histats

Les jours du mot de passe en ligne sont comptés

Les jours du mot de passe en ligne sont comptés

RÉGION DE WATERLOO – Le chercheur en cybersécurité Keegan Kaplinger suit les gangs de ransomwares sur le dark web qui achètent des mots de passe volés pour lancer des attaques contre des entreprises occidentales.

La création, le stockage et l’utilisation de mots de passe sont les maillons les plus faibles de la cybersécurité, plus de deux décennies après l’essor du commerce en ligne, a déclaré Kaplinger, qui travaille avec eSentire, basé à Waterloo.

Il a récemment lié deux cyberattaques – l’une contre Cisco, l’autre contre une entreprise de services publics américaine – au même groupe de cybercriminels russes.

Les gangs de rançon russes avaient leur variété de mots de passe parmi lesquels choisir. Des ensembles complets de noms d’utilisateur et de mots de passe sont en vente en ligne.

Lors d’enchères en ligne sur le dark web, un terme qui fait référence à des informations sur Internet censées être cachées au public, les criminels achètent des mots de passe volés et d’autres informations pour lancer des attaques. Les informations critiques sont collectées et vendues par des “courtiers en premier accès”, l’un des nombreux groupes spécialisés actifs dans les attaques de ransomwares, a déclaré Kaplinger.

“Lorsque vous allez sur le dark web, vous avez le choix entre de nombreuses entreprises déjà compromises”, a déclaré Kaplinger.

“Vous obtenez leur entreprise, vous obtenez leurs revenus, ils organisent des enchères pour eux”, a déclaré Kaplinger. “C’est un marché sophistiqué, voilà ce que c’est.”

Dans presque toutes les violations, un mot de passe faible est à blâmer.

“La façon dont nous stockons les mots de passe, par exemple, et la manière pratique dont Google transmet instantanément vos mots de passe stockés dans votre navigateur à un autre navigateur via certains signaux cloud, et les acteurs de la menace en profitent”, a déclaré Kaplinger.

“L’un des employés de Cisco avait un compte Google, et d’une manière ou d’une autre, ce compte Google a été compromis, et tout ce que l’acteur de la menace avait à faire était de se connecter à un navigateur, d’importer ce compte, et ces mots de passe l’accompagnaient”, a déclaré Kaplinger.

See also  MEET THE BUILDERS FROM ORANGE DAO X PRESS START CAPITAL FELLOWSHIP

Les cybercriminels ont ensuite lancé des attaques sophistiquées de phishing vocal – ou “vishing” – pour convaincre la victime d’approuver un message d’autorisation multifacteur.

Une fois à l’intérieur du VPN, ils ont été détectés et arrêtés par les cyberdéfenses de Cisco avant de télécharger le ransomware.

C’est exactement le genre de scénario qui fait espérer aux experts en cybersécurité un jour où les mots de passe ne seront plus nécessaires et où Internet sera beaucoup plus sûr.

L’une des entreprises technologiques les plus influentes au monde a maintenant un calendrier pour cela – Apple a annoncé la technologie “passe-clé” dans iOS 16. Apple dit vouloir créer un monde en ligne qui n’a pas besoin de mots de passe.

L’utilisation d’une empreinte digitale ou d’un scan oculaire pour authentifier les utilisateurs et déverrouiller les applications sera rapide, facile à utiliser et insensible à la plupart des attaques de phishing.

On ne sait pas à quelle vitesse il sera adopté.

Joe Stewart, chercheur principal en cybersécurité chez eSentire, a déclaré qu’il ne fait aucun doute que le mot de passe doit mourir et que le mot de passe est la meilleure technologie pour le remplacer.

Avant que les entreprises ou les particuliers ne commencent à utiliser des clés d’accès, ils doivent en savoir suffisamment sur la technologie pour éviter les attaques d’ingénierie sociale – messages ou appels de cybercriminels pour vous inciter à autoriser l’accès au compte qui détient les clés d’accès.

