L'économie de l'usurpation de comptes et de sessions

Définition de l'exposition, des coûts et de l'impact des comptes d'utilisateurs finaux compromis

Préface 

Le détournement de session est devenu le principal moyen utilisé par les cybercriminels pour mener des attaques par prise de contrôle de compte (ATO) et permet de contourner les mesures de sécurité traditionnelles telles que l'authentification multifacteurs (MFA). Ce rapport de recherche analyse la prévalence du détournement de session dans différents secteurs d'activité, en soulignant son rôle croissant dans les incidents d'ATO et son impact économique sur les organisations.

Les principales conclusions du rapport incluent:

• Les taux d'exposition varient selon le secteur d'activité(la prise en charge réseaux sociaux, applications cloud et plateformes de divertissement ayant le plus grand nombre de séances mensuelles moyennes compromises
• Le taux de croissance annuel moyen des comptes exposés est de 28 %, ce qui est largement lié à la prolifération des logiciels malveillants voleurs d'informations. 
• Le L'impact économique de l'ATO et du détournement de session est significatif., en tenant compte de :
  • Les coûts de main-d'œuvre pour les enquêtes de sécurité (environ 26.2 millions de dollars par an pour une grande plateforme de streaming)
  • Pertes de fraude provenant des prises de contrôle de comptes (environ 7.5 millions de dollars par an)
  • Risque de désabonnement des clients, ce qui peut conduire à des dizaines de millions de dollars de revenus perdus chaque année.

Ce rapport souligne l’urgence de mettre en place des stratégies proactives de prévention des ATO, en insistant sur le rôle de intelligence automatisée en matière d'identité, politiques de réauthentification de session et détection précoce d'exposition pour atténuer les risques associés au détournement de session.

Détournement de session – « La voie de moindre résistance » pour la prise de contrôle de comptes (ATO)

Une prise de contrôle de compte (ATO) consiste, comme son nom l'indique, à obtenir un accès non autorisé à un compte d'application web par un cybercriminel. Qu'il s'agisse d'un compte personnel ou professionnel, les attaquants disposent de nombreux moyens pour exploiter ou monétiser les identifiants volés. Ce rapport se concentre principalement sur les comptes personnels et examine l'impact des ATO sur certaines des applications web les plus utilisées au monde, majoritairement des produits B2C (Business-to-Consumer) plutôt que B2B (Business-to-Business).

Historiquement, les attaquants ont utilisé diverses méthodes pour s'emparer des comptes, notamment l'hameçonnage, l'ingénierie sociale, l'exploitation de fuites d'identifiants, les attaques par force brute ou la simple devinette de mots de passe faibles. (Au moment de la rédaction de ce rapport, l'un des mots de passe les plus courants est probablement une variante de « Winter2025 ».) Au fil des ans, la sécurité des comptes s'est considérablement améliorée, avec l'adoption généralisée, même pour les applications grand public, d'exigences de complexité des mots de passe, de limites de tentatives de connexion et de l'authentification multifacteurs (AMF).

Cependant, une technique reste largement insensible à ces mesures de sécurité : détournement de sessionCette méthode exploite les cookies ou jetons de session (une technologie conçue pour améliorer le confort de l'utilisateur) à son détriment. Bien qu'il s'agisse d'une technique bien connue, le détournement de session a joué un rôle dans des violations de données majeures, notamment… 2023 Octa incidentLe fait que même des entreprises de cybersécurité réputées aient été victimes de cette méthode souligne la difficulté de s'en défendre.

En 2024, des chercheurs de Google ont signalé que les attaques basées sur les cookies de session se produisent aussi fréquemment que attaques basées sur des mots de passeL’augmentation de la fréquence des détournements de session peut s’expliquer simplement par le mécanisme classique. "cadre d'analyse du crime « mobile, moyens et opportunité » (voir la figure 1)Cette technique se situe à l'intersection de :

• Des incitations financières lucratives (traité plus loin dans ce rapport).
• Disponibilité généralisée d'outils peu coûteux ou gratuits qui permettent aux attaquants de reproduire facilement les sessions de navigation, souvent appelées navigateurs « anti-détection ».
• Malware voleur d'informations opérations dont Flare a fait état dans profondeur au fil des ansLes « journaux de voleurs » contenant des jetons de session et des identifiants compromis amorcent un cercle vertueux d'opportunités en fournissant un flux constant de nouvelles données volées pouvant être exploitées lors d'attaques.  

