Archives pour la catégorie Mots de passe

Les mots de passe font souvent la une des actualités. Ils sont au coeur de notre quotidien. Tous nos accès, que ce soit privé ou pour le travaille, sont protégés par un mot de passe.

La société de sécurité qui relève des milliers de mots de passe voler sur Google sans aucune protection

Récemment, il a été révélé publiquement, une campagne en d’hameçonnage par la société américaine spécialisée dans la sécurité informatique, Checkpoint.

Des milliers d’identifiant de connexion en l’occurrence des mots de passe ont été exposés en clair sur Google. Des mots de passe qui ont été volés à des entreprises des secteurs assez délicats tels que l’énergie ou encore la construction.  Une fois leur coup réussi, la pirate informatique ont utilisé deux sites WordPress pour héberger les données de connexion dérobées. Malheureusement pour eux ou pour les victimes, ces sites web ont été indexés par Google, faisait en sorte de rendre les informations accessibles par n’importe qui utilisant le moteur de recherche.

Dans la pratique, il faut signifier que le géant de Mountain View détecte en moyenne près de 18 millions de programmes malveillants et de mails destinés au phishing par jour. De ce fait, il n’est pas rare que le moteur de recherche indexe automatiquement une plateforme qui contient des données volées. C’est sûrement ce qui s’est passé dans notre cas d’espèce.

Cet article va aussi vous intéressé : La clé USB de Google en soutien des mots de passe

Les secteurs de l’énergie de la construction ont été apparemment dans cette campagne de phishing les cibles de pirates informatiques pour une quelconque raison. La fuite de données dans ce contexte devient assez délicate. En effet, il suffit d’une simple rocket pour que n’importe qui puisse avoir connaissance de ces informations. Bien sûr, l’utiliser comme bon lui semble.

Pour reprendre plus facilement leur mail de phishing, les pirates informatiques qui se sont servis d’un serveur Linux. Serveur qui était hébergé sur Microsoft Azure. Il en est de même pour les adresses mails piratés censé aider à détourner les soupçons. Dans le mail de phishing, il était adjoint fichier HTML. Dans ce fichier il y avait un code JavaScript à qui il est inclus. Récupérer certaines informations des victimes, pour ensuite les diriger vers une page de connexion qui apprend une forme classique.

« Bien que cette attaque peut paraître simple, elle a réussi […] à voler les identifiants de plus d’un millier d’employés » explique l’éditeur de solutions de sécurité informatiques, Check Point.

Apparemment les cybercriminels qui ont procédé au vol de ces informations ont encrier nom de domaine sur WordPress pour héberger leur information. Le problème c’est que ces derniers ont utilisé des noms de domaine déjà connus. Ce qui a nettement facilité l’indexation sur le moteur de recherche de Google. Le problème c’est que le serveur devra rester en ligne pendant 2 mois si les pirates informatiques décident de s’en débarrasser.

« Les attaquants préfèrent généralement utiliser des serveurs compromis au lieu de leur propre infrastructure en raison de la réputation reconnue des sites existants » souligne Check Point.  « Plus une réputation est reconnue, plus il y a de chances que le mail ne soit pas bloqué par les fournisseurs de sécurité ».

Selon Checkpoint, Google aurait été averti par ses soins. Pour le moment, l’on attend de voir si les données vont être retirées par le moteur de recherche ou non.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les communautés qui réunissent les mauvais mots de passe

Dans un rapport fourni en début de ce mois, le spécialiste de la gestion des mots de passe Dashlane n’a pas manqué de pointer du doigt les mauvaises pratiques en matière de mot de passe des personnels de certaines grandes entreprise et services du numériques

Malgré les sensibilisations sur l’importance d’une meilleure gestion des mots de passe et des bons réflexes en matière de sécurité informatique, il faudrait avouer que les utilisateurs de services numériques ne font pas suffisamment d’effort. Que ce soit l’activation de l’authentification à double facteur ou encore l’utilisation d’un mot de passe différent sur chaque site internet visité sans oublier l’utilisation de gestionnaire de mot de passe, il n’est pas facile de laisser tomber de mauvaises manières de sitôt.

