Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft estime que l'utilisation de l'authentification multifacteur bloque 99,9% des piratages de comptes
Et encourage les utilisateurs à l'adopter

Le , par Stéphane le calme

21PARTAGES

16  0 
Selon Alex Weinert, Group Program Manager for Identity Security and Protection chez Microsoft, les utilisateurs qui activent l'authentification multifacteur (MFA) pour leurs comptes vont bloquer 99,9% des attaques automatisées. La recommandation concerne non seulement les comptes Microsoft, mais également tout autre profil, site Web ou service en ligne.

Si le fournisseur de service prend en charge l’authentification multifacteur, Microsoft recommande de l’utiliser, qu’il s’agisse d’un mot de passe aussi simple que des mots de passe à usage unique basés sur SMS ou des solutions biométriques avancées.

« Chaque semaine, j'ai au moins une conversation avec un décideur en matière de sécurité durant laquelle j'explique pourquoi une grande partie de l'hyperbole à propos des mots de passe - "n'utilisez jamais un mot de passe qui a fuité", "utilisez des mots de passe très longs", "les phrases secrètes vont nous sauver", etc. - va à l'encontre de nos recherches et de la réalité que voit notre équipe alors que nous nous défendons chaque jour contre des centaines de millions d'attaques au mot de passe. Se concentrer sur les règles de mot de passe plutôt que sur ce qui peut vraiment aider, comme l'authentification multifactorielle (MFA) ou la détection efficace des menaces, n'est qu'une distraction.

« Parce que voici le truc: quand il s’agit de composition et de longueur, votre mot de passe n’a pas d’importance ».

Vous avez bien lu centaines de millions. Des propos confirmés par Melanie Maynes, Senior Product Marketing Manager Microsoft Security, qui assure que « chaque jour, plus de 300 millions de tentatives de connexion frauduleuses à nos services cloud sont effectuées ».


Weinert faisait partie des ingénieurs de Microsoft qui ont travaillé en 2016 pour interdire les mots de passe faisant partie des listes de violations publiques des systèmes Account et Azure AD de Microsoft. Grâce à son travail, les utilisateurs de Microsoft qui utilisaient ou tentaient d'utiliser un mot de passe fuité dans une précédente violation de données ont été invités à modifier leurs informations d'identification.

Mais Weinert a déclaré que malgré le blocage des informations d'identification divulguées ou des mots de passe simplistes, les pirates informatiques ont continué à compromettre les comptes Microsoft au cours des années suivantes.

Il attribue cela au fait que les mots de passe ou leur complexité ne comptent plus vraiment. De nos jours, les pirates disposent de différentes méthodes pour mettre la main sur les informations d'identification des utilisateurs, et dans la plupart des cas, le mot de passe importe peu.

