Il y aurait près d’un millier de tentatives de piratage de mot de passe chaque seconde. Et les attaquants sont plus déterminés que jamais, le nombre de ces attaques étant en augmentation. Ce sont des chiffres qui proviennent du Digital Defense Report 2022 de Microsoft, un condensé de l’analyse de milliards d’alertes et de signaux recueillis dans l’écosystème de produits et de services du géant de Redmond.
En forte augmentation
Selon ce rapport, les mots de passe des comptes restent la principale cible des pirates. Microsoft estime que le volume des attaques visant les mots de passe est d’environ 921 tentatives par seconde, ce qui représente une augmentation de 74 % en un an.
Pour pirater un mot de passe, les attaquants utilisent la force brute pour casser les mots de passe simples et courants – une liste de mots de passe va être testée à la volée. Ils vont également utiliser le bourrage d’identifiants, cette technique testant sur de nouvelles plateformes des noms d’utilisateurs et de mots de passe déjà divulgués. Enfin, les hackers malveillants vont s’appuyer sur le hameçonnage pour tromper leurs victimes et récupérer ainsi leurs identifiants.
Pas assez d’authentification forte
Microsoft remarque que 90 % des comptes piratés ne sont pas protégés par une authentification forte, qui aurait entraîné une vérification supplémentaire. Toujours selon l’éditeur, le nombre de comptes protégés par une authentification multifactorielle reste faible, même pour les comptes d’administrateur, avec moins d’un compte sur trois protégé par une couche supplémentaire d’authentification.
De nombreux comptes critiques sont ainsi vulnérables à des attaquants. Le vol d’un mot de passe permet ensuite d’autres activités malveillantes, comme le vol de données sensibles, le déploiement de logiciels malveillants, les attaques par rançongiciel, etc.
« De nombreuses cyberattaques réussissent simplement parce que l’hygiène de base n’a pas été respectée », déplore Microsoft. L’entreprise exhorte les organisations et les utilisateurs à appliquer des normes minimales pour aider à protéger les comptes. Cette hygiène numérique de base protégerait pourtant contre 98 % des attaques.
Une hygiène numérique de base
Il est donc recommandé de protéger les comptes avec une authentification multifactorielle, même si cette méthode n’est pas infaillible. Il est également recommandé d’appliquer le « Zero trust », ce modèle de sécurité de l’information qui refuse par défaut l’accès aux applications et aux données. Ce qui rend plus difficile l’accès complet aux systèmes, même quand un attaquant a déjà compromis un compte.
Les logiciels, les applications et les systèmes d’exploitation doivent également être maintenus à jour avec les derniers correctifs de sécurité afin d’empêcher les attaquants d’exploiter les vulnérabilités connues pour accéder aux réseaux.
Et si vous soupçonnez que votre mot de passe a été piraté, vous devez le changer immédiatement. Vous pouvez utiliser un gestionnaire de mots de passe pour vous assurer que chacun de vos comptes est sécurisé par un mot de passe à la fois fort et unique.
Source : « ZDNet.com »
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));