Des outils du dark web mettent en lumière les dangers d'une mauvaise gestion des mots de passe
Selon Recorded Future
Le 2020-06-17 05:53:33, par Blondelle Mélina, Chroniqueuse Actualités
Des outils tels que les « checkers » et « Brute Forcers » disponibles gratuitement sur le dark web aident les criminels non qualifiés à lancer des attaques automatisées contre les sites web des organisations.
Recorded Future, entreprise spécialisée dans l’analyse des données de la cybersécurité, révèle dans un rapport que les industries les plus touchées par ces outils sont les industries de conception des logiciels, les médias et les divertissements, le commerce électronique, la finance et les télécommunications.
Il souligne que la réutilisation des mots de passe et la mauvaise hygiène de la gestion des mots de passe restent parmi les principaux problèmes pour permettre des attaques réussies de bourrage de comptes.
Les « checkers » (ou vérificateurs) sont des outils automatisés (scripts ou logiciels) utilisés par les cybercriminels pour vérifier en masse la validité des combinaisons d'identifiants de connexion des utilisateurs. Ces vérificateurs peuvent utiliser la page principale du site web, l'application mobile ou une fonction de l'interface de programmation d'application (API) pour identifier les comptes valides.
Les « Brute forcers » quant à eux sont également des outils automatisés mais adaptés au craquage de mots de passe. Ils sont utilisés pour accéder à des comptes d'utilisateurs par le biais de requêtes automatisées de serveurs. Ces outils tentent de deviner et de craquer des mots de passe ou des noms d'utilisateurs en utilisant une méthode d'essai et d'erreurs ou via une attaque par force brute (ou dictionnaire).
Des informations partielles telles qu'un nom d'utilisateur obtenu à partir d'un vidage de données permettent également à un attaquant d'utiliser plus facilement la force brute pour obtenir le mot de passe.
Les auteurs du rapport notent que : « les cybercriminels utilisent couramment des listes contenant des milliers d'informations d'identification avec des outils automatisés, personnalisés et « prêts à l'emploi » disponibles sur le dark web. De nombreux outils prennent en charge un nombre illimité de plugins personnalisés appelés « configs » qui permettent aux cybercriminels de cibler presque toutes les entreprises présentes en ligne et de procéder à des rachats de comptes ».
Afin de se protéger, le rapport suggère que les mesures que les entreprises peuvent prendre comprennent une sensibilisation accrue à la sécurité des mots de passe parmi leurs utilisateurs ainsi que l'exigence d'une forme supplémentaire d'authentification telle que MFA (multi-factor authentication, en anglais ou authentification à plusieurs facteurs) ou CAPTCHA. Aussi, ajoute le rapport, les mots de passe des clients doivent toujours être stockés en toute sécurité dans un format haché.
Le rapport conclut : « les cybercriminels continueront à utiliser des « checkers » et « Brute Forcers » en raison du succès qu'ils ont remporté en obtenant un accès non autorisé aux comptes d'utilisateurs et des profits qu'ils réalisent en vendant des comptes fissurés dans l'économie souterraine. Cette pratique continuera à menacer les entreprises et les utilisateurs individuels jusqu'à ce que de meilleures pratiques d'hygiène des mots de passe et des mesures de sécurité soient mises en œuvre ».
Source : Recorded Future
Et vous ?
Voir aussi
Recorded Future, entreprise spécialisée dans l’analyse des données de la cybersécurité, révèle dans un rapport que les industries les plus touchées par ces outils sont les industries de conception des logiciels, les médias et les divertissements, le commerce électronique, la finance et les télécommunications.
Il souligne que la réutilisation des mots de passe et la mauvaise hygiène de la gestion des mots de passe restent parmi les principaux problèmes pour permettre des attaques réussies de bourrage de comptes.
Les « checkers » (ou vérificateurs) sont des outils automatisés (scripts ou logiciels) utilisés par les cybercriminels pour vérifier en masse la validité des combinaisons d'identifiants de connexion des utilisateurs. Ces vérificateurs peuvent utiliser la page principale du site web, l'application mobile ou une fonction de l'interface de programmation d'application (API) pour identifier les comptes valides.
Les « Brute forcers » quant à eux sont également des outils automatisés mais adaptés au craquage de mots de passe. Ils sont utilisés pour accéder à des comptes d'utilisateurs par le biais de requêtes automatisées de serveurs. Ces outils tentent de deviner et de craquer des mots de passe ou des noms d'utilisateurs en utilisant une méthode d'essai et d'erreurs ou via une attaque par force brute (ou dictionnaire).
Des informations partielles telles qu'un nom d'utilisateur obtenu à partir d'un vidage de données permettent également à un attaquant d'utiliser plus facilement la force brute pour obtenir le mot de passe.
Les auteurs du rapport notent que : « les cybercriminels utilisent couramment des listes contenant des milliers d'informations d'identification avec des outils automatisés, personnalisés et « prêts à l'emploi » disponibles sur le dark web. De nombreux outils prennent en charge un nombre illimité de plugins personnalisés appelés « configs » qui permettent aux cybercriminels de cibler presque toutes les entreprises présentes en ligne et de procéder à des rachats de comptes ».
Afin de se protéger, le rapport suggère que les mesures que les entreprises peuvent prendre comprennent une sensibilisation accrue à la sécurité des mots de passe parmi leurs utilisateurs ainsi que l'exigence d'une forme supplémentaire d'authentification telle que MFA (multi-factor authentication, en anglais ou authentification à plusieurs facteurs) ou CAPTCHA. Aussi, ajoute le rapport, les mots de passe des clients doivent toujours être stockés en toute sécurité dans un format haché.
Le rapport conclut : « les cybercriminels continueront à utiliser des « checkers » et « Brute Forcers » en raison du succès qu'ils ont remporté en obtenant un accès non autorisé aux comptes d'utilisateurs et des profits qu'ils réalisent en vendant des comptes fissurés dans l'économie souterraine. Cette pratique continuera à menacer les entreprises et les utilisateurs individuels jusqu'à ce que de meilleures pratiques d'hygiène des mots de passe et des mesures de sécurité soient mises en œuvre ».
Source : Recorded Future
Et vous ?
Voir aussi
-
tanaka59InactifBonjour
C'est déjà le cas sur des sites de VAD et des fournisseurs de mail.
Au bout de 3 à 10 tentatives comptes bloqués pour , 1, 2 ,3 ou 24h ... Genre sur Developpez après 5 tentatives le compte est bloquéle 27/06/2020 à 17:07 -
foxzoolmMembre habituéimposer le mot de passe à l'utilisateur ?
vue que de toute manière les browser modernes ont toujours un plugin de gestion des mot de passes.
apres, il y aura juste a éduquer l'utilisateur a chiffrer sa base de mot de passes avec 1 et 1 seul mot de passe (complexe) a retenir...le 20/06/2020 à 4:43 -
tanaka59InactifBonjour,On force les gens a tenter le diable avec une gestionnaire de mot de passe ... pour stocker des mots de passes de services de divertissement en masse. En entreprise bon c'est un peu plus particulier , entre la connexion aux appli interne et aux ERP , c'est déjà un peu différent. Cela reste de l'interne à l'entreprise.Que pensez-vous de ce rapport de sécurité ?
Vu ce qui c'est passé chez Last Pass à 2 reprises , non je me méfie des gestionnaires de mots de passes .
Entre le PC qui tombe en rade, le vole du PC et l'accès au gestionnaire qui est resté open et le ransomware qui chiffre la BDD locale ... le choix est vite fait ... Ne pas tenter le diable.MFA > contournable via un piratage / receptionage frauduleux des SMS.Que vous inspire MFA ou le service CAPTCHA proposé comme solution par Recorded Future contre cette menace de sécurité ?
CAPTCHA > possibilité qu'un boot contourne avec reconnaissance d'image ou ORC.
Sinon que dire du MFA >
- pas confiance pour tout les sites web (sauf service financier ou la c'est compréhensible)
- parfois chiant à utiliser , quid de la connexion si pas de mobile à disposition ? volé ? perdu ? en panne ? Quid lorsqu'on doit faire la manip pour une tiers personne (grand parent, personne agé ) et qu'on a pas de mobile ou pas accès à son mobile ?
CAPTCHA >
- je trouve que c'est un peu merdique comme techno , quid si le captcha foire et ne permet de se connecter ?le 21/06/2020 à 21:00 -
Ces sites web "checkés en brute force" n'ont donc aucune stratégie de protection sur ce type d'usage ???le 26/06/2020 à 21:47
-
ZalemCitizenMembre à l'essai@foxzoolm oui Keepass rulez!
par contre, perso je ne m'en remets pas à l'absence supposée de faille ou à la correction rapide d'une faille découverte dans la fonctionnalité de stockage des pass d'un navigateur, quel qu'il soit.
A proscrire.le 27/06/2020 à 9:04 -
etienne etienneFutur Membre du ClubPourtant pour se protéger des attaques en brut de force il devrait être possible de gérer un nombre limité de tentatives et envoyer un mail d'alerte au détenteur du compte quand ce nombre est atteint, non ? Ne pas limiter à trois ou quatre bien entendu, mais après une centaines de tentatives sur un laps de temps très court c'est clair que c'est une attaque. Associé avec une mot de passe relativement long ça laisse une bonne marge, non ? Je ne suis pas spécialiste mais ça me semble cohérent.le 27/06/2020 à 14:43
-
Avec MAC OS et Safari, il y a un système qui propose un mot de passe lors de la connexion initiale à un compte, et ensuite on peut le stocker dans le "Trousseaux d'accès", qui reste local.
C'est un bon compromis. Après à chacun sa manière de faire.le 26/06/2020 à 21:45 -
etienne etienneFutur Membre du ClubMerci de ta réponse. Ça rend effectivement l'attaque très difficile pour ne pas dire impossible avec un long mot de passe, ça confirme ce que je pensais. Encore un domaine que je dois explorer même si ça ne touche pas directement mon job.le 27/06/2020 à 18:18