Attaque Aussi connue sous le nom de ... Fréquence Difficulté : mécanisme L'utilisateur aide l'attaquant en ... Votre mot de passe est-il important ?
Credential stuffing Breach replay, list cleaning Très haute - plus de 20 millions de comptes sondés quotidiennement dans les systèmes d'identification MSFT Très facile : les identifiants achetés sur des sites compromis avec des stratégies de repos des données incorrectes sont testés pour rechercher des correspondances sur d'autres systèmes. Les outils de type list cleaning sont facilement disponibles Étant humain. Les mots de passe sont difficiles à imaginer. 62% des utilisateurs admettent les réutiliser Non - l'attaquant a le mot de passe exact.
Phishing Man-in-the-middle, credential interception Très haute. 0,5% de tous les mails entrants. Facile : les hackers envoient des courriels qui promettent de divertir ou qui sont menaçants, et donnent un lien malveillant à l’utilisateur pour l'inviter à se connecter. Ils vont alors se saisir de ses identifiants. L'utilisation de Modlishka ou des outils similaires facilite énormément cette procédure. Étant humain. Les gens sont curieux ou inquiets et ignorent les signes avant-coureurs. Non - l'utilisateur donne le mot de passe à l'attaquant
Keystroke logging Malware, sniffing Faible Moyen: les logiciels malveillants enregistrent et transmettent les noms d'utilisateur et les mots de passe saisis, mais généralement tout le reste également, de sorte que les attaquants doivent analyser les éléments. En cliquant sur les liens, en étant administrateur, en ne recherchant pas de programmes malveillants. Non - le malware intercepte exactement ce qui est tapé.
Local discovery Dumpster diving, physical recon, network scanning. Faible Difficile : les hackers recherchent dans le bureau ou le journal de l’utilisateur les mots de passe écrits, analysent le réseau pour chercher des partages ouverts, recherchent des identifiants dans le code ou les scripts de maintenance. Écrire des mots de passe (en raison de la complexité ou du manque de SSO); utilisation de mots de passe pour les comptes non suivis Non - mot de passe exact découvert.
Extortion Blackmail, Insider threat Très faible. Mais excellente dans les films. Difficile : les hackers menacent de blesser ou d’embarrasser le titulaire d’un compte si des informations d’identification ne sont pas fournies. Étant humain Non - mot de passe exact divulgué
Password spray Guessing, hammering, low-and-slow Très élevée - représente au moins 16% des attaques. Parfois, des centaines de milliers de comptes sont ouverts par jour. Des millions sont sondés chaque jour. Trivial : les hackers se servent des listes d'utilisateurs faciles à acquérir, essayent le même mot de passe sur un très grand nombre de noms d'utilisateurs. Règlent la vitesse et la distribution sur de nombreuses adresses IP pour éviter la détection. Les outils sont disponibles facilement et à moindre coût. Étant humain. En utilisant des mots de passe courants tels que qwerty123 ou Summer2018! Non, à moins que ce ne soit dans la poignée de mots de passe les plus utilisés par les attaquants.
Brute force Database extraction, cracking Très faible Varie: les hackers pénétrent le réseau pour extraire des fichiers. Cela peut être facile si l’organisation cible est faiblement défendue (par exemple, des comptes avec des mots de masse uniquement chez les administrateurs), plus difficile s'il y a des défenses appropriées de la base de données, y compris la sécurité physique et la sécurité des opérations. Les hackers effectuent un cracking sur le mot de passe. La difficulté varie selon le chiffrement utilisé. Rien Non, sauf si vous utilisez un mot de passe inutilisable (et donc un gestionnaire de mot de passe) ou une phrase secrète vraiment créative.

Weinert affirme que l'activation d'une solution d'authentification multi-facteurs bloque 99,9% des tentatives de connexion non autorisées, même si les pirates informatiques disposent d'une copie du mot de passe actuel de l'utilisateur. Le 0,1% représente des attaques plus sophistiquées qui utilisent des solutions techniques pour capturer les jetons MFA, mais ces attaques sont encore très rares.

« Votre mot de passe n’a pas d’importance en dehors du password spray (évitez les mots de passe les plus utilisés) ou du brute force (utilisez plus de 8 caractères, ou utilisez un gestionnaire de mot de passe si vous êtes vraiment inquiet). Cela ne veut pas dire que votre mot de passe n’est pas mauvais. Il est mauvais, étant donné la probabilité qu’il soit deviné, intercepté, pris via une attaque par hameçonnage ou réutilisé.

« Votre mot de passe importe peu, mais la MFA si ! Sur la base de nos études, votre compte a plus de 99,9% de moins de chances d'être compromis si vous utilisez la MFA ».

Sources : Microsoft, Microsoft

Et vous ?

Utilisez-vous une authentification à plusieurs facteurs ?
Si oui est-ce systématique ou pour des types de comptes en particulier ? Lesquels ?
Quels facteurs utilisez-vous (SMS, appel, biométrie, etc.) ?
Si non, pourquoi n'utilisez-vous pas une authentification à plusieurs facteurs ?