Et ce compte sera protégé par un mot de passe, mais aussi par la biométrie pour l’authentification à deux facteurs.

Les logiciels malveillants resteront une menace, a déclaré Stewart.

“Si votre appareil est infecté, l’attaquant peut accéder à tout ce que vous pouvez sur cet appareil et il peut voler des jetons de post-authentification afin d’avoir un accès permanent à vos comptes”, a déclaré Stewart.

See also  B2B payments to exceed $111 billion globally by 2027 as businesses accelerate payment automation to reduce costs

“Même s’il existe une autre méthode d’authentification par facteur, telle que la biométrie, qui empêche leur accès à certaines ressources, l’acteur de la menace peut exploiter le logiciel malveillant pour concevoir socialement vos réponses aux défis d’authentification, car ils contrôlent ce que vous pouvez voir”, a déclaré Stewart.

Il semble donc que les mots de passe existeront pendant un certain temps, et le professeur de cybersécurité de l’Université de Waterloo, Urs Hengartner, a déclaré que tout le monde devrait utiliser un gestionnaire de mots de passe. Il génère automatiquement les mots de passe aléatoires dont vous avez besoin.

Si vous ne pouvez pas utiliser de gestionnaire de mots de passe, vous pouvez obtenir quelques dés, voire une pièce de monnaie. Lancez les dés pour choisir les chiffres et les lettres d’un nouveau mot de passe, ou lancez la pièce, a déclaré Hengartner.

L’élément le plus important dans les mots de passe est le caractère aléatoire, a-t-il déclaré.

C’est en utilisant des dés ou une pièce de monnaie, c’est le facteur décisif, a déclaré Hengartner.

Une fois que vous avez un mot de passe fort, conservez-le et ne le changez pas, a-t-il déclaré. Changer de mot de passe tous les quelques mois est une mauvaise idée car la plupart des gens font le plus petit ajustement possible du mot de passe et passent à autre chose, a déclaré Hengartner.

Et cela permet aux pirates d’obtenir facilement votre mot de passe actuel s’ils en achètent un ancien sur le dark web.

Créer des mots de passe forts et efficaces est très difficile pour le cerveau humain, a déclaré Hengartner. Les cerveaux humains n’aiment pas le hasard, le chaos ou le désordre, c’est pourquoi les gens utilisent le même mot de passe, ou des variations mineures, sur de nombreux sites et comptes.

See also  Does Google Pixel 7 have face unlock? Yes, with a catch

“Choisissez un mot de passe fort, utilisez idéalement un gestionnaire de mots de passe et respectez-le”, a déclaré Hengartner.

À mesure que le commerce électronique se développe, de plus en plus de sites Web vous demandent de vous inscrire et de créer un mot de passe. Un gestionnaire de mots de passe en génère un nouveau, au hasard, chaque fois que vous revenez sur ce site.

Il existe quelques sites Web que vous pouvez consulter pour voir si votre e-mail ou votre téléphone a fait partie d’une violation de données. Cela peut signifier que les anciens mots de passe et autres informations sont accessibles aux pirates.

Si vous n’utilisez pas de gestionnaire de mots de passe, et la plupart des gens ne le font pas, faites attention à l’endroit où vous stockez vos mots de passe.

Larry Gagnon, vice-président senior d’eSentire, répond aux cyberattaques à travers le monde. Il fait partie de l’équipe Global Incident Response.

Après avoir repoussé une attaque, Gagnon enquête sur la façon dont les pirates sont entrés. Il a perdu le compte des fois où quelqu’un avait tous ses mots de passe stockés dans un seul e-mail. Pour les cybercriminels, c’est un jackpot.

“L’une des mauvaises pratiques que j’ai vues est que les gens utilisent leur compte de messagerie comme périphérique de stockage de fichiers”, a déclaré Gagnon. “Je les vois enregistrer des listes de mots de passe tout le temps – vraiment, vraiment une mauvaise pratique.”

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *