Selon une étude de Forrester, chaque demande de réinitialisation de mot de passe coûte environ 70 dollars. Souvent sollicité, ce type de requête pousse de nombreuses entreprises à adopter des outils de réinitialisation de mot de passe en libre-service (SSPR) pour alléger le travail des équipes d’assistance. Toutefois, malgré ces outils, les équipes de support continuent de traiter un nombre important de réinitialisations de mots de passe, qu’il s’agisse d’inscrire des utilisateurs pour SSPR ou de gérer des cas particuliers.
Les réinitialisations de mots de passe représentent un objectif évident pour les attaquants. Si un agent est convaincu de réinitialiser un mot de passe, les cybercriminels peuvent contourner l’authentification multifactorielle (MFA) et accéder directement à un compte. Ainsi, sécuriser le processus de réinitialisation de mot de passe commence par identifier les failles potentielles.
Une réinitialisation qui peut mener à une compromission totale
L’attaque d’avril 2025 subie par le détaillant britannique Marks & Spencer a causé de graves perturbations, entraînant une suspension des ventes en ligne pendant cinq jours, avec des pertes quotidiennes évaluées à 3,8 millions de livres (5,1 millions de dollars).
Des attaquants liés au groupe de piratage Scattered Spider ont pénètre le système en se faisant passer pour un employé de M&S et en contactant un service d’assistance externe. Une réinitialisation de mot de passe a été réalisée, leur conférant ainsi des identifiants valides, sans avoir besoin d’exploiter une vulnérabilité technique.
Par la suite, les attaquants ont exploité Active Directory pour extraire le fichier NTDS.dit, qui contient les hachages de mots de passe de tous les utilisateurs du domaine. Scattered Spider a réussi à déchiffrer ces hachages hors ligne pour récupérer des identifiants supplémentaires.
Avec des comptes valides et des privilèges élevés, les attaquants ont effectué des mouvements latéraux en utilisant des outils standards et des activités de connexion normales, élargissant leur accès pendant plusieurs semaines. Une fois leurs privilèges suffisants, ils ont déployé un ransomware, cryptant des systèmes essentiels au paiement, au commerce électronique et à la logistique. M&S a dû désactiver certains services, entraînant des perturbations dans leurs opérations et transactions clients.
Sécuriser le service d’assistance
Le défi des attaques d’ingénierie sociale, comme celle de M&S, réside dans le fait qu’elles ne semblent pas suspectes. Du point de vue du service d’assistance, il ne s’agit que d’un utilisateur demandant une réinitialisation de mot de passe.
C’est pourquoi le service d’assistance est une cible de choix, et pourquoi des vérifications de base ne suffisent pas à sécuriser ce processus. En l’absence d’un moyen fiable de vérifier l’identité de l’appelant, une demande standard peut rapidement devenir une porte d’entrée pour les attaquants.
Des solutions comme Specops Secure Service Desk permettent aux équipes d’assistance de confirmer l’identité de l’utilisateur avant toute réinitialisation. Au lieu de s’appuyer sur des informations faciles à deviner ou à obtenir, les agents peuvent déclencher un code à usage unique envoyé à un appareil de confiance ou utiliser des fournisseurs d’identité existants comme Duo ou Okta.
Meilleures pratiques pour les réinitialisations de mots de passe
Pour les organisations ayant déjà mis en place une solution comme Specops Secure Service Desk, les pratiques suivantes garantiront l’application cohérente de ces normes.
1. Favoriser le libre-service lorsque cela est possible
Toutes les réinitialisations de mots de passe ne doivent pas passer par le service d’assistance. Réduire cette dépendance est l’un des moyens les plus simples de diminuer tant le coût que le risque. Si vous disposez d’une solution de réinitialisation de mots de passe en libre-service, il est essentiel d’encourager son adoption. Assurez-vous que les utilisateurs sachent comment s’inscrire, comprennent son fonctionnement, et se sentent confiants de l’utiliser en cas de besoin. Cela peut inclure la création d’un court guide avec des instructions d’intégration claires pour les nouveaux utilisateurs.
2. Utiliser des identifiants temporaires sécurisés
Même une réinitialisation vérifiée présente un risque si la transmission est faible. Communiquer un mot de passe temporaire par appel vocal ou via un courrier électronique non chiffré ouvre une possibilité d’interception. Les identifiants temporaires doivent être robustes, à usage unique, et envoyés par un canal sécurisé. Si une réinitialisation reste active plus de quelques minutes, c’est une vulnérabilité persistante.
3. Suivre l’activité de réinitialisation des mots de passe
Surveiller comment et quand les réinitialisations se produisent peut mettre en évidence à la fois les risques de sécurité et les lacunes des processus. Rechercher des motifs tels que des réinitialisations fréquentes, des demandes répétées au service d’assistance, ou des utilisateurs ayant du mal avec le libre-service. Cela peut indiquer tout, depuis une mauvaise expérience utilisateur jusqu’à un potentiel abus. Un suivi régulier aide également à renforcer de bonnes pratiques. Si les utilisateurs ne s’approprient pas le libre-service ou rencontrent continuellement des obstacles, il est possible d’intervenir avec des conseils clairs.
4. Former et équiper le service d’assistance
Le service d’assistance intervient toujours lorsque quelque chose ne suit pas le chemin standard ou que les utilisateurs ont besoin de soutien supplémentaire. Cela ne fonctionne que si les agents disposent des bons outils et de directives claires. La vérification de l’identité doit être uniforme et non laissée à l’appréciation individuelle. Les agents devraient avoir également une visibilité sur l’activité de réinitialisation et une politique définie à suivre en cas d’anomalies. Avec la bonne configuration, le service d’assistance devient un point de contrôle crucial pour prévenir tout accès non autorisé.
Renforcez vos réinitialisations de mots de passe avec Specops
Les attaquants n’ont pas besoin de forcer l’accès si ils peuvent simplement demander une ouverture, donc la vérification de l’identité lors des demandes de réinitialisation de mots de passe est essentielle. Avec les bons outils et un processus robuste, le service d’assistance devient une ligne de défense solide. À l’inverse, sans ces moyens, il représente une porte d’entrée facile.