Norton, l’entreprise derrière le célèbre antivirus, a annoncé à ses clients que leur compte a été compromis au cours des dernières semaines. Une faille de sécurité qui a également permis aux pirates d’accéder au gestionnaire de mot de passe proposé par la marque.
Dans un message adressé à ses clients, Gen Digital, la société mère de Norton LifeLock, a déclaré avoir été la cible d’une attaque de « credential stuffing ». Les comptes Norton ainsi que les gestionnaires de mot de passe ont ainsi été compromis.
Un simple « bourrage d’identifiants »
Plutôt que de s’attaquer aux systèmes de l’entreprise, les pirates ont tout simplement utilisé la méthode du « credential stuffing », ou « bourrage d’identifiants ». Une technique simple qui consiste à utiliser des informations d’identification précédemment volées, sur le Dark Web par exemple, pour pénétrer dans d’autres comptes utilisant les mêmes mots de passe.
Un procédé qui fonctionne toujours dans la mesure où les utilisateurs sont nombreux à avoir un seul mot de passe, y compris ceux qui ont un gestionnaire de mot de passe comme celui de Norton. Malheureusement, les pirates peuvent trouver facilement le mot de passe principal, qui est potentiellement réutilisé partout.
« Nous ne pouvons pas exclure que le tiers non autorisé ait également obtenu des détails stockés [dans Norton Password Manager], en particulier si votre clé Password Manager est identique ou très similaire au mot de passe de votre compte Norton. » – Gen Digital / Norton
C’est à ce moment-là que l’authentification double facteur rentre en jeu. En effet, elle empêche des attaquants d’accéder aux comptes de quelqu’un avec uniquement son mot de passe.
Le 12 décembre dernier, les systèmes de l’entreprise ont détecté un nombre anormalement élevé d’échecs de connexion, sonnant l’alerte de tentatives d’effraction par des personnes tierces qui auraient compromis certains comptes depuis le 1er décembre. Dans sa notice d’information envoyée à environ 6450 clients, Gen Digital précise :
En accédant à votre compte avec votre nom d’utilisateur et votre mot de passe, le tiers non autorisé peut avoir vu votre prénom, votre nom, votre numéro de téléphone et votre adresse postale.
En 2022, c’est le géant du gestionnaire de mot de passe Lastpass qui a confirmé avoir été victime d’un hack, laissant échapper les données personnelles de ses utilisateurs.
Encore et toujours les mots de passe…
Comme nous l’avons rapporté à plusieurs reprises, les mots de passe les plus utilisés sont toujours trop faibles. Ajoutez à cela le fait que tous les utilisateurs n’activent pas la double authentification, et vous avez des comptes auxquels les pirates peuvent accéder avec une facilité déconcertante. Utiliser un bon gestionnaire de mot de passe est toujours recommandé par les experts en sécurité, mais à condition de configurer un mot de passe principal fort qui n’est réutilisé sur aucun autre compte.
Roger Grimes, évangéliste de la défense des données chez KnowBe4, résume parfaitement la situation :
« Les gestionnaires de mots de passe créent des mots de passe forts et parfaitement aléatoires qui sont quasiment impossibles à deviner et à déchiffrer. L’attaque ici semble être que les utilisateurs ont eux-mêmes créé et utilisé des mots de passe faibles pour protéger leur compte de connexion Norton qui protégeait également leur gestionnaire de mots de passe Norton. »
La sécurité des utilisateurs ne viendra peut-être pas d’une prise de conscience générale, mais de la fin des mots de passe qui pourraient être remplacés par des « clés d’accès ».
Source :
Dark Reading