Détournement de session révélé par l'industrie 

Préface des données

Les données présentées dans cette section proviennent principalement d'appareils infectés, c'est-à-dire d'appareils sur lesquels un logiciel malveillant de type vol d'informations a été exécuté avec succès et dont les données de navigation ont été extraites. Ces données sont issues d'une collecte menée sur environ quatre ans. Par souci de simplification, nous recommandons de considérer qu'un appareil exposé correspond à un compte exposé. Bien qu'il soit possible que plusieurs appareils infectés contiennent plusieurs comptes exposés pour une même application, et que certains comptes exposés apparaissent sur plusieurs appareils infectés, nous supposons que ces sous-ensembles s'équilibrent plus ou moins. Cette estimation 1:1 fournit une base de référence raisonnable, bien qu'imparfaite, pour l'exposition aux prises de contrôle d'applications (ATO) et au détournement de session. Les données portent sur plus de 100 des applications web les plus utilisées au monde, classées par secteurs et sous-secteurs, les noms des entreprises étant anonymisés. 

Taux d'exposition de l'ATO

  Moyenne des nouveaux comptes exposés (mensuelle)

Moyenne des nouveaux comptes exposés (mensuel) – Vue à l'échelle

Observations

De plus, des politiques plus strictes en matière de cookies de session et d'authentification contribuent à la faible exposition observée dans les applications de cybersécurité, bancaires et de jeux d'argent.

Il existe une corrélation évidente entre le nombre d'utilisateurs d'une application web et sa visibilité dans la base de données de Flare. Les grandes plateformes de médias sociaux, qui comptent des centaines de millions d'utilisateurs à travers le monde, bénéficient généralement d'une visibilité plus élevée, tandis que les plateformes d'échange de cryptomonnaies et les sites de jeux d'argent ont généralement une base d'utilisateurs plus restreinte et, par conséquent, une visibilité moindre.

Il est important de tenir compte du biais inhérent à cet ensemble de données. Dans la plupart des cas, ces comptes ont fuité depuis un navigateur sur un ordinateur portable ou de bureau Windows, plutôt que depuis un appareil mobile comme un smartphone ou une tablette. Par conséquent, les applications principalement utilisées sur appareils mobiles sont sous-représentées dans cet ensemble de données.

Taux de croissance annuel estimé des appareils exposés

Les données suivantes sont basées sur les efforts de recouvrement de Flare depuis 2021. Ce taux de croissance reflète la croissance annuelle des comptes exposés au cours des quatre dernières années.

Observations

• Les technologies financières (Technologies financières) affichant le taux de croissance le plus élevé pourraient être le signe d'une adoption mondiale accrue de ces services et d'une augmentation des opportunités d'attaques. 
• Le faible taux de croissance des jeux d'argent est surprenant, compte tenu de l'essor et de la visibilité considérables qu'a connus ce secteur en Amérique du Nord. Les pratiques d'authentification mentionnées précédemment et les biais liés aux appareils pourraient expliquer ce phénomène. 

Quantification de l'impact économique du détournement de session pour les grandes applications web 

Quantifier précisément l'impact économique du détournement de session est complexe. Pour aider les organisations à estimer leur risque, nous avons développé un outil… Calculateur de retour sur investissement Ce calculateur analyse l'exposition des applications web par secteur d'activité. En multipliant le nombre moyen de comptes exposés mensuellement par le coût approximatif d'une prise de contrôle de compte, les entreprises peuvent obtenir une estimation de base de leur exposition au risque lié aux sessions actives. Il est important de noter que ce calculateur n'est pas exhaustif et que d'autres facteurs, tels que la main-d'œuvre, la fraude et le taux de désabonnement des clients, doivent être pris en compte pour une compréhension complète des risques de détournement de session.

Laboratoire 

Le coût de la main-d'œuvre est à la fois évident et sous-estimé. En 2023, Amazon a révélé avoir investi plus de 1.2 milliard de dollars et consacré plus de [nombre manquant] employés à [poste manquant]. 15 000 employés victimes de fraude et d'abusCela représente plus de 25 millions d'heures de travail par an. Seules quelques entreprises dans le monde disposent de telles ressources. Une meilleure façon d'appréhender les coûts de main-d'œuvre consiste à les calculer par enquête, comme indiqué dans l'encadré ci-dessous. 

