Archives pour l'étiquette mot de passe

La journée mondiale du mot de passe vu par Kaspersky

Chaque année, le premier jeudi du mois de mai correspond à l’événement qui représente la journée mondiale du mot de passe.

Une occasion de mettre cartes sur table sur les différentes pratiques d’utilisation de ce mode de protection de connexion ainsi que l’hygiène en matière de sécurité informatique dans son ensemble. S’il est décrié de part et d’autre, nous ne pouvons nier que le mot de passe représente le principal mode de protection des connexions et de l’utilisation des services numériques.

Cet article va aussi vous intéresser : Journée mondiale du mot de passe : doit-on se débarrasser du mot de passe ?

Pour ce qui est de la sécurité des données personnelles, c’est une question qui est toujours d’actualité. En effet, l’utilisation massive des solutions numériques oblige l’internaute à laisser constamment des informations sur lui un peu partout sur les plateformes qu’il ‘utilisent. Selon une étude menée par DoubleVerify, le temps que passe une qui les acteurs au quotidien devant des contenus en ligne a littéralement doublé depuis la pandémie à coronavirus. Aujourd’hui et de 6 heures 59 minutes.

Selon une étude de Kaspersky nommé : « Consumer appetite versus action : The state of data privacy amid growing digital dependency » :

  • 31 % des personnes qui ont été interrogé affirme avoir fait l’expérience d’une intrusion dans leur appareil numérique ;
  • La moitié d’entre eux ont admit avoir subi des pertes financières ;
  • 28 % des utilisateurs affirme avoir été soit victime de piratage informatique ou de tentative d’intrusion en particulier au niveau des réseaux sociaux.

Face à toute cette réalité, la pertinence des mots de passe est pointé du doigt. Surtout quand on constate une montée en puissance de certaines pratiques d’authentification tel que la biométrique ou encore le double facteur. Face à cette situation, le chercheur en sécurité informatique, Ivan Kwiatkowski, affirme malgré tout que le mot de passe reste l’une des techniques le plus d’efficacité pour se protéger contre la cybermalveillance

« La multiplication des sites nécessitant un mot de passe a entrainé des travers, dus aux limites de la mémoire : comment se souvenir d’une grosse centaine (minimum) de codes secrets générés pour une multitude de services en ligne ? L’accélération des usages numériques a impliqué la modification des pratiques de sécurité et notamment de l’usage du mot de passe. Une fuite de données sur l’un des sites sur lesquels on dispose d’un compte, ou une attaque par force brute deviendront alors particulièrement graves si elles permettent à l’attaquant d’accéder à l’intégralité des comptes d’une victime. » note ce dernier.

« C’est là qu’intervient le besoin du mot de passe fort. Quand le mot de passe se retrouve dans la nature et qu’un individu malveillant souhaite se le procurer, le nombre et la variété de caractères impacteront le temps nécessaire au déchiffrage. Si l’attaquant parvient à découvrir le mot de passe original, un autre type d’attaque entre en jeu : le credential stuffing qui consiste à tester les identifiants et mots de passe sur de nombreux sites Internet. S’impose alors le mot de passe unique pour qu’une faille de sécurité n’ait d’impact que sur le site où il a été utilisé. », ajoute-il.

Même si plusieurs moyens de fortifications se développent, pourra-t-on pour autant condamner le mot de passe à une fin certaines.

« Non, même s’il il n’existe déjà plus dans sa forme initiale grâce à des outils très utiles : les gestionnaires de mot de passe qui existent sous forme open source, via des outils dédiés comme KeyPass, Mooltipass ou via des éditeurs (Kaspersky Password Manager par exemple). Ils génèrent des mots de passe complexes et les mémorisent. Aucune excuse pour ne pas en utiliser car certains de ces outils sont gratuits. La plupart de ces gestionnaires offrent la possibilité de synchroniser les données sur nos différents appareils. Parfaitement sécurisés, s’ils sont bien utilisés ces gestionnaires permettent de redorer le blason de ce premier rempart contre les compromissions de comptes : le mot de passe. Il ne nous reste plus qu’à retenir l’unique sésame d’entrée à l’outil et ensuite, laisser le gestionnaire de mots de passe faire tout le reste. », explique l’expert de Kaspersky.

Le mot de passe demeure essentiel. Peu importe ce qu’on dit, il serait littéralement difficile de s’en débarrasser. Car tous les modes alternatifs de sécurisation de compte présentent aussi leurs inconvénients.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ramener les mots de passe dans nos habitudes de sécurité

Le 6 mai est considéré comme la journée mondiale du mot de passe.