Cet article va aussi vous intéresser : Les experts encouragent les sites web à autoriser le collage de mot de passe

Dans le classement du plus mauvais élève en matière de gestion de mot de passe, les employés du réseau social Twitter sont en tête de liste. Cela s’explique notamment par le piratage informatique a subi au réseau social par le fait d’un gamin de 17 ans originaire de la Floride. Ce dernier avait réussi à tromper les salariés du réseau social en utilisant la simple technique de l’ingénierie sociale, ce qui lui a d’ailleurs permis de pouvoir publier des arnaques au bitcoin en utilisant les profils de près de 130 comptes parmi les plus suivis. À l’occurrence celui de Joe Biden, de Bill Gates, de Elon Musk… Il a fallu demander à tous les employés du réseau social de changer leur mot de passe afin de pouvoir colmater la brèche informatique. Il a été estimé par le service informatique que ces milliers d’employés n’était pas suffisamment bien protégés.

En seconde position, les utilisateurs de l’application de visioconférence Zoom. Durant le mois d’avril dernier, environ 500 000 comptes ont été publié sur le dark web. Les pirates informatiques en réussi à obtenir ces informations en utilisant des bots. Il a suffi de faire la fameuse pratique du Credential Stuffing, qui consiste en tout simplement a insisté à travers plusieurs combinaisons dans le but de trouver le bon mot de passe.  Malheureusement les comptes qui étaient protégés par des mots de passe assez faibles sont facilement voler.

En troisième position des mauvaises élèves en matière de mot de passe, nous avons les utilisateurs du célèbre constructeur de console japonais Nintendo. Ici il a été mis en cause à la fois les joueurs et la société japonaise. Plus de 300 000 utilisateurs de Nintendo ont malheureusement été piratés au cours de cette année. Et cela en pleine période de la crise sanitaire, là où l’utilisation de ce genre de services était beaucoup appréciée, pour lutter contre l’ennui de confinement. Tout comme pour les utilisateurs de l’application de visioconférence Zoom, le pirate informatique en utilisant la même stratégie de Credential Stuffing associée à l’attaque par force brute. Bien sûr les utilisateurs ayant les mots de passe les plus fragiles ont été ceux qui ont été piratés. Selon le spécialiste des gestionnaires de mot de passe, la société japonaise devrait revoir sa sécurité.

Par ailleurs plusieurs autres groupes ont subit ce genre de même revers. Si cela a permis à ces derniers de rehausser d’une certaine manière la qualité de leur sécurité informatique, il n’en demeure pas moins que certains cas restent symboliques. Il y a par exemple la fuite de données massive appartement à près de 9 millions de clients de la société de transport aérien d’easyJet. Cette dernière a malheureusement fauté en laissant échapper des données importantes quelques des informations bancaires de prêt de 2000 de ses clients et plusieurs informations d’identification et s’adresse électroniques. C’est en Avril dernier que la faille a été révélée au grand public alors que la compagnie aérienne était bel et bien au courant de la vulnérabilité depuis le mois de janvier.

Parmi les fuites de données iconiques, on peut aussi citer celui du groupe hôtelier Marriott. Dans ce cas c’est près de 500 millions de clients qui ont vu la données personnelles volées par les pirates informatiques en 2018, suite à une attaque informatique subie par la société en début de l’année. La raison principale de cette cyberattaque a été l’utilisation d’identifiants compromis par plusieurs membres du personnel.

En outre, nous pouvons aussi citer l’expérience du plus grand bureau des crédits au monde connu sur le nom de Experian. La société a malheureusement commis une grosse erreur, salle de transmettre à un pirate informatique, des informations personnelles, car ce dernier avait réussi à se faire passer pour un client, auprès d’une filiale sud-africaine de la multinationale. Le bilan a été sans appel, plus de 24 millions de personnes ont été impactés directement ainsi que près de 800 000 entreprises en Afrique du Sud.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les pires mots de passe de l’année 2020

Comme nous le savons, les mots de passe se présentent comme étant le premier obstacle des cybercriminels lorsqu’ils viennent accéder à un contenu numérique qui ne leur ai pas autorisé.

C’est pour cela que depuis des années, la sensibilisation tourne autour de l’utilisation de ces outils de sécurité par excellence. Pourtant, les utilisateurs de services numériques continuent d’être négligents au niveau de leur formulation de mot de passe.

