Si le fournisseur de service prend en charge l’authentification multifacteur, Microsoft recommande de l’utiliser, qu’il s’agisse d’un mot de passe aussi simple que des mots de passe à usage unique basés sur SMS ou des solutions biométriques avancées.
« Chaque semaine, j'ai au moins une conversation avec un décideur en matière de sécurité durant laquelle j'explique pourquoi une grande partie de l'hyperbole à propos des mots de passe - "n'utilisez jamais un mot de passe qui a fuité", "utilisez des mots de passe très longs", "les phrases secrètes vont nous sauver", etc. - va à l'encontre de nos recherches et de la réalité que voit notre équipe alors que nous nous défendons chaque jour contre des centaines de millions d'attaques au mot de passe. Se concentrer sur les règles de mot de passe plutôt que sur ce qui peut vraiment aider, comme l'authentification multifactorielle (MFA) ou la détection efficace des menaces, n'est qu'une distraction.
« Parce que voici le truc: quand il s’agit de composition et de longueur, votre mot de passe n’a pas d’importance ».
Weinert faisait partie des ingénieurs de Microsoft qui ont travaillé en 2016 pour interdire les mots de passe faisant partie des listes de violations publiques des systèmes Account et Azure AD de Microsoft. Grâce à son travail, les utilisateurs de Microsoft qui utilisaient ou tentaient d'utiliser un mot de passe fuité dans une précédente violation de données ont été invités à modifier leurs informations d'identification.
Mais Weinert a déclaré que malgré le blocage des informations d'identification divulguées ou des mots de passe simplistes, les pirates informatiques ont continué à compromettre les comptes Microsoft au cours des années suivantes.
Il attribue cela au fait que les mots de passe ou leur complexité ne comptent plus vraiment. De nos jours, les pirates disposent de différentes méthodes pour mettre la main sur les informations d'identification des utilisateurs, et dans la plupart des cas, le mot de passe importe peu.
Attaque | Aussi connue sous le nom de ... | Fréquence | Difficulté : mécanisme | L'utilisateur aide l'attaquant en ... | Votre mot de passe est-il important ? |
Credential stuffing | Breach replay, list cleaning | Très haute - plus de 20 millions de comptes sondés quotidiennement dans les systèmes d'identification MSFT | Très facile : les identifiants achetés sur des sites compromis avec des stratégies de repos des données incorrectes sont testés pour rechercher des correspondances sur d'autres systèmes. Les outils de type list cleaning sont facilement disponibles | Étant humain. Les mots de passe sont difficiles à imaginer. 62 % des utilisateurs admettent les réutiliser | Non - l'attaquant a le mot de passe exact. |
Phishing | Man-in-the-middle, credential interception | Très haute. 0,5 % de tous les mails entrants. | Facile : les hackers envoient des courriels qui promettent de divertir ou qui sont menaçants, et donnent un lien malveillant à l’utilisateur pour l'inviter à se connecter. Ils vont alors se saisir de ses identifiants. L'utilisation de Modlishka ou des outils similaires facilite énormément cette procédure. | Étant humain. Les gens sont curieux ou inquiets et ignorent les signes avant-coureurs. | Non - l'utilisateur donne le mot de passe à l'attaquant |
Keystroke logging | Malware, sniffing | Faible | Moyen: les logiciels malveillants enregistrent et transmettent les noms d'utilisateur et les mots de passe saisis, mais généralement tout le reste également, de sorte que les attaquants doivent analyser les éléments. | En cliquant sur les liens, en étant administrateur, en ne recherchant pas de programmes malveillants. | Non - le malware intercepte exactement ce qui est tapé. |
Local discovery | Dumpster diving, physical recon, network scanning. | Faible | Difficile : les hackers recherchent dans le bureau ou le journal de l’utilisateur les mots de passe écrits, analysent le réseau pour chercher des partages ouverts, recherchent des identifiants dans le code ou les scripts de maintenance. | Écrire des mots de passe (en raison de la complexité ou du manque de SSO); utilisation de mots de passe pour les comptes non suivis | Non - mot de passe exact découvert. |
Extortion | Blackmail, Insider threat | Très faible. Mais excellente dans les films. | Difficile : les hackers menacent de blesser ou d’embarrasser le titulaire d’un compte si des informations d’identification ne sont pas fournies. | Étant humain | Non - mot de passe exact divulgué |
Password spray | Guessing, hammering, low-and-slow | Très élevée - représente au moins 16 % des attaques. Parfois, des centaines de milliers de comptes sont ouverts par jour. Des millions sont sondés chaque jour. | Trivial : les hackers se servent des listes d'utilisateurs faciles à acquérir, essayent le même mot de passe sur un très grand nombre de noms d'utilisateurs. Règlent la vitesse et la distribution sur de nombreuses adresses IP pour éviter la détection. Les outils sont disponibles facilement et à moindre coût. | Étant humain. En utilisant des mots de passe courants tels que qwerty123 ou Summer2018! | Non, à moins que ce ne soit dans la poignée de mots de passe les plus utilisés par les attaquants. |
Brute force | Database extraction, cracking | Très faible | Varie: les hackers pénétrent le réseau pour extraire des fichiers. Cela peut être facile si l’organisation cible est faiblement défendue (par exemple, des comptes avec des mots de masse uniquement chez les administrateurs), plus difficile s'il y a des défenses appropriées de la base de données, y compris la sécurité physique et la sécurité des opérations. Les hackers effectuent un cracking sur le mot de passe. La difficulté varie selon le chiffrement utilisé. | Rien | Non, sauf si vous utilisez un mot de passe inutilisable (et donc un gestionnaire de mot de passe) ou une phrase secrète vraiment créative. |
L’entreprise insiste sur l’importance du MFA
S'exprimant lors de la conférence de sécurité RSA la semaine dernière, les ingénieurs de Microsoft ont déclaré que 99,9 % des comptes compromis qu'ils suivent chaque mois n'utilisent pas l'authentification multifacteur, une solution qui arrête la plupart des attaques de compte automatisées.
L’éditeur a déclaré qu'il suivait plus de 30 milliards d'événements de connexion par jour et plus d'un milliard d'utilisateurs actifs par mois. Microsoft a déclaré qu'en moyenne, environ 0,5 % de tous les comptes étaient compromis chaque mois, un nombre qui, en janvier 2020, était d'environ 1,2 million.
Bien que tous les piratages de compte soient mauvais, ils sont pires lorsque le compte est destiné à être utilisé par un collaborateur dans une entreprise. De ces comptes très sensibles, seulement 11 % avaient une solution d'authentification multifacteur (MFA) activée, en janvier 2020, a déclaré Microsoft.
Dans la plupart des cas, les piratages de compte se produisent après des attaques plutôt simplistes. La source principale de la plupart des piratages de comptes Microsoft était le password spray, une technique au cours de laquelle un attaquant choisit un mot de passe commun et facile à deviner, et passe par une longue liste de noms d'utilisateurs jusqu'à ce qu'ils obtiennent une bonne réponse et puisse accéder à un compte en utilisant ledit mot de passe.
La deuxième source de piratage de compte, a déclaré Microsoft, était la relecture des mots de passe, une technique qui implique qu'un attaquant récupère les informations d'identification divulguées dans une autre entreprise, puis essaie les mêmes informations d'identification sur un compte Microsoft, en espérant que l'utilisateur réutilisait les noms d'utilisateur et les mots de passe.
« Nous savons que 60% des utilisateurs réutilisent les mots de passe. C'est très courant », a déclaré Lee Walker, architecte d'identité et de sécurité chez Microsoft. « Ne vous y méprenez pas, les gens réutilisent leurs comptes d'entreprise dans des environnements non d'entreprise ».
Walker a déclaré que la grande majorité des attaques par password spray et relecture de mot de passe qui ont lieu sur l'infrastructure de Microsoft sont exécutées et ciblent les anciens protocoles d'authentification hérités, tels que SMTP, IMAP, POP et autres. Plus précisément, 99% de toutes les attaques par pulvérisation de mots de passe et 97% des attaques par relecture de mots de passe sont effectuées via des protocoles d'authentification hérités.
La raison, selon l’éditeur, est que ces protocoles d'authentification hérités ne prennent pas en charge les solutions MFA, ce qui les rend idéaux pour les pirates.
Les entreprises qui laissent ces protocoles d'authentification hérités activés pour leurs systèmes et réseaux cloud sont exposées aux attaques et doivent les désactiver dès que possible. Selon Microsoft, les résultats sont palpables et ils ont constaté une réduction de 67 % des compromissions de compte pour les entreprises qui désactivent les protocoles d'authentification hérités.
Cependant, selon Microsoft, la première étape pour chaque entreprise devrait être d’activer une solution MFA pour les comptes d’utilisateur, d’abord et avant tout.
L’année dernière, par le billet de Weinert, Microsoft a affirmé que l'activation d'une solution d'authentification multifacteur bloque 99,9 % des tentatives de connexion non autorisées, même si les pirates informatiques disposent d'une copie du mot de passe actuel de l'utilisateur. Le 0,1 % représente des attaques plus sophistiquées qui utilisent des solutions techniques pour capturer les jetons MFA, mais ces attaques sont encore très rares.
« Votre mot de passe n’a pas d’importance en dehors du password spray (évitez les mots de passe les plus utilisés) ou du brute force (utilisez plus de 8 caractères, ou utilisez un gestionnaire de mot de passe si vous êtes vraiment inquiet). Cela ne veut pas dire que votre mot de passe n’est pas mauvais. Il est mauvais, étant donné la probabilité qu’il soit deviné, intercepté, pris via une attaque par hameçonnage ou réutilisé.
« Votre mot de passe importe peu, mais la MFA si ! Sur la base de nos études, votre compte a plus de 99,9 % de moins de chances d'être compromis si vous utilisez la MFA ».
Source : conférence RSA
Et vous ?
Vous servez-vous d'un des anciens protocoles d'authentification hérités tels que SMTP, IMAP, POP et autres en entreprise ?
Avez-vous activé l'authentification multifacteur sur votre compte entreprise ? Sur vos comptes personnels ?
Concernant le compte de votre entreprise, l'authentification multifacteur est-elle une recommandation, une obligation ou n'est-elle pas évoquée ?