Archives de catégorie : Mots de passe

Les mots de passe font souvent la une des actualités. Ils sont au coeur de notre quotidien. Tous nos accès, que ce soit privé ou pour le travaille, sont protégés par un mot de passe.

Les experts affirment que 3 mots de passe aléatoires sont préférables à une variation complexe

La sécurité en ligne est le plus important de la sécurité informatique de son ensemble.

Protéger les différents comptes présente une gageure avec l’explosion de la cybercriminalité et les outils dont disposent les pirates informatiques pour souvent passer outre les protections déjà positionnées. Dans ce contexte, les experts de la sécurité informatique gouvernementaux ont jugé qu’il est préférable de proposer par exemple des mots de passe avec 3 mots aléatoires. Il semblerait que cette formule soit beaucoup plus efficace que la composition de lettres chiffres et symboles.

Cet article va aussi vous intéresser : Un mot de passe compromis serait la porte d’entrée de pirates informatiques dans le réseau de Colonial Pipeline

Cette observation a été émise par le National Cyber ​​​​Security Center (NCSC), organisme en faisant partie intégrante du Government Communications Headquarters. Les experts de l’institution publique estime que créer mot de passe avec trois mots aléatoires est facile à retenir ça c’est le point important. Ensuite, grâce aux combinaisons aléatoire des lettres, il constitue un système assez efficace et puissant pour protéger l’accès aux différents comptes en ligne face à la Fougue des cybercriminels. De plus, la composition complexe de mot de passe à travers les chiffres et les symboles et les lettres peut aujourd’hui être cassée par de puissants logiciels dont disposent les pirates informatiques.

L’agence a notamment ajouté dans son article que les pirates informatiques sont constamment à l’affût. Il essaie d’anticiper et de deviner certaines stratégies assez prévisibles. Des stratégies qui au lieu de rendre les mots de passe complexe les rend totalement vulnérables. Des techniques quelques remplacer la lettre 1 par le point d’exclamation ou la lettre o par un zéro.

« Les criminels autorisent de tels modèles dans leur logiciel de piratage, refusant toute sécurité supplémentaire pour de tels mots de passe. Contre intuitivement, l’application de ces exigences de complexité entraîne la création de mots de passe plus prévisibles », souligne l’organisme gouvernemental.

L’avantage des mots de passe composés de 3 mots aléatoires a pour tendance à être plus long, surtout plus difficile à deviner. De la sorte, ils utilisent des combinaisons des lettres tellement aléatoires que les vêtements de piratage se trouve dans une situation où les détecter est plus difficile.

Cependant l’organisme en demeure toujours prudent en précisant que l’utilisation de 3 mots aléatoires ne rend pas pour autant le mot de passe sur à 100 %. En effet l’utilisateur lambda peut être tenté d’utiliser des mots qui sont prévisible malheureusement. Il n’empêche que son avantage demeure la facilité de rétention et d’utilisation « parce que la sécurité qui ne peut pas être utilisée ne fonctionne pas ».

« Les astuces traditionnelles sur les mots de passe nous disant de mémoriser plusieurs mots de passe complexes sont tout simplement stupides » a signifié le Dr Ian Levy, le directeur technique du le National Cyber Security Center, sur le site Web du centre.

« Il y a plusieurs bonnes raisons pour lesquelles nous avons opté pour l’approche à trois mots aléatoires, notamment parce qu’ils créent des mots de passe plus forts et plus faciles à retenir. », décrit ce dernier. Il ajoute enfin que : « En suivant ce conseil, les gens seront beaucoup moins vulnérables aux cybercriminels et je les encourage à réfléchir aux mots de passe qu’ils utilisent pour leurs comptes importants et à envisager un gestionnaire de mots de passe. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’authentification à double facteurs sous-évaluée dans 3 pays européens

La sécurité informatique exige aujourd’hui une très bonne hygiène en matière de gestion des accès et de la sécurité des données.

Qui parle d’accès parle de de mot de passe mais aussitôt moyens permettant de pouvoir authentifier l’identité d’une personne. La pratique et plusieurs études ont pu démontrer que près de 54 % des employés réutilisent le même mot de passe sur plusieurs comptes qu’ils soient professionnels ou même personnels. Les études ont aussi démontré que les responsables d’entreprise ont de mauvaises pratiques parlons de mot de passe. En effet, 41 % d’entre eux ont la mauvaise manie de noter leur mot de passe sur des supports papiers ou numériques pour s’en rappeler.

