le name d’attaques exploded, 24 billions d’identifiants dans la nature

The specialiste of cybersecurity Digital Shadows recommends the employer to meilleurs mots de passe, mais also de favoriser la disparition pure et simple de ces identifiants.

24 649 096 027. C’est le nombre d’identifiants collected by the team Photon Research, you groupe specialiste de la cybersécurité Digital Shadows, and donc compromis par des attaques en ligne.

Dans a nouveau rapport dédié aux brèches de sécurité touchant les comptes des internautes, la firme souligne que ces 24 billions de couples email-mots de passe representative une hausse de 64% par rapport à 2020, date du dernier relevé. A l’époque, so estait située autour des 15 milliards, soit an explosion, déjà, en comparison des 5 milliards de couples exposés en 2018.

Si les chiffres sont condamnés à augmenter – il s’agit de données cumulées – la tendance est à l’acceleration. Le contexte est en effet particulièrement fertile, à commencer par le conflit between la Russie et l’Ukraine, qui se joue aussi sur la toile.

La guerre a créé un fertile environment pour les cybercriminels et acteurs de la menace cyber pararainés par les états, pour utiliser des malwares, effectuer des attaques par déni de service (DDoS) et defacer des sites web, entre autres cyberactivités malveillantes”, souligne le rapport.

Plus globalment, le recours massive au télétravail après la pandémie a généré une “empreante digital” de plus en plus grande pour les companies et leurs salariés ; la faible security des mots de passe se maintient elle aussi. Ainsi, parmi les mots de passe les plus souvent récupérés par Photon Research figure le très classique mais aussi très faible “123456”, et autres “12345”.

“Credential stuffing” or attaches directes

Les methods of piracy de données se sont elles also developed, et jouent un rôle dans cette hausse. Dans a longue description, photon repère quatre étapes : après l’identification de cibles potentiales (organizations déjà touchées, particuliers ou firmes à haute valeur possible), les attaques suit notamment par du phishing – des emails frauduleux – où l’on réclame à un Internaute son mot de passe sur a page frauduleuse, ou bien où l’on installe un logiciel espion (malware) chargé de collecter les précieuses données.

Ces données peuvent être ensuite vendues en ligne, ou bien les pirates vont chercher à obtenir d’autres accès via un credential stuffing : il s’agit d’essayer de se connecter, via l’email et le mot de passe obtenu, à d’other services.

Une bonne manière de se representer le credential stuffing est de visualizer un sac plein de clés, avec lesquelles on essaye d’ouvrir une série de portes. Ces portes sont les services que vous utilisez tous les jours: elles peuvent ouvrir vos comptes sur les réseaux sociaux, l’intranet de votre employeur, ou, plus inquiétant, votre compte bancaire” souligne Photon Research.

Cette method in plein development competition series le cassage traditionnel de mots de passe: un attached cherchera alors plutôt à l’aide d’outils tiers à déchiffrer un mot de passe précédemment encrypté. Selon la longueur et la complexité de l’identifiant, ce travail sera plus ou moins aisé : le rapport de photon estime que 30% des identifiants environ peuvent être cassés en moins d’une heure.

“Passkeys” or motifs de passe complexes

Pour répondre à cette fragilité generally, plusieurs pistes sont esquissées. D’abord, employer des mots de passe plus complexes.

Pour tous les comptes critiques, utilisez des mots de passe de plus de dix caractères: caractères spéciaux, chiffres et a combinaison de lettres majuscules et minuscules. Definissez des politiques de mot de passe solides pour vos organizations afin d’éviter les mots de passe faibles ou réutilisés, ainsi que des politiques de verrouillage des comptes afin de bloquer leur utilization si trop de tentatives échouent.”

Plus specifically, Photon Research recommends also recourir à des outils de stockage de mots de passe : des applications ou sites secured qui centralisent les identifiants pour en permettre la sauvegarde. Cela, en lieu et place des enregistrements directement dans les navigators.

L’authentication multifacteurs, déjà mise en place dans le domaine bancaire par exemple, est also a viable solution: elle oblige à se connecter via an autre appareil pour debloquer un accès, et limite les fuites de données en cas d’identifiants compromises.

Enfin et surtout, l’entreprise salue les initiatives de grands acteurs du numérique pour suppresser à terme les mots de passe : via des clés cryptographiques, il sera bientôt possible de s’identifier sans entrer de mot de passe, en faisant interagir de façon confidentielle le site and son terminal. Google or Apple says on the subject: the company to la pomme a notamment integral to the type of functionality in iOS 16.

Leave a Reply

Your email address will not be published.