Cet article va aussi vous intéresser : Top 100 des pires mots de passe de l’année 2019

Chaque année, l’on observe des compositions de mot de passe aussi simple que naïve. On se demande alors ce qui ne marche pas où ce qu’il faudrait faire pour attirer encore plus l’attention des uns des autres. « Les experts en cybersecurité partagent souvent des conseils à faire ou à éviter en matière de mots de passe, qui constituent un élément essentiel des bonnes pratiques d’hygiène informatique. Et pourtant, les recensements annuels des mots de passe les plus courants montrent que beaucoup d’entre nous continuent à privilégier la commodité par rapport à la sécurité, ce qui expose nos comptes et nos données au risque de vol. », déclare Benoit Grunemwald Expert en Cyber sécurité.

Au vu de cela, la société NordPass, a publié un récent document mettant en évidence les 200 mots de passe les plus utilisés sur le web en 2020. Cette publication continue de rappeler que les mauvaises habitudes ont la peau dure. Certaines combinaisons déjà connu comme étant des pires mots de passe les années antérieures sont toujours utilisé par les internautes. Parmi lesquels de mort les fameux « 1 2 3 4 5 6 » et « 1 2 3 4 5 6 7 8 9 » ou encore « 1 2 3 4 5 6 7 8 ». Ces combinaisons demeurent toujours à la tête des mots de passe les plus utilisés.

Parmi les célébrités les mots de passe les plus utilisés étant quand même les plus mauvais, vient « picture1 » sans oublier l’inégalable « password » qui chaque année est dans le top 5.

La publication de cette liste par les spécialistes de la sécurité n’est pas une chose tout à fait anodine. En effet, le top 5 des mots de passe, que nous avons cité plus haut, compte près de 4,5 millions de la terre sur le web. Ce qui constitue un chiffre impressionnant. Malgré toutes les sensibilisations qui ont été faîtes sur le sujet. De plus, plus de 30 millions des expositions et de violations de données numériques ont été facilitées ou causées par ce type de mot de passe. Ce sont les mots de passe qui peuvent facilement être désignés par un cybercriminel en moins d’une seconde.

Pour l’année 2020, 78 nouveaux mots de passe se sont ajoutés à la liste des indésirables. Nous pouvons citer notamment « senha » (mot de passe utilisé par les lusophones), « Million2 » ou encore « aaron431 » qui est utilisé simplement comme mot de passe assez populaire sans les chiffres qui vont avec.

Pour vous rassurer et voir si votre mot de passe ne fait pas partie de la liste de ses indésirables, vous pouvez tout simplement consulter la liste complète sur le blog de NordPass.

Par ailleurs, en tant qu’utilisateur de service numérique en plein temps, il vous est déconseillé d’utiliser le même mot de passe sur plusieurs plateformes à la fois. Les risques sont assez grands, surtout à cette période où les violations et fuites de données sont légions.

« Si vous utilisez un ou plusieurs de ses mots de passes pour vos comptes, vous devez remédier à la situation dès à présent. Tout d’abord, pensez à utiliser une phrase de passe unique pour chacun de vos comptes en ligne ; si vous le faites bien, il sera beaucoup plus difficile, voire impossible, de le deviner. Pendant que vous y êtes, évitez plusieurs autres écueils en matière de gestion des mots de passe, y compris le recyclage des mots de passe. » conseille Benoit Grunemwald . Il est clair que vous pouvez vous aider grâce à un gestionnaire de mot de passe, si constituer plusieurs mots de passe risque de vous fatiguer, il y a aussi le générateur de mot de passe qui existent pour faciliter la tâche quant à la gestion de ce précieux sésame. Enfin il est beaucoup recommandé d’associer l’utilisation de mot de passe par une authentification à double facteur. Histoire de rendre votre sécurité beaucoup plus concrète et difficile à briser.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les experts encouragent les sites web à autoriser le collage de mot de passe

Constamment sur le site web, les mauvais empêchent de coller nos mots de passe en passant de compte à compte.

Et les raisons qui légitimeraient cet obstacle seraient pour des questions de sécurité.

Cet article va aussi vous intéresser : Les sites ont-ils le droit de bloquer les utilisateurs qui refusent d’accepter leurs cookies ?

Mais le débat a été relancé tout récemment par une organisation gouvernementale du Royaume-Uni chargée d’assister et de fournir des conseils au secteur privé et public dans le domaine de la sécurité informatique, la NCSC (National Cyber Security Center). Cette dernière estime que les débats se fondant sur la sécurité comme raison valable pour interdit le collage de mot de passe sur les site web ne permet pas d’améliorer cette même sécurité dont il ait question. À l’inverse, l’agence gouvernementale britannique déclare clairement une vision tout à fait opposée : « nous pensons qu’empêcher le collage de mot de passe est une mauvaise chose qui réduit la sécurité. Nous pensons que les utilisateurs doivent être autorisés à coller leurs mots de passe dans des formulaires, ce qui contribuerait à améliorer la sécurité ».