Cet article va aussi vous intéresser : Comment contourner l’authentification à deux facteurs (2FA) ?

Récemment la société spécialisée dans la production des clés de sécurité pour l’authentification matérielle a publié récemment le résultat d’une enquête portant sur certains comportements et la capacité d’adaptation des utilisateurs de services numériques que ce soit dans la serre professionnelle ou la sphère personnel. L’étude a aussi porté sur la formation des personnels pour amortir les besoins en collaboration à distance à cause de la pandémie à coronavirus. Dans ce cadre, c’est près de 3006 personnes composées de chefs d’entreprises, de cadres supérieurs et d’employés qui ont été interrogés durant l’étude. L’enquête a été réalisée en France, au Royaume-Uni et en Allemagne. Elle a débuté le 19 février 2021 a pris fin le 3 mars 2021. Les employés interrogés dans le cadre de l’enquête ont été à un moment ou un autre contraint de travailler depuis leur domicile sur des appareils personnels et sur des appareils professionnels à la fois.

Selon cette étude, il a été remarqué au niveau de l’utilisation des appareils professionnels, que les employés avaient tendance à s’en servir pour des besoins personnels. L’étude a aussi analyser :

– La manière de mémoriser et de partager les mots de passe ;

– L’adoption de l’authentification à double facteur

– Le déploiement des mesures annexe 2 sécurité informatique.

C’est une chose n’est pas de nouvelles dans ce résultat, c’est le fait que les employés ont de mauvaises pratiques en matière de sécurité informatique. Mais pas seulement les employés les cadres supérieurs et les chefs d’entreprise ont été considéré comme les plus mauvais élèves de la bande.

Par ailleurs, il a été mis en évidence que les entreprises avaient tendance à négliger ce qu’ils pourraient être considérés comme les meilleures pratiques en matière de sécurité informatique, à appliquer dans les activités extérieures aux bureaux.

Seulement, une très grande minorité a affirmé avoir déployé l’authentification à multiples facteurs depuis le début de la pandémie et l’explosion du télétravail. Parmi elles, la majorité utilise encore des mode moins fiable d’authentification à double facteur

« L’étude montre que de nombreuses organisations sont encore en train de trouver leurs marques dans ces nouveaux environnements de travail, essentiellement virtuels, et si cette flexibilité peut offrir de nouvelles opportunités aux entreprises et aux employés, elles ne doivent pas ignorer les risques croissants de cybersécurité qui en découlent. Les acteurs de la menace trouvent des moyens nouveaux et innovants de compromettre les défenses des entreprises, ce qui nécessite des solutions de sécurité modernes comme la YubiKey. Une étude réalisée par Google souligne en effet les avantages notables et le retour sur investissement de l’authentification matérielle YubiKey ainsi que sur le travail de normalisation que nous avons mené. », détaille Stina Ehrensvärd, PDG et fondatrice de Yubico.

On peut retenir comme principales conclusions de l’analyse de yubikey :

– 54 % des employés utilisent les mêmes mots de passe pour plusieurs comptes qu’ils soient professionnels ou personnels ;

– 22 % des professionnels interrogés ont avoué qu’ils notent souvent leur mot de passe sur des supports physiques ou numériques. Ils composent à 41 % de chef d’entreprise et 32 % de cadres supérieurs.

– 42 % des personnes qui ont été interrogées ont avoué qu’ils utilisent de façon quotidienne leur appareils professionnels pour des visages personnelles ou domestiques dans le cadre du télétravail ; 29 % de 7 personnes ont tendance à utiliser leurs appareils professionnels pour réaliser des transactions bancaires ou des achats en ligne.

– 7 % d’entre eux ont reconnu qu’ils s’en servaient pour accéder à des services streaming illégaux.

On a aussi observé que plus d’employés et grade et plus il est plus susceptible de poser des actes contraires à la bonne hygiène de sécurité informatique.

– 44 % des chefs d’entreprise ont reconnu qu’ils exécutent souvent des activités personnelles sur leurs ordinateurs destinés au boulot et cela, de façon quotidienne depuis qu’ils travaillent à domicile. Cela est de même pour 39 % de cadres supérieurs.

