrètement, l’attaquant est capable d’intercepter les frappes au fur et à mesure qu’elles sont transmises à un dongle USB, un peu comme un programme de keylogger, puis d’accéder à des données sensibles telles que des identifiants de connexion ou des informations bancaires. En outre, il peut envoyer des frappes sur l’ordinateur comme si l’utilisateur les avait saisies. Grâce à l’injection de touches, les pirates peuvent installer des rootkits ou des logiciels malveillants qui leur permettent de s’implanter dans le réseau. Dans le pire des cas, une attaque par mouse jacking sur un compte administratif pourrait compromettre le réseau via l’Active Directory. Si un individu est connecté sous un compte Domain Admin, par exemple, un “voleur à la souris” peut utiliser l’injection de touches pour créer de nouveaux utilisateurs et les ajouter au groupe Domain Admins dans l’Active Directory de l’entreprise, en obtenant, par la même occasion, un accès et un contrôle pratiquement illimités au réseau.

 De nombreux claviers et souris communément utilisés sont exposés au mouse jacking. La première chose à faire est donc s’assurer qu’il n’y a pas de périphériques vulnérables, notamment à l’aide de listes de référence. Dans le cas contraire, les failles ne pouvant être corrigées que par les fabricants, l’utilisateur n’a d’autre choix que de les remplacer par des périphériques sécurisés ; ou de signaler la nécessité d’effectuer ce changement à son entreprise si les mesures ne sont pas déjà en cours. En attendant, il doit impérativement verrouiller son ordinateur dès lors qu’il ne s’en sert plus, même un court instant. Quelques minutes suffisent en effet à un hacker pour exploiter la vulnérabilité et compromettre le réseau sans se faire remarquer.

Une stratégie essentielle pour se protéger du mouse jacking, et de toute autre cyberattaque, est de suivre les modifications apportées à l’Active Directory, en particulier l’ajout de membres à des groupes hautement privilégiés comme les administrateurs de domaines. La réception d’alertes sur les modifications critiques permettra également de contrecarrer rapidement les modifications incorrectes, bloquant ainsi les attaques dès les premiers instants et limitant leur impact. Ces mesures, combinées à une bonne cyber-hygiène, favoriseront la réduction des risques de ce type de menaces sur les systèmes et les ressources des entreprises.

%d blogueurs aiment cette page :