Chaque année, cet événement est fêté pour rappeler à quel point la sécurité informatique telle que nous l’appréhendons aujourd’hui a été le fruit de longs cheminot. Le mot de passe est l’un des premiers systèmes à être développé pour protéger les connexions et les sessions. Aujourd’hui si la multiplication des cyberattaques fait douter de son efficacité, il n’en demeure pas moins que son utilisation reste essentielle.

Cet article va aussi vous intéresser : Attaque informatique contre SolarWinds : un stagiaire pointé du doigt pour fuite de mot de passe

Les mots de passe en soi ne sont pas un problème de sécurité. C’est plutôt les pratiques qui tourne autour qui les rends vulnérables. Un mot de passe solide peut-être fiable et protéger aucune donnée biométrique. Mais son appréhension n’est pas aussi simple que ce que les utilisateurs lambda le croient.

« Nombreux sont les utilisateurs qui définissent encore le même mot de passe pour l’ensemble de leurs comptes en ligne. Il s’agit d’une pratique très risquée, car une fois qu’un compte est compromis, l’attaquant a accès à une plus grande variété d’actifs. Au-delà de cette réutilisation, la définition de mots de passe évidents, comme par exemple 12345 ou azerty, le fait de ne pas les mettre à jour régulièrement, de les stocker à portée de l’ordinateur ou encore de les partager avec des tierces personnes constituent une voie royale pour les cybercriminels. Toutes ces mauvaises pratiques augmentent en effet le risque de violation pour une entreprise, car un attaquant peut plus facilement voler ou pirater ces mots de passe. Au regard de la croissance continue du nombre de cybermenaces, il est primordial de former les salariés, de les sensibiliser aux bonnes pratiques qui permettent une gestion efficace des identifiants et, surtout, d’ériger une première ligne de défense solide. », explique Pierre-Louis Lussan, Directeur Pays France et Europe du Sud-Ouest chez Netwrix.

« Une autre mesure importante consiste à utiliser une application logicielle de gestion de mots de passe qui génère puis récupère des informations d’identification complexes, et les stocke dans une base de données chiffrée. En outre, l’utilisation d’un outil d’expiration de mot de passe qui rappelle automatiquement aux utilisateurs de changer leurs identifiants avant leur expiration est également une solution efficace. Cela permet d’exiger des changements de combinaison réguliers sans pour autant surcharger le service IT d’appels pour réinitialiser les mots de passe expirés. », conseille notre expert.

Nous le savons aujourd’hui et cela est une évidence. Mal gérer les mots de passe peut avoir des conséquences très dramatiques. Cela est valable à la fois pour les entreprises mais aussi pour les particuliers. Les cybercriminels sont alors à l’affût et guette le moindre relâchement, la moindre négligence à ce niveau pour lancer une attaque informatique. C’est d’ailleurs pour cette raison que l’attention des responsables de sécurité de système d’information. « Si les professionnels de l’informatique ne parviennent pas à mettre à jour et à sécuriser les mots de passe de ces comptes à privilèges, les cybercriminels peuvent les pirater plus facilement et accéder au réseau de l’organisation. Ensuite, ils peuvent utiliser les informations d’identification d’administrateur compromises pour contourner les contrôles d’accès sur diverses ressources ou systèmes informatiques afin d’accéder à des données sensibles. », Pierre-Louis Lussan.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

3 pratiques pour une meilleure sécurité

1 – Adopter une politique de gestion des mots de passe

Le mot de passe est essentiel pour la protection le système informatique ou d’un terminal. C’est d’ailleurs le premier obstacle auquel se confronte et pirate informatique lorsqu’il tente une intrusion. Cependant, la mauvaise gestion des mots de passe aujourd’hui la tâche facile au cybercriminels. Cela semble assez compréhensif quand il faut utiliser des mots de passe sur plusieurs accès ou plusieurs comptes.

Le travail devient assez difficile, en effet, les utilisateurs lambda ont tendance à négliger la diversification du mot de passe selon le compte utilisé où l’accès demandé. Pourtant cela doit être un réflexe. Car si le même mot de passe est utilisé dans tous les accès, il suffirait alors au pirate informatique de le découvrir pour avoir accès à tout. C’est d’ailleurs pour cette raison que des outils existent pour faciliter la gestion de différents mots de passe conformément aux différents accès qui sont demandés. Le gestionnaire de mot de passe. Ils doivent être utilisés car créés pour faciliter l’utilisation de plusieurs mots de passe pour une seule personne. Cela réduit les possibilités d’oubli, mais permet aussi de pouvoir constitué de mot de passe solides sans avoir pas de les confondre où les oublier.

Le gestionnaire de mot de passe vous préserve aussi de certains programmes malveillants tels que les enregistreurs de frappes, car à chaque connexion les champs automatiquement remplis.