– 23 % des chefs d’entreprises et 15 % de cadres supérieurs visite des sites internet de streaming ou de visionnage illicites avec leur ordinateur ou leurs appareils professionnels.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un mot de passe compromis serait la porte d’entrée de pirates informatiques dans le réseau de Colonial Pipeline

Suite à l’attaque qui a été subi par ces systèmes informatiques, le géant américain Colonial Pipeline a mis sur le coup une entreprise de cybersécurité chargé de mener l’enquête.

Selon les résultats fournis par cette entreprise, l’attaque aurait réussi à l’aide de mots de passe compromis. Une cyberattaque qui qui a causé la fermeture de la société de distribution de carburant à travers les États-Unis.

Cet article va aussi vous intéresser : Les autorités américaines réussissent à saisir la rançon versée aux pirates informatiques par Colonial Pipeline

Selon la société de cybersécurité embauchée par la société américaine, le mot de passe corrompu sur est lié à l’utilisation d’un compte de réseau virtuel privé qui était utilisé auparavant. Un compte qui n’est plus actif aujourd’hui. L’informations a été confirmé par le vice-président de la division criminalistique de FireEye, Mandiant.

Le premier problème concerne le compte qui lui n’était pas protégé par une couche de sécurité tel que l’authentification à multiples facteurs. En clair, les conclusions émises par le spécialiste de Mandiant, chargé de l’enquête tout s’est joué par un mot de passe. Durant l’interview ces derniers déclarent : « les pirates informatiques liés au groupe de cybercriminels opérateurs du ransomware DarkSide ont utilisé un seul mot de passe compromis sur un réseau privé virtuel (VPN), accédant aux serveurs de Colonial le 29 avril par le biais d’un compte qui n’était plus utilisé, mais qui pouvait encore accéder aux réseaux de la société. ».

Cependant, on ne sait toujours pas comment les pirates informatiques ont réussi à mettre la main sur le mot de passe corrompu. On retient tout de même le danger que constitue les pirates opportunistes. Il n’est pas moins, du manque d’hygiène de la part du personnel d’une entreprise surtout une entreprise aussi importante que Colonial Pipeline.

À titre de rappel, précisons l’attaque informatique subie par le géant américain a été révélé le 7 mai 2021 après qu’un employé a vu apparaître sur l’écran d’un ordinateur de la salle de contrôle une demande de rançon par les pirates informatiques. L’attaque est attribuée à propos de cybercriminels derrière le programme informatique du nom de DarkSide. Ce groupe de pirates informatiques serait est d’origine russe. En plus de déployer eux-mêmes leur rançongiciel, ces derniers ont tendance à le mettre à la disposition d’autres groupes de pirates informatiques, on échange de recevoir une partie des rançons qu’ils obtiendront.

Pour ce qu’il en est du mode opératoire de DarkSide, c’est presque classique dans le domaine. En effet, à l’instar de plusieurs autres groupes, il cible généralement des entreprises ou des organisations ayant des polices d’assurance contre des attaques informatiques et bien sûr qu’ils détiennent dans des données suffisamment sensibles pour les contraindre à payer la rançon sous forme de chantage. Le Président Directeur Général de Colonial Pipeline a reconnu avoir payé une rançon de 4,4 millions de dollars aux Cybercriminels.

Selon le spécialiste en sécurité informatique chargé de l’enquête, le mot de passe corrompu qui servit aux pirates informatiques à réussir leur coup était disponible sur le forum du dark web, ce qui signifie qu’un employé de colonial pipeline a utilisé ou continue d’utiliser les mêmes mots de passe sur plusieurs comptes.

L’un des aspects les plus délicats et qui fâche dans cette histoire, c’est le fait que le compte concerné ne pas protéger par aucun code ou aucune couche supplémentaire de sécurité. En d’autres termes, pas de d’authentification multiples.

« Ils n’ont pas mis en œuvre l’authentification multifacteur sur leurs VPN. Il s’agit de l’un des vecteurs d’attaque les plus courants. Les VPN à eux seuls ne suffisent pas », a déclaré le spécialiste.

« Nous avons effectué une recherche assez exhaustive de l’environnement pour essayer de déterminer comment ils ont obtenu ces informations d’identification », souligne Carmakal. « Nous ne voyons aucune preuve d’hameçonnage pour l’employé dont les informations d’identification ont été utilisées. Nous n’avons pas vu d’autres preuves de l’activité de l’attaquant avant le 29 avril ». Ajoute ce dernier.