Voir aussi :

Pornographie : Matignon veut un système d'authentification numérique sécurisé permettant de valider la majorité de l'utilisateur sans l'identifier
Il se fait voler 100 000 $ de son compte Coinbase par des pirates qui ont pu violer l'authentification à deux facteurs
Les MdP trop faibles sont devenus une menace majeure, rendant nécessaire l'authentification multifacteur, d'après le dernier rapport WatchGuard
Microsoft va imposer l'authentification multifacteurs sur les comptes admin d'Azure AD pour réduire le risque quand un mot de passe est compromis

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 28/08/2019 à 8:11
Moi, j'aimerais juste qu'on arrête de m'enquiquiner avec des "vérifications de comptes" à chaque fois que je me déplace avec mon ordinateur portable...
5  0 
Avatar de Neckara
Expert éminent sénior https://www.developpez.com
Le 28/08/2019 à 13:32
Citation Envoyé par fredoche Voir le message
à quoi fais-tu allusion quand tu parles de vérification de comptes ?
Ah, désolé, j'avais mal compris.

C'est un système d'authentification multi-facteur utilisé par Google et M$. Tu donnes ton login/mot de passe pour t'authentifier, sauf qu'en interne, ils vont calculer un score de confiance.
Ce score est calculé (je présumes) à partir de ton adresse IP, de cookies déposés sur ton navigateur, etc. Ce qui constitue bien une authentification multi-facteur.

Le problème est que lorsque tu te déplaces, tu changes d'adresse IP. Si en plus tu ne conserves pas les cookies d'une session à l'autre (pour protéger ta vie privée), ton score de confiance est trop bas, et il faut passer par un autre système.
Pour Google, il faut donner un code que tu obtiens dans les paramètres de ton téléphone, ce qui devient enquiquinant à la longue... et faut pas avoir oublié son téléphone portable chez soit/au boulot...
Pour M$ (Skype), il faut se connecter à ta boîte mail... et si avec un peu de chance, c'est une adresse GMail, cf ci-dessus.

Bref, ils m'emmerdent alors que je ne leur ai rien demandé. Mon mot de passe Gmail, c'est une chaîne de 32 caractères générés aléatoirement (grâce à KeePass2), vont quand même pas me faire chier.

Après, l'authentification multi-facteur c'est aussi parfois une excuse pour obtenir ton numéro de téléphone (coucou Facebook).
3  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 27/08/2019 à 18:27
Il s'agit d'une précaution qui n'est pas NSA proof donc insuffisante. Excusez-moi, j'ai vu Citizenfour cet été, le documentaire sur Ed Snowden de Laure Poitras et pour ceux qui ont peur d'être paranoïaque, je vous rassure, ce n'est pas nécessaire de l'être mais cela aide pour comprendre.
2  0 
Avatar de air-dex
Membre expert https://www.developpez.com
Le 28/08/2019 à 0:27
Pour moi l'authentification par plusieurs facteurs n'a de sens que s'il y a pluralité des machines recevant les différents facteurs est respectée. Il y a "deux" dans "authentification à deux facteurs". La MFA repose sur le fait que la combinaison des appareils recevant les facteurs est censée caractériser l'utilisateur. Or aujourd'hui la tendance, du moins côté grand public, est à la consultation de tout sur tous nos appareils et aux smartphones qui font tout. Donc tous les facteurs consultables sur le même appareil, ce qui viole le principe de base de la MFA.

Une MFA efficace passerait donc par une forte discipline de l'utilisateur, du moins côté grand public. On aurait alors par exemple une boîte mail ou une ligne téléphonique (pour les SMS) qui ne serait consultée (et consultable ?) que sur un smartphone ou un PC précis. Idem pour les comptes avec des connexions sur un appareil et l'autre facteur qui serait reçu via le moyen uniquement disponible (en théorie) sur l'autre appareil. Mais qui fait ça en pratique ?
2  0 
Avatar de gallima
Membre habitué https://www.developpez.com
Le 28/08/2019 à 11:25
Ok pour l'authentification à deux facteurs, mais comment je fais pour ne pas leur laisser mon numéro de tel portable ou une autre information personnel ? Disons que les majors ne sont pas en état de grâce niveau gestion des informations personnel.
2  0 
Avatar de esperanto
Membre éprouvé https://www.developpez.com
Le 27/08/2019 à 18:07
Amusant, Microsoft qui nous met en garde contre les keyloggers alors qu'ils en ont eux-même ajouté un dans Windows 10...
5  4 
Avatar de tanaka59
Membre chevronné https://www.developpez.com
Le 28/08/2019 à 16:03
Bonjour,

