Les gestionnaires de mots de passe sont les nouvelles cibles des hackers : 25 % des logiciels malveillants ciblent désormais ces magasins de mots de passe, selon une nouvelle étude de Picus SecuritySelon une récente étude, les gestionnaires de mots de passe tels que 1Password sont les nouvelles cibles des pirates informatiques. Les dernières recherches de Picus Security révèlent notamment que 25 % des logiciels malveillants ciblent désormais ces outils de gestion de mots de passe.
Ces révélations interviennent à un moment où de nombreux utilisateurs ont encore du mal à gérer leurs mots de passe. En effet, selon les résultats d'une enquête réalisée par Keeper Security en 2024, 62 % des personnes interrogées s'inquiètent de devoir gérer un trop grand nombre de mots de passe, 26 % d'entre elles se fiant à leur mémoire, 24 % les écrivent et 19 % les stockent dans un navigateur ou une application de notes sur leur téléphone.
La plupart des gestionnaires de mots de passe disponibles actuellement requièrent une forme de sécurité supplémentaire avant de permettre l'accès. Par exemple, sur iPhone, le navigateur web Firefox demande l'identification par reconnaissance faciale (Face ID) avant de déverrouiller son gestionnaire de mots de passe intégré. Cependant, sur PC, ce dernier n'est pas protégé si vous êtes connecté, ce qui en fait une cible potentielle.
Alors que d'autres applications laissent également l'utilisateur sans protection une fois connecté, Picus Security a révélé que les logiciels malveillants découverts dans le cadre de l'étude parviennent à s'infiltrer dans les systèmes d'exploitation tels que Windows.
Selon le Dr Suleyman Ozarslan, vice-président de Picus Labs, les acteurs malveillants programment des logiciels malveillants pour mener toutes sortes d'attaques. « Les acteurs de la menace utilisent des méthodes d'extraction sophistiquées, y compris le scraping de la mémoire, la collecte du registre et la compromission des magasins de mots de passe locaux et basés sur le cloud, pour obtenir des informations d'identification qui donnent aux attaquants les clés du royaume. », a déclaré Suleyman Ozarslan dans un communiqué.
Les applications telles que 1Password disposent d'un « mot de passe principal » qui, une fois acquis, peut causer des dommages importants. Toutefois, la récente découverte de Picus Security pourrait ne pas ralentir l'adoption du logiciel.
Comme indiqué plus haut, les navigateurs sont désormais dotés de leurs propres gestionnaires de mots de passe intégrés. Des applications telles que LastPass et NordPass sont de plus en plus populaires en raison de la nécessité croissante d'utiliser des mots de passe complexes, dont même l'utilisateur aura du mal à se souvenir.
Comment lutter contre les pirates des gestionnaires de mots de passe
L'authentification à deux facteurs (2FA) est recommandée pour tous les comptes importants. Pour ce faire, vous pouvez utiliser l'authentificateur de Google, qui génère une série de chiffres à saisir avant de pouvoir accéder à votre compte. Au niveau le plus élémentaire, l'authentification à deux facteurs par messagerie texte devrait être envisagée.
Alors que les mots de passe sont constamment soumis à des risques, des entreprises comme Microsoft et Apple tentent progressivement d'en débarrasser les utilisateurs en proposant des alternatives de plus en plus répandues comme les Passkeys ou les identifiants biométriques. En 2024, Microsoft a supprimé les mots de passe d'un milliard d'utilisateurs, mais le géant de Seattle dispose également d'une liste de mots de passe interdits sur son service de cloud Azure.
Les chercheurs en sécurité de Picus Labs ont évalué et traité 1 094 744 logiciels malveillants en 2024 et ont ainsi découvert plus de 14 millions d'« actions malveillantes ». Il est intéressant de noter que selon l'étude, il n'y a pas eu « d'augmentation significative » des « logiciels malveillants pilotés par l'IA » en 2024.
Malgré les inquiétudes liées à l'IA et à la cybersécurité, les experts estiment que les failles de sécurité traditionnelles demeurent un risque important, en particulier pour les gestionnaires de mots de passe. LastPass a par exemple été très critiqué pour ses failles de sécurité répétées, après avoir révélé qu'un cyberincident survenu en août 2022 avait été bien pire qu'ils ne l'avaient admis.
Alors que les hackers ciblent désormais davantage les gestionnaires de mots de passe, les experts en cybersécurité conseillent aux utilisateurs d'abandonner Lastpass pour des solutions comme Bitwarden ou 1Password, reprochant à l'outil « sa longue histoire d'incompétence et de négligence ».
Source : Etude de Picus Security
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous les conclusions de cette étude de Picus Security crédibles ou pertinentes ?Voir aussi :
Google veut rendre les mots de passe obsolètes en faisant des "passkeys" l'option par défaut Google Chrome pourrait bientôt utiliser l'IA pour modifier automatiquement vos mots de passe compromis, mais à quel prix pour votre vie privée ? Apple lance son propre gestionnaire de mots de passe pour permettre aux utilisateurs de naviguer plus facilement dans leurs collections de mots de passe, mais il est limité par rapport aux solutions tierces
Vous avez lu gratuitement 4 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.