En outre, l’enquête a montré que rien ne prouvait manifestement que les pirates informatiques ont réussi à avoir accès à des infrastructures qui était de Colonial Pipeline.

De son côté, les premiers responsables du géant américain a interpellé le gouvernement sur la nécessité de s’attaquer aux pirates informatiques qui se cache derrière les frontières de la Russie. « En fin de compte, le gouvernement doit se concentrer sur les acteurs eux-mêmes. En tant qu’entreprise privée, nous n’avons pas la capacité politique de fermer les pays hôtes qui abritent ces mauvais acteurs ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

8 milliards de mots de passe en libre circulation : la plus grosse fuite de données de l’histoire de l’informatique

Ce fichier est intitulé « RockYou2021 ».

Selon les estimations des experts de la plateforme en ligne CyberNews, il pèse environ 100 Giga Octets. Il constitue ce qui peut être qualifié de la plus grosse fuite de données jamais observée de l’histoire d’Internet. Selon les auteurs de cette révélation, ce fichier comporterait 80 de milliards de mot de passe. C’est un ensemble de données de connexion qui ont été récoltés au fur et à mesure du temps. Particulièrement ces dernières années. Cette information a été en partie altérée par une équipe des informaticiens qui affirment que le fichier ne contiendrait que 8,4 milliards de mot de passe.

Cet article va aussi intéresser : Une fuite de données d’un méga-fichier pirate sur 1,2 milliard d’internautes

En faisant un rapprochement selon lequel 4,7 milliards de personnes à travers le monde utilisent Internet, qu’il y’a de chance que cette fuite massive de données de mots de passe implique l’entièreté de la population mondiale.

On rappelle qu’en février une fuite massive du même genre avait été observée Avec 3,2 milliards de mot de passe qui ont été pompés des comptes sociaux quelques Gmail, Hotmail, et LinkedIn.

Pour le moment on ne sait pas d’où provient exactement ces mots de passe. Cependant selon l’opérateur qui est à l’origine de la publication de ce fichier, les mots de passe comporterait entre 6 à 20 caractères complet sans espace. Face à la situation, les experts informatiques exposent clairement leur inquiétude face à la probabilité d’attaque imminente. Avec la qualité de ces données en circulation, le risque est plus qu’imminent.

Du côté de CyberNews, un programme de vérification de fuite de données personnelles a été déployé ainsi qu’un vérificateur destiné au mot de passe divulgué. Ce qui signifie que vous pouvez vérifier si vous êtes touchés ou non par le fichier « RockYou2021 », pour cela il vous suffit de vous rendre sur le site de la plate-forme américaine en ligne.

Par ailleurs il faudrait retenir que jusqu’au soir du 8 juin 2021, le fichier était toujours en ligne. Donc il est préférable pour vous de revoir vos mots de passe et de les changer si possible.

Il est aussi conseillé aux utilisateurs de faire attention aux messages suspects, aux spams et autres emails de provenance inconnue.

« Aujourd’hui est le jour pour changer tous vos mots de passe. Vous avez peut-être repoussé cela en pensant que vous n’êtes pas affecté. Vous l’êtes. Nous le sommes tous. Vous avez maintenant une excellente raison : protéger votre vie privée et vos biens. Tout et n’importe quoi sortira alors ne perdez pas de temps. Changez tous vos mots de passe immédiatement. Et assurez-vous qu’ils sont uniques et complexes ! », explique Saryu Nayyar, PDG de Gurucul, leader de la sécurité unifiée et de l’analyse des risques. La société fournit des modèles d’apprentissage automatique pour la détection d’anomalies en temps réel.

« C’est peut-être la plus grande violation de nom d’utilisateur/mot de passe de tous les temps, mais ce ne sera pas la dernière. L’interdiction des mots de passe n’est pas une solution à court terme à ce problème. Au lieu de cela, assurez-vous que les noms d’utilisateur/mots de passe ne suffisent pas à eux seuls pour accéder aux systèmes backend. L’ajout d’une exigence de facteurs appropriés et vérifiés de manière indépendante pour accéder à vos serveurs garantira que votre entreprise n’est pas affectée par des attaques de bourrage d’informations d’identification basées sur des violations. », souligne David Stewart PDG d’Approov.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La journée mondiale du mot de passe vu par Kaspersky

Chaque année, le premier jeudi du mois de mai correspond à l’événement qui représente la journée mondiale du mot de passe.

Une occasion de mettre cartes sur table sur les différentes pratiques d’utilisation de ce mode de protection de connexion ainsi que l’hygiène en matière de sécurité informatique dans son ensemble. S’il est décrié de part et d’autre, nous ne pouvons nier que le mot de passe représente le principal mode de protection des connexions et de l’utilisation des services numériques.

Cet article va aussi vous intéresser : Journée mondiale du mot de passe : doit-on se débarrasser du mot de passe ?

Pour ce qui est de la sécurité des données personnelles, c’est une question qui est toujours d’actualité. En effet, l’utilisation massive des solutions numériques oblige l’internaute à laisser constamment des informations sur lui un peu partout sur les plateformes qu’il ‘utilisent. Selon une étude menée par DoubleVerify, le temps que passe une qui les acteurs au quotidien devant des contenus en ligne a littéralement doublé depuis la pandémie à coronavirus. Aujourd’hui et de 6 heures 59 minutes.

Selon une étude de Kaspersky nommé : « Consumer appetite versus action : The state of data privacy amid growing digital dependency » :

  • 31 % des personnes qui ont été interrogé affirme avoir fait l’expérience d’une intrusion dans leur appareil numérique ;
  • La moitié d’entre eux ont admit avoir subi des pertes financières ;
  • 28 % des utilisateurs affirme avoir été soit victime de piratage informatique ou de tentative d’intrusion en particulier au niveau des réseaux sociaux.

Face à toute cette réalité, la pertinence des mots de passe est pointé du doigt. Surtout quand on constate une montée en puissance de certaines pratiques d’authentification tel que la biométrique ou encore le double facteur. Face à cette situation, le chercheur en sécurité informatique, Ivan Kwiatkowski, affirme malgré tout que le mot de passe reste l’une des techniques le plus d’efficacité pour se protéger contre la cybermalveillance

« La multiplication des sites nécessitant un mot de passe a entrainé des travers, dus aux limites de la mémoire : comment se souvenir d’une grosse centaine (minimum) de codes secrets générés pour une multitude de services en ligne ? L’accélération des usages numériques a impliqué la modification des pratiques de sécurité et notamment de l’usage du mot de passe. Une fuite de données sur l’un des sites sur lesquels on dispose d’un compte, ou une attaque par force brute deviendront alors particulièrement graves si elles permettent à l’attaquant d’accéder à l’intégralité des comptes d’une victime. » note ce dernier.

« C’est là qu’intervient le besoin du mot de passe fort. Quand le mot de passe se retrouve dans la nature et qu’un individu malveillant souhaite se le procurer, le nombre et la variété de caractères impacteront le temps nécessaire au déchiffrage. Si l’attaquant parvient à découvrir le mot de passe original, un autre type d’attaque entre en jeu : le credential stuffing qui consiste à tester les identifiants et mots de passe sur de nombreux sites Internet. S’impose alors le mot de passe unique pour qu’une faille de sécurité n’ait d’impact que sur le site où il a été utilisé. », ajoute-il.

Même si plusieurs moyens de fortifications se développent, pourra-t-on pour autant condamner le mot de passe à une fin certaines.

« Non, même s’il il n’existe déjà plus dans sa forme initiale grâce à des outils très utiles : les gestionnaires de mot de passe qui existent sous forme open source, via des outils dédiés comme KeyPass, Mooltipass ou via des éditeurs (Kaspersky Password Manager par exemple). Ils génèrent des mots de passe complexes et les mémorisent. Aucune excuse pour ne pas en utiliser car certains de ces outils sont gratuits. La plupart de ces gestionnaires offrent la possibilité de synchroniser les données sur nos différents appareils. Parfaitement sécurisés, s’ils sont bien utilisés ces gestionnaires permettent de redorer le blason de ce premier rempart contre les compromissions de comptes : le mot de passe. Il ne nous reste plus qu’à retenir l’unique sésame d’entrée à l’outil et ensuite, laisser le gestionnaire de mots de passe faire tout le reste. », explique l’expert de Kaspersky.

Le mot de passe demeure essentiel. Peu importe ce qu’on dit, il serait littéralement difficile de s’en débarrasser. Car tous les modes alternatifs de sécurisation de compte présentent aussi leurs inconvénients.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage