Qu'est-ce qu'une attaque Pass the Hash ?
Il s'agit d'un type d'attaque de cybersécurité au cours de laquelle un cyberadversaire vole des identifiants utilisateur « hachés » et les utilise pour créer une nouvelle session utilisateur sur le même réseau. À la différence d'autres types de vol d'identifiants, lors d'une attaque Pass the Hash, le cyberattaquant ne doit pas connaître ni craquer le mot de passe pour accéder au système. À la place, il utilise une version stockée du mot de passe pour ouvrir une nouvelle session.
Qu'entend-on par hachage de mot de passe ?
Le hachage de mot de passe est une fonction mathématique unidirectionnelle qui transforme le mot de passe d'un utilisateur en une chaîne de texte qui ne peut pas être reconstituée ou décodée pour révéler le mot de passe en question. En bref, les mots de passe ne sont pas stockés sous forme de texte ou de caractères, mais sous forme de symboles de hachage quelconques.
Pourquoi les attaques Pass the Hash représentent-elles un problème grandissant ?
Avec la généralisation progressive de la technologie d'authentification unique (SSO) pour faciliter le télétravail et limiter les points de friction de l'expérience utilisateur, les cyberattaquants ont pris conscience de la vulnérabilité intrinsèque des mots de passe et des identifiants utilisateur stockés.
Les attaques basées sur l'identité, telles les attaques Pass the Hash, qui consistent à usurper l'identité d'utilisateurs légitimes, sont particulièrement difficiles à détecter car la plupart des solutions de cybersécurité traditionnelles sont incapables de faire la différence entre un utilisateur réel et un cyberattaquant qui se fait passer pour ce dernier.
Il est essentiel de se protéger contre les attaques Pass the Hash, car cette technique sert souvent de passerelle pour lancer d'autres attaques plus graves, comme la compromission de données, le vol d'identités et des attaques de ransomware ou de logiciel malveillant.