 La NCSC pense que cela est totalement exagéré voir dérisoire de penser que coller un mot de passe sur un site web est risquée pour la sécurité de l’usager. Dans un billet de blog, l’agence gouvernementale annonce ouvertement que cette pratique a pour avantage d’améliorer la sécurité des utilisateurs : « personne n’a produit un document, une règle, un RFC (un document de normes techniques pour planifier le fonctionnement d’Internet) ou quoi que ce soit d’autre qui ait permis de commencer cette pratique. Si vous en connaissez un, faites-le-nous savoir en utilisant le formulaire de commentaires ci-dessous. Nous pensons que c’est l’une de ces idées de ‘meilleures pratiques’ qui a un attrait instantané de bon sens. Compte tenu de la situation dans son ensemble aujourd’hui, cela n’a vraiment aucun sens ».

Du coup l’on se demande en quoi cette pratique est une bonne chose. L’agence gouvernementale énonce comme principale raison, le fait que cette pratique peut permettre de réduire la surcharge de mot de passe. Elle déclare à cet effet : « autoriser le collage de mots de passe permet aux formulaires Web de bien fonctionner avec les gestionnaires de mots de passe ». Elle a profité pour mettre en avant l’utilisation des gestionnaires de mot de passe qui offrent plusieurs avantages à l’utilisateur, lors de sa connexion sur différents comptes. Non seulement cela lui permet d’utiliser plusieurs mots de passe au lieu d’en n’utiliser qu’un seul pour ses différentes connexions. Mais il est aussi épargné de certaines frustrations tout en le rendant plus productif. Cependant, les gestionnaires de mot de passe ne sont pas des solutions qui résolvent tous les problèmes : « bien que les gestionnaires de mots de passe puissent offrir une meilleure protection que, par exemple, le fait de conserver vos mots de passe dans un document normal (et donc non protégé) sur votre ordinateur, ils ne sont pas une solution miracle pour résoudre tous les problèmes de mot de passe d’une organisation ».

Cependant, la NCSC propose pour accompagner l’autorisation de collage en deux mots de passe sur les sites un certain scénario permettant de le rendre plus utile. « Autorisez votre site Web à accepter le collage de mots de passe, cela le rend plus sûr », réclame le National Cyber Security Center. Pour ce dernier cela est une bonne pratique en matière informatique. Et elle se justifie.

Tout d’abord, Nous avons certains défenseurs de l’anti collage de mot de passe déclare qu’autoriser la pratique voulue par l’agence britannique et une manière de rendre encore plus vulnérables les sites web et d’autres pages face aux logiciels malveillants, ou cela serait de nature à permettre plus facilement les attaques de par force brute. La NCSC contre cette supposition en déclarant que si cela est possible comme beaucoup d’autres possibilités de cyberattaques dans différents domaines, le risque que des cybercriminels puissent utiliser le collage de mot de passe pour initier des attaques de force brute en est très faible. Et cela est peu pratique pour ces derniers.

D’autres affirment qu’autoriser et le collège de mot de passe pousserait les utilisateurs à les oubliés plus facilement, car ils n’auront plus besoin de les saisir constamment sur leur clavier. Là encore l’agence britannique confirme que le principe est totalement correct. Cependant, les utilisateurs n’ont pas besoin de toujours se souvenir de leurs mots de passe car les services qui demandent ces mots de passe ne sont pas constamment utilisés par ces derniers. Ce qui veut dire que le risque de l’oubli demeure quand même. Et cela n’est pas exclusivement exclusive au collage de mot de passe.

Au final pour la NCSC: « les avantages l’emportent sur les inconvénients, et par beaucoup (…) Plutôt que d’empêcher le collage de mots de passe, aidez vos ordinateurs à éviter d’attraper des virus en premier lieu en suivant nos conseils sur la sécurisation informatique de l’entreprise. Et installez les mises à jour logicielles – la version informatique de manger cinq fruits et légumes par jour. C’est l’un des meilleurs moyens de sécuriser votre ordinateur ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Il faut renforcer les mots de passe

Les cyber-incidents se sont multipliés depuis 2 mois et il y a de fortes chances que cela continue pendant un peu longtemps.

