Le rapport, intitulé "Account Takeover in 2022", fait un tour d'horizon des fuites de données personnelles, les identifiants et mots de passe divulgués, qui ont eu lieu au cours de ces deux dernières années. L'analyse a révélé que plus de la moitié des 24,6 milliards de paires d'identifiants volés disponibles à la vente sur le dark Web ont été exposées au cours de l'année dernière. Dans l'ensemble des données d'identification du dark Web, environ 6,7 milliards d'offres présentaient une combinaison unique de nom d'utilisateur et de mot de passe, indiquant que la combinaison n'était pas dupliquée dans les bases de données.
C'est 1,7 milliard de plus que ce que les chercheurs ont trouvé en 2020. Le rapport montre que les marchés qui vendent ces informations d'identification sont robustes et sophistiqués, avec plusieurs services d'abonnement qui émergent pour offrir des services premium criminels pour les acheter. Mais encore, les chercheurs de Digital Shadows ont découvert qu'un grand nombre des mots de passe examinés dans ces bases de données volées n'étaient pas très sûrs à l'origine. Le rapport indique que près d'un mot de passe sur 200 trouvé dans les informations d'identification proposées à la vente par les criminels est 123456.
Et sur les 50 mots de passe les plus couramment utilisés parmi ceux recueillis dans le cadre du rapport, 49 peuvent être déchiffrés en moins d'une seconde à l'aide d'outils également disponibles sur les forums clandestins. « Les cybercriminels disposent d'une liste infinie d'informations d'identification qu'ils peuvent essayer, mais ce problème est aggravé par la faiblesse des mots de passe, ce qui signifie que de nombreux comptes peuvent être devinés en quelques secondes à l'aide d'outils automatisés », explique Chris Morgan, analyste principal des renseignements sur les cybermenaces chez Digital Shadows.
Par conséquent, qu'un acheteur criminel achète une liste d'informations d'identification volées ou un craqueur de mots de passe, les comptes utilisant uniquement ces informations d'identification sont extrêmement vulnérables aux attaques. Selon les experts en cybersécurité, avec toutes ces informations d'identification disponibles à la vente en ligne, les attaques par prise de contrôle de compte (account takeover attacks - ATO) ont également proliféré. De plus, les chercheurs expliquent que 75 % des mots de passe en vente en ligne n'étaient pas uniques. Pour cela, ils estiment que tout le monde devrait se méfier.
Pour se protéger contre les attaques de prise de contrôle de compte, l'équipe propose d'avoir recours à la protection proactive des comptes, l'application systématique de bonnes habitudes d'authentification et la prise de conscience de l'empreinte numérique de l'organisation. Dans le cas des particuliers, l'équipe indique qu'ils devraient "utiliser une authentification multifactorielle, des gestionnaires de mots de passe et des mots de passe complexes et uniques". Mais les experts pensent également que le mot de passe touche à sa fin en raison des difficultés pour le sécuriser et l'arrivée prochaine des ordinateurs quantiques.
Selon ces derniers, la solution contre les fuites de données est les applications ou les solutions sans mot de passe. En effet, l'authentification sans mot de passe (ou "authentification moderne", comme certains l'appellent) est le terme utilisé pour décrire un groupe de méthodes de vérification d'identité qui ne reposent pas sur des mots de passe. La biométrie, les clés de sécurité et les applications mobiles spécialisées sont toutes considérées comme des méthodes d'authentification "sans mot de passe" ou "moderne". Bien qu'elles existent depuis plusieurs années, ces méthodes sont encore très peu utilisées.
Selon un récent rapport de Dark Reading, seuls 26 % des décideurs informatiques ont déclaré travailler dans une organisation sans mot de passe, et 87 % ont admis qu'ils avaient au moins une catégorie d'informations d'identification qui dépendait encore des mots de passe. Les systèmes les plus courants qu'ils souhaitaient pouvoir authentifier sans mot de passe étaient les connexions aux postes de travail, les applications d'entreprise existantes et les applications cloud. Et ces chiffres concernent principalement les comptes d'entreprise, sans tenir compte du problème encore plus épineux de l'authentification des consommateurs.
L'une des plus fortes pressions en faveur de l'authentification sans mot de passe vient de l'Alliance FIDO qui, depuis plus de dix ans, publie des normes pour des mécanismes d'authentification à haut niveau d'assurance afin de mettre les mots de passe à rebut. Au début de l'année, l'Alliance FIDO a dévoilé sa vision des certificats FIDO (avec des clés liées à l'appareil) multiappareils à utiliser dans les cas d'utilisation grand public. Selon le groupe, ces clés sont plus sûres que les mots de passe et sont conçues pour faciliter les connexions sur les appareils mobiles et les ordinateurs de bureau.
En mai, Apple, Google et Microsoft ont annoncé qu'ils allaient mettre en œuvre la prise en charge de ces normes dans leurs plateformes. Mais en attendant, les experts expliquent que les organisations ne peuvent pas se permettre d'ignorer le problème toujours croissant des identifiants volés et trafiqués utilisés pour l'ATO.
Source : Digital Shadows
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l'ampleur des données en vente sur le dark Web ?
Que pensez-vous des recommandations pour aider les internautes et les organisations à se protéger ?
Que pensez-vous des allégations selon lesquelles l'ère du mot de passe est révolue ?
Pensez-vous que l'authentification sans mot de passe est plus sécurisée que l'authentification par mot de passe ?
Selon vous, pourquoi l'authentification sans mot de passe ne parvient-il pas à s'imposer ?
Que pensez-vous des coûts de mise en œuvre de l'authentification sans mot de passe ?
Voir aussi
Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe
Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET
Microsoft, Apple et Google accélèrent les efforts pour éliminer les mots de passe sur les grandes plateformes, les géants de la Tech veulent déployer la norme "passkey" de FIDO dans l'année à venir
Un million d'enregistrements de clients exposés via une instance Elasticsearch, y compris les détails des utilisateurs