2- L’utilisation du cloud pour les sauvegardes

Il est important de pouvoir sauvegarder ses informations. Surtout en cette période où les programmes de rançon prolifèrent de plus en plus.  Les sauvegardes sur le matériel physique quelques peu externes peuvent être utiles en cas d’attaques informatiques.  Cependant vous ne serez pas à l’abri d’un potentiel plantage matériel. Alors que dans le cloud, la sécurité est améliorée et vous pourrez avoir accès à vos données à partir de n’importe quel terminal pour une transition en cas de disponibilité de votre système informatique. L’avantage alors des sauvegardes en ligne est non seulement matériel mais aussi sécuritaire.

3- Faire les mises à jour

Certaines attaques informatiques à hautes conséquences ont été du fait de la négligence des mises à jour. L’avantage de leur déploiement réside dans le fait qu’elles réduisent le risque informatique en corrigeant les failles de sécurité. C’est d’ailleurs pour cette raison qu’elles sont constamment recommandées. Il est même préférable de programmer sur se terminant la mise à jour automatique.  « La plupart des experts en sécurité informatique recommandent d’effectuer les mises à jour de vos logiciels ou de vos systèmes d’exploitation rapidement. Mais les utilisateurs peuvent être tentés d’attendre un peu avant de les effectuer, pour être sûrs d’avoir un retour d’expérience d’autres utilisateurs, garantissant la fiabilité et la sécurité de cette nouvelle mise à jour.

Or, c’est une erreur trop souvent commise. Il faut suivre les recommandations des éditeurs de logiciels et effectuer les mises à jour lorsqu’elles sont requises. Pourquoi ? Tout simplement parce que les logiciels installés peuvent contenir des failles de sécurité que les hackers peuvent exploiter. Les développeurs de solutions logicielles ont tout intérêt à réparer ces failles de sécurité lorsqu’elles sont détectées et lancer une procédure de mise à jour. Mais parfois, les utilisateurs ne sont pas toujours au courant des demandes de mises à jour des logiciels. Souvent, les utilisateurs désactivent les notifications des applications ou n’utilisent pas certaines applications pendant longtemps, et donc aucune alerte de mise à jour n’est communiquée. » décrit la société de sécurité Avira, dans un récent billet de blog.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Malware : un logiciel qui cible Facebook, Twitter et Google

« CopperStealer », c’est ainsi que le programme malveillant qui permet à des pirates informatiques de voler des mots de passe enregistrés sur des navigateurs a été baptisé par les chercheurs de la société américaine de cybersécurité Proofpoint.

Récemment, il a été découvert des centaines d’application de type espion qui pullulent sur le PlayStore de Google ainsi que sur l’App store de Apple ou encore ces programmes malveillants qui menacent tous smartphones qui tournaient avec une puce de type Snapdragon de la société américaine Qualcomm. La semaine dernière, les chercheurs en sécurité informatique de chez Zimperium ont mis à jour un autre programme malveillant qui qui précisément ciblait les smartphone Android OS sous la forme d’une mise à jour système.

Cet article va aussi vous intéresser : Malware : Le programme « Alien » capable de voler les mots de passe sur près de 226 applications présents sur le PlayStore

Pour en revenir à la star du jour, à savoir CopperStealer, c’est un logiciel malveillant qui donne la possibilité à son opérateur de pouvoir récolter des mots de passe que les utilisateurs auraient enregistré pour les différents comptes sur leur navigateur.

« Notre enquête a démontré que le malware est essentiellement conçu pour voler mots de passe et cookies, mais il est aussi capable d’installer des logiciels malveillants après avoir récupéré les données » note les chercheurs de Proofpoint dans leurs rapports.

Les spécialistes de Proofpoint affirment que le logiciel se propage à travers les cracks pour les jeux vidéo ou les keygen. Si lors du téléchargement, l’antivirus installé n’est pas à jour où performant, le virus s’infiltre alors dans le terminal.

Presque tous les navigateurs sont concernés même les plus populaires. On peut citer entre autre Microsoft Edge, Google Chrome, Opéra Mini, Firefox ou Yandex.

Les cybercriminels dans ce cas de figure se contentent simplement de voler les identifiants de connexion et les mots de passe qui vont par la suite au revendre sur le marché noir du darkweb. Les autres informations ne les intéressent pas. Les mots de passe des plateformes qu’ils ciblent le plus sont généralement sont ceux qui permettent de se connecter à Amazon, à Google, à Facebook, PayPal, Apple, Tumblr ou Bing.

Bien sûr, tout ceci est facilement exécutable lorsqu’on sait que les navigateurs emmagasinent sur leurs utilisateurs.

 « Pour ce qui est de Facebook, les pirates appliquent une procédure supplémentaire, puisque le malware récupère également vos cookies, afin d’obtenir des informations sur votre historique d’activité ou sur vos contacts. », Selon les chercheurs de Proofpoint.

Ce n’est pas tout, les chercheurs responsables de la découverte de CopperStealer ont affirmé que ce dernier est en mesure de diffuser d’autres programme malveillant sur les appareils qu’il a déjà corrompu. Cela bien sûr qui est accompli sa mission de récolter tous les mots de passe nécessaire.

Les spécialistes de la société de sécurité en tracer les origines de ce programme malveillant jusqu’à en juillet 2019. Il a été perçu des similitudes au niveau des méthodes de ciblage et de propagation avec SilenFade, qui se trouve être un groupe de logiciels malveillants qui auraient été concoctés par des hackers chinois. Des virus qui ont d’abord ciblé des comptes sur Facebook. Alors il est fort envisageable que ce soit les mêmes auteurs qui aient concocté CopperStealer, le fameux ILikeAd Media International Co, une société basée à Hong Kong, qui aurait eu un passé judiciaire assez mouvementé avec le réseau social Facebook. En effet, ce dernier aurait poursuivi la société de Hong Kong en 2019, pour avoir diffusé plusieurs programmes malveillants sur sa plate-forme. Des logiciels qui permettaient de diffuser de la publicité en utilisant le visage des célébrités. Et lorsque les visiteurs essayaient de cliquer sur ses publicités, un programme malveillant était installé sur leur compte de sorte à permettent aux pirates de pouvoir prendre le contrôle. « Ces comptes compromis étaient ensuite utilisés pour diffuser des publicités pour des produits contrefaits comme des pilules amaigrissantes ou des compléments alimentaires pour homme. Au total, Facebook a déploré pas moins de 4 millions d’euros de dommage. » explique Proofpoint.

Selon les chercheurs la meilleure manière de se protéger contre CopperStealer est de s’assurer avoir activé la méthode de connexion par authentification à double facteur sur tout vos comptes en ligne. Un conseil classique mais efficace pour se protéger. Il est aussi conseillé de faire attention aux téléchargements sur des sites à caractère douteux.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Le mot de passe « password » à la peau dure, même chez les Fortunes 500

Aujourd’hui la sensibilisation en matière de sécurité informatique se banalise de plus en plus excitant sur plusieurs plans.

D’une certaine manière on se rend compte que la cybersécurité devient quelque chose d’important aux yeux des entreprises mais aussi des particuliers.

Dans une étude récente, réalisé par la filiale de Nord Security, la société NordPass, spécialiste dans l’édition des programmes de gestionnaire de mot de passe, il a été mis en évidence dans le rapport qui a résulté de de cette recherche, que même les Fortunes 500 sont pris dans l’habitude d’utiliser des mots de passe très mal formuler.

Cet article va aussi vous intéresser : Identité numérique : protéger les entreprises à travers la sécurisation de l’identité

L’étude réalisée par la société éditrice de gestionnaire de mot de passe se fondent sur l’analyse de plusieurs données qui ont été durant plusieurs moment recueillis par des pirates informatiques, lors de plusieurs attaques informatiques.

Les entreprises concernées ont été répertoriées dans les catégories différentes de leur secteur d’activité. On part alors de la santé en passant par le commerce, de la télécommunication, les Finances, l’agriculture et même l’aéronautique.

À ce niveau l’entreprise a observé près de 15 603 438 violations

Dans presque toutes les catégories, les mêmes mots de passe reviennent à chaque fois. Des mots de passe qui pendant longtemps ont été déconseillé. « password » et « 123456 ».

Généralement les informations qui sont volés lors de ces attaques informatiques, sont des informations qui par la suite sur trouve exposé en ligne.

Malheureusement la négligence au niveau de l’utilisation des mots de passe très mal formulés est quelque chose de généralisé. Et cela même dans les entreprises 17h de l’IT.

« Pendant des années, les experts en cybersécurité ont recommandé d’utiliser un mot de passe complexe alphanumérique comprenant des caractères spéciaux et plusieurs casses. Il est également conseillé d’utiliser un mot de passe différent pour chacun des services utilisés. Toutefois, face à la limite de la mémoire humaine, les gestionnaires de mots de passe permettent de générer des combinaisons uniques ultra-sécurisées et que l’utilisateur n’a plus besoin de retenir grâce à un système de remplissage automatique. » explique NordPass dans son rapport.

De ce fait, on se demande comment faire pour se prémunir face à ce genre de conduite. Une chose est sûre, dans une organisation, il y aura toujours un collaborateur qui d’une certaine manière ou d’une autre, continuera à former ses mots de passe de la sorte. Il faudra donc composer avec en s’assurant que cela ne puisse pas se répercuter de manière trop aggravantes sur la société.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage