Dans un rapport publi rcemment, l’quipe Photon Research de Digital Shadows rvle qu’environ 24,6 milliards de jeux complets de noms d’utilisateur et de mots de passe sont actuellement en circulation sur le dark Web. Cela reprsente quatre jeux complets d’informations d’identification pour chaque personne sur Terre, mais aussi une augmentation de 65 % depuis la dernire fois que cette tude a t ralise, en 2020. Cela montre que les cybercriminels continuent de profiter largement de la difficult des internautes et des organisations bien protger leurs identifiants et leurs codes d’accs aux diverses plateformes qu’ils utilisent.
Le rapport, intitul « Account Takeover in 2022 », fait un tour d’horizon des fuites de donnes personnelles, les identifiants et mots de passe divulgus, qui ont eu lieu au cours de ces deux dernires annes. L’analyse a rvl que plus de la moiti des 24,6 milliards de paires d’identifiants vols disponibles la vente sur le dark Web ont t exposes au cours de l’anne dernire. Dans l’ensemble des donnes d’identification du dark Web, environ 6,7 milliards d’offres prsentaient une combinaison unique de nom d’utilisateur et de mot de passe, indiquant que la combinaison n’tait pas duplique dans les bases de donnes.
C’est 1,7 milliard de plus que ce que les chercheurs ont trouv en 2020. Le rapport montre que les marchs qui vendent ces informations d’identification sont robustes et sophistiqus, avec plusieurs services d’abonnement qui mergent pour offrir des services premium criminels pour les acheter. Mais encore, les chercheurs de Digital Shadows ont dcouvert qu’un grand nombre des mots de passe examins dans ces bases de donnes voles n’taient pas trs srs l’origine. Le rapport indique que prs d’un mot de passe sur 200 trouv dans les informations d’identification proposes la vente par les criminels est 123456.
Et sur les 50 mots de passe les plus couramment utiliss parmi ceux recueillis dans le cadre du rapport, 49 peuvent tre dchiffrs en moins d’une seconde l’aide d’outils galement disponibles sur les forums clandestins. Les cybercriminels disposent d’une liste infinie d’informations d’identification qu’ils peuvent essayer, mais ce problme est aggrav par la faiblesse des mots de passe, ce qui signifie que de nombreux comptes peuvent tre devins en quelques secondes l’aide d’outils automatiss , explique Chris Morgan, analyste principal des renseignements sur les cybermenaces chez Digital Shadows.
Par consquent, qu’un acheteur criminel achte une liste d’informations d’identification voles ou un craqueur de mots de passe, les comptes utilisant uniquement ces informations d’identification sont extrmement vulnrables aux attaques. Selon les experts en cyberscurit, avec toutes ces informations d’identification disponibles la vente en ligne, les attaques par prise de contrle de compte (account takeover attacks – ATO) ont galement prolifr. De plus, les chercheurs expliquent que 75 % des mots de passe en vente en ligne n’taient pas uniques. Pour cela, ils estiment que tout le monde devrait se mfier.
Pour se protger contre les attaques de prise de contrle de compte, l’quipe propose d’avoir recours la protection proactive des comptes, l’application systmatique de bonnes habitudes d’authentification et la prise de conscience de l’empreinte numrique de l’organisation. Dans le cas des particuliers, l’quipe indique qu’ils devraient « utiliser une authentification multifactorielle, des gestionnaires de mots de passe et des mots de passe complexes et uniques ». Mais les experts pensent galement que le mot de passe touche sa fin en raison des difficults pour le scuriser et l’arrive prochaine des ordinateurs quantiques.
Selon ces derniers, la solution contre les fuites de donnes est les applications ou les solutions sans mot de passe. En effet, l’authentification sans mot de passe (ou « authentification moderne », comme certains l’appellent) est le terme utilis pour dcrire un groupe de mthodes de vrification d’identit qui ne reposent pas sur des mots de passe. La biomtrie, les cls de scurit et les applications mobiles spcialises sont toutes considres comme des mthodes d’authentification « sans mot de passe » ou « moderne ». Bien qu’elles existent depuis plusieurs annes, ces mthodes sont encore trs peu utilises.
Selon un rcent rapport de Dark Reading, seuls 26 % des dcideurs informatiques ont dclar travailler dans une organisation sans mot de passe, et 87 % ont admis qu’ils avaient au moins une catgorie d’informations d’identification qui dpendait encore des mots de passe. Les systmes les plus courants qu’ils souhaitaient pouvoir authentifier sans mot de passe taient les connexions aux postes de travail, les applications d’entreprise existantes et les applications cloud. Et ces chiffres concernent principalement les comptes d’entreprise, sans tenir compte du problme encore plus pineux de l’authentification des consommateurs.
L’une des plus fortes pressions en faveur de l’authentification sans mot de passe vient de l’Alliance FIDO qui, depuis plus de dix ans, publie des normes pour des mcanismes d’authentification haut niveau d’assurance afin de mettre les mots de passe rebut. Au dbut de l’anne, l’Alliance FIDO a dvoil sa vision des certificats FIDO (avec des cls lies l’appareil) multiappareils utiliser dans les cas d’utilisation grand public. Selon le groupe, ces cls sont plus sres que les mots de passe et sont conues pour faciliter les connexions sur les appareils mobiles et les ordinateurs de bureau.
En mai, Apple, Google et Microsoft ont annonc qu’ils allaient mettre en uvre la prise en charge de ces normes dans leurs plateformes. Mais en attendant, les experts expliquent que les organisations ne peuvent pas se permettre d’ignorer le problme toujours croissant des identifiants vols et trafiqus utiliss pour l’ATO.
Source : Digital Shadows
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l’ampleur des donnes en vente sur le dark Web ?
Que pensez-vous des recommandations pour aider les internautes et les organisations se protger ?
Que pensez-vous des allgations selon lesquelles l’re du mot de passe est rvolue ?
Pensez-vous que l’authentification sans mot de passe est plus scurise que l’authentification par mot de passe ?
Selon vous, pourquoi l’authentification sans mot de passe ne parvient-il pas s’imposer ?
Que pensez-vous des cots de mise en uvre de l’authentification sans mot de passe ?
Voir aussi