Utilisez-vous une authentification à plusieurs facteurs ?
Oui pour tout ce qui est de l'argent . Quand j'accède à des services , je me fais recevoir un SMS ou un appel sur ma ligne fixe . Physiquement difficile pour un pirate d'être devant lui mon PC fixe et d'avoir aussi mon téléphone fixe. A moins d'avoir un dont d'ubiquiété ou de commettre un home jacking ... ce système coupe déjà l'herbe sous le pied.

Pour pousser le vice encore plus loin j'utilise des mail alias . C'est simple l'adresse mail alias peut envoyer ou recevoir mais ne permet de ce connecter au compte ... en cas de spam trop important ou de piratage d'une BDD comportant l'adresse >> l'adresse est détruite et recrée , c'est transparent et on ne touche pas à l'adresse principale ...

Si oui est-ce systématique ou pour des types de comptes en particulier ? Lesquels ?
Payal , la banque, mon dmp , certaines fonctionnalités des comptes Microsoft. Ayant un compte un belgique j'ai aussi un token pour le CB avec triple identification ... donc c'est encore plus secure

Quels facteurs utilisez-vous (SMS, appel, biométrie, etc.) ?
SMS , appel , courrier papier quand il s'agit de valider une adresse postale physique. Cela prouve que j'existe bien "physiquement" également

Si non, pourquoi n'utilisez-vous pas une authentification à plusieurs facteurs ?
Pour l'accès à un webmail en cas de double authentification, lors d'un voyage dans une pays style d’Asie du sud est , Afrique ou Amérique du sud , l'utilisateur légitime peut se voir bloquer par son fai pour accès suspect . C'est particulièrement chiant si les sms de récupérations ou appel n'arrivent pas ... j'ai déjà eu le tour lors d'un déplacement en Belgique. Impossible d’accéder à mon webmail , la réception d'un code de sécurité par sms ne fonctionne pas depuis l’étranger ...

Bref il y a encore beaucoup d'effort à faire pour que le système à double authentification fonctionne .
1  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 29/08/2019 à 7:50
Ok pour l'authentification à deux facteurs, mais comment je fais pour ne pas leur laisser mon numéro de tel portable ou une autre information personnel ?
Il faut utiliser un token USB par exemple, quand le système le permet.
1  0 
Avatar de Gluups
Membre confirmé https://www.developpez.com
Le 01/09/2019 à 9:27
Citation Envoyé par chrtophe Voir le message
Des fois il faut être patient, ça met un moment à arriver. Et il vaut mieux éviter d'insister pour éviter de bloquer le compte temporairement.
En effet j'ai vu Microsoft ne pas avoir envoyé le SMS au bout d'une heure, j'ai fait envoyer le code par mail et il est arrivé tout de suite.
1  0 
Avatar de crocus
Membre à l'essai https://www.developpez.com
Le 01/09/2019 à 19:03
La politique de sécurité en informatique est schizophrene. Des qu'on ouvre une fenetre, on ferme la porte et vice versa :
Les sites marchands ont le droit de stocker votre numero de carte bleue et on vous demande une double authentification
La carte contact permet de payer sans code, etc...
En attendant les usagers se pourrissent la vie avec tous ces systemes de securité que ce soit des sites marchands ou pas. L'informatique facilitait la vie à une époque mais c'est fini là.
1  0 
Contacter le responsable de la rubrique Sécurité

Partenaire : Hébergement Web