Discussion :

[Blondelle Mélina]

Des outils du dark web mettent en lumière les dangers d'une mauvaise gestion des mots de passe,
selon une recherche de Recorded Future

Des outils tels que les « checkers » et « Brute Forcers » disponibles gratuitement sur le dark web aident les criminels non qualifiés à lancer des attaques automatisées contre les sites web des organisations.

Recorded Future, entreprise spécialisée dans l’analyse des données de la cybersécurité, révèle dans un rapport que les industries les plus touchées par ces outils sont les industries de conception des logiciels, les médias et les divertissements, le commerce électronique, la finance et les télécommunications.
Il souligne que la réutilisation des mots de passe et la mauvaise hygiène de la gestion des mots de passe restent parmi les principaux problèmes pour permettre des attaques réussies de bourrage de comptes.

Les « checkers » (ou vérificateurs) sont des outils automatisés (scripts ou logiciels) utilisés par les cybercriminels pour vérifier en masse la validité des combinaisons d'identifiants de connexion des utilisateurs. Ces vérificateurs peuvent utiliser la page principale du site web, l'application mobile ou une fonction de l'interface de programmation d'application (API) pour identifier les comptes valides.

Les « Brute forcers » quant à eux sont également des outils automatisés mais adaptés au craquage de mots de passe. Ils sont utilisés pour accéder à des comptes d'utilisateurs par le biais de requêtes automatisées de serveurs. Ces outils tentent de deviner et de craquer des mots de passe ou des noms d'utilisateurs en utilisant une méthode d'essai et d'erreurs ou via une attaque par force brute (ou dictionnaire).

Des informations partielles telles qu'un nom d'utilisateur obtenu à partir d'un vidage de données permettent également à un attaquant d'utiliser plus facilement la force brute pour obtenir le mot de passe.

Les auteurs du rapport notent que : « les cybercriminels utilisent couramment des listes contenant des milliers d'informations d'identification avec des outils automatisés, personnalisés et « prêts à l'emploi » disponibles sur le dark web. De nombreux outils prennent en charge un nombre illimité de plugins personnalisés appelés « configs » qui permettent aux cybercriminels de cibler presque toutes les entreprises présentes en ligne et de