Hypothèses relatives aux coûts d'une enquête sur une prise de contrôle de compte 

1. Hypothèse du taux horaire: $ 60- $ 75

• Ce salaire, incluant tous les avantages sociaux, se situe entre 130 000 $ et 150 000 $ pour un professionnel de la cybersécurité ou de la gestion des risques et de la fraude. Il s'agit d'un salaire « tout compris » de 130 000 $ à 150 000 $. 

2. Temps consacré par enquête positive réelle: 30 minutes à 1 heure 

• Cela suppose le temps consacré au tri des alertes provenant des outils de détection, à la corrélation des données issues des sources de renseignements sur les menaces et des journaux internes, ainsi qu'à toute communication interfonctionnelle pertinente ayant lieu avant toute action. 

En pratique, une enquête peut être plus rapide (30 minutes, 30 à 40 dollars) si elle est simple, ou plus longue (2 heures, 130 à 150 dollars) si elle est complexe. $70 représente une bonne moyenne de référence pour le coût du travail dans le cadre d'une enquête sur la prise de contrôle d'un compte unique.

En multipliant 70 dollars par le nombre d'enquêtes annuelles sur les usurpations de compte, vous établissez un coût de base pour la main-d'œuvre. Ce calcul met également en évidence les économies potentielles liées à la mise en œuvre de flux de travail proactifs, automatisés et évolutifs, basés sur l'analyse des identités. Par exemple, si les identifiants nouvellement découverts et les sessions actives sont automatiquement signalés pour une réinitialisation de mot de passe et une réauthentification de session, le nombre d'enquêtes sur les usurpations de compte peut être réduit, permettant ainsi d'économiser 70 dollars par incident évité et de libérer du temps pour les analystes, qui peuvent alors se consacrer à des tâches à plus forte valeur ajoutée. 

Pertes liées à la fraude 

Les pertes liées à une activité frauduleuse suite à une prise de contrôle de compte peuvent varier considérablement selon le secteur d'activité et le type d'application web concernée. Par exemple, les comptes des services de streaming présentent généralement des risques de fraude plus faibles, limités plus ou moins à la valeur de leurs abonnements mensuels. En revanche, les comptes marchands des plateformes de commerce électronique peuvent engendrer des pertes atteignant plusieurs dizaines de milliers de dollars, voire plus. Le tableau ci-dessous récapitule les pertes estimées par compte et par secteur d'activité. Bien que non exhaustif, ce tableau vise à illustrer la diversité des méthodes d'exploitation d'un seul compte compromis à des fins frauduleuses.

Le rapport Sift est particulièrement précieux car il prend en compte à la fois le ressenti des clients et les expériences concrètes en matière de sécurité, révélant ainsi comment les entreprises communiquent sur les risques et réagissent aux incidents de prise de contrôle de compte (ATO). À partir de ces informations, nous avons élaboré un modèle autour de Vidz2Stream, une plateforme de streaming fictive comptant 150 millions d'utilisateurs dans le monde et proposant un abonnement à 20 $ par mois (240 $ par an).

Modèle de taux de désabonnement des clients ATO pour la plateforme de streaming de fiction Viz2Stream

• Nombre total de clients : 150 millions
• Taux d'incidence de l'ATO : 0.5 %
  • Nous avons évoqué précédemment dans ce rapport un taux d'exposition médian aux ATO de 1.4 %. Sachant que toutes les expositions ne sont pas exploitées par les cybercriminels, nous estimons un taux d'incidents de 0.5 %, soit environ un tiers du taux d'exposition.
• Nombre implicite de clients impactés par l'ATO par an : 750 000
• Sentiment imputable à la marque/l'entreprise : 73 %
• Fractionnement des notifications de l'ATO :
  • Notifié par l'entreprise (43 %) : ~322 500
  • Non notifiés (57 %) : ~427 500
• Hypothèses relatives au taux de désabonnement :
  • Notifié + Marque blâmée : 15 %
    • Même s'ils incriminent la marque, le fait d'être informés contribue à instaurer un climat de confiance ou, à tout le moins, démontre que l'entreprise a pris des mesures proactives. On peut donc supposer un taux de désabonnement plus faible que s'ils n'avaient pas été informés.
  • Notifié + Ne blâmez pas la marque : 5 %
    • Ce groupe se montre relativement plus indulgent. Il part du principe que « les incidents arrivent » et que l'entreprise a bien fait de les informer. Un taux de désabonnement de 5 % reflète une proportion plus faible de personnes qui pourraient encore démissionner par excès de prudence.
  • Non notifié + Marque blâmée : 30 %
    • Ce groupe risque de se sentir trahi car il tient l'entreprise pour responsable, celle-ci ayant omis de les informer. Par conséquent, nous prévoyons un taux de désabonnement nettement supérieur, de l'ordre de 30 %.
  • Non notifié + Ne blâmez pas la marque : 10 %
    • Même s'ils n'incriminent pas la marque, ils pourraient être contrariés de ne pas avoir été informés. Certains pourraient alors se désabonner. Nous estimons un taux de désabonnement de 10 % comme point médian entre un mécontentement minimal (par exemple, 5 %) et une insatisfaction marquée (par exemple, 30 %).
• Nombre total de désabonnements estimés : 145 000 utilisateurs par an
  • Sur la base des estimations de pourcentage décrites dans les hypothèses relatives au taux de désabonnement.
• Impact sur le chiffre d'affaires : 34.8 millions de dollars par an
  • 145 000 utilisateurs ayant résilié leur abonnement multipliés par le coût annuel de 240 $

Combinaison de main-d'œuvre, de fraude et de désabonnement client

Pour comprendre globalement le coût annuel des ATO et du détournement de session pour votre entreprise, nous pouvons combiner ces trois facteurs de coût. Prenons l'exemple fictif de l'entreprise Vidz2Stream et son profil pour additionner les coûts et quantifier l'ampleur du problème :

• Laboratoire
• 375 000 x 70 = 26.2 millions de dollars
  • Les équipes de sécurité ne peuvent pas enquêter sur tous les incidents signalés en raison du problème omniprésent de la « saturation des alertes ». Selon diverses sources, le taux d'enquête se situe entre 40 et 60 %⁹. Prenons une moyenne et supposons que l'équipe de sécurité de Vidz2Stream enquête sur la moitié des 750 000 incidents d'autorisation de prise de contrôle (ATO) estimés.
• Fraude
• 20 $ x 375 000 = 7.5 millions de dollars
  • Supposons que les 375 000 enquêtes aient permis d'annuler avec succès tous les coûts liés à la fraude concernant ces comptes.
  • Supposons que les 375 1 autres aient entraîné des pertes dues à la fraude équivalant à la valeur d'un mois d'abonnement à Vidz2Stream (20 $).
• baratte
• 34.8 millions de dollars, comme calculé dans la section précédente.

Conclusion

Dans le cas de Vidz2Stream, les ATO et l'exposition de session coûtent au moins 68.5 millions de dollars par an.

Nous espérons que ces données apporteront des informations précieuses sur l'ampleur, l'impact et les tendances sectorielles liés aux sessions exposées. Plus important encore, nous espérons qu'elles inciteront les équipes de sécurité à améliorer leurs stratégies de détection et de réponse, en privilégiant des mesures proactives permettant d'identifier, de surveiller et de corriger les sessions exposées avant qu'elles ne soient exploitées, afin de prévenir les risques de fraude, d'optimiser la productivité et d'offrir une meilleure sécurité aux clients finaux.

Prévention et alerte en cas de fraude par prise de contrôle de compte

Le Prévention de la prise de contrôle des comptes Flare Notre solution permet aux organisations de détecter, prioriser et atténuer proactivement les risques de détournement de cookies. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7. En identifiant les comptes susceptibles d'être compromis, Flare permet aux organisations de prendre des mesures préventives contre toute utilisation abusive de ces comptes. 

Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. En savoir plus réserver une démoLes données de journalisation des voleurs de données de Flare aident les organisations à prévenir le principal vecteur de vol de données. groupes de Rançongicielss comme Safepay et Lockbit est utilisé pour obtenir un accès initial aux environnements d'entreprise.