Les pirates informatiques ont le vent en poupe et ciblent pratiquement tout ce qu’ils peuvent toucher, notamment les applications de visioconférence qui sont à la mode de nos jours, les établissements de santé, l’Organisation mondiale de la santé, les entreprises privées dans une partie de leurs salariés sont en télétravail, à cause des mesures de confinement générale.

Cet article va aussi vous intéresser : La sécurité des mots de passe et de l’authentification

Parlant du télétravail l’un des boosters de la cybercriminalité durant ces 2 derniers mois, il faut noter que les entreprises se sont organisées et ont fait de leur mieux pour sécuriser au maximum la collaboration à distance. Mais tout ceci a été une épreuve dans l’ensemble qui a permis de déceler les insuffisances et les qualités des différents réseaux et systèmes d’information. À ce titre, les sociétés de spécialisée dans la sécurité informatique n’ont jamais été autant sollicitées sur une période aussi courte.

Cependant tous les systèmes de sécurité ont a été confrontés à différent difficultés. En particulier, les mots de passe qui ont été mis en danger par l’explosion des campagnes de phishing. Il y a 3 jours de cela c’était la journée mondiale du mot de passe. Une journée qui a permis de ré visiter et de voir dans quelle mesure l’adapter aux besoins et réalités de l’authentification actuelle, qui pendant très longtemps a été la base de la sécurité de connexion. De nos jours,  le mot de passe est fragile face à l’explosion des services numériques, et au développement constant de méthode de cybercriminalité. Il est d’ailleurs beaucoup critiqué. Les spécialistes sont de plus en plus attirés vers des solutions impliquant les technologie d’authentification biométrique. En début de cela, les spécialistes continuent de le renforcer et expliquer qu’il peut toujours être utile, mais avec un usage discipliné. « Les pirates peuvent déchiffrer un mot de passe à 7 caractères en 0,29 milliseconde. De nombreuses entreprises savent aujourd’hui identifier les problèmes relatifs aux mots de passe, mais beaucoup peinent encore à intégrer le fait que la sécurité doit être au cœur du processus de développement logiciel. Car l’une des parties les plus importantes d’une application Web est le mécanisme d’authentification, qui va au-delà de la barrière du mot de passe. Ce mécanisme sécurise le site et crée également des limites pour chaque compte utilisateur. » explique Nabil Bousselham, architecte de solutions chez Veracode.

Ce dernier explique qu’il est possible de mettre à l’abri des attaques toujours en disant le mot de passe, mais pas seulement ça : « Au cours de cette nouvelle décennie axée sur les données, un simple mot de passe statique ne suffira pas. Bien que les entreprises sont conscientes du rôle que joue la sécurité applicative dans la protection des données, les banques et les autres secteurs doivent s’approprier davantage l’authentification des applications pour aider à détecter les accès frauduleux à un compte », declare Nabil Bousselham.

Par conséquent, il faut noter que le mot de passe comme méthode de sécurisation de l’authentification et de la connexion ne suffit plus à lui seul aujourd’hui. Il faudrait alors l’accompagner avec plusieurs mesures, telle que l’authentification à multiples facteurs par exemple. Il conclura en notant ces derniers conseils aux entreprises : « En cette Journée mondiale du Mot de passe, j’appelle donc les entreprises à responsabiliser les développeurs en les formant aux meilleures pratiques en matière de codage sécurisé et en fournissant les bons outils. L’objectif est d’éviter que les utilisateurs ne soient exposés davantage aux violations de données. Par ailleurs, les utilisateurs doivent activer l’authentification multifactorielle afin de réduire le risque de prise de contrôle par les cyber attaquants (…) De manière générale, les mots de passe doivent toujours être uniques, régulièrement renouvelés et stockés dans un coffre-fort sécurisé. Certaines informations d’identification devront être mémorisées. N’hésitez donc à pas constituer un mot de passe long et difficile à deviner ».

Si l’évidence montre qu’aujourd’hui, le mot de passe n’arrive plus à sécuriser convenablement les connexions, il m’en demeure pas moins, que l’on ne peut s’en débarrasser aussi précipitamment. Son utilité demeure et peut renforcer pas différentes méthodes qui aujourd’hui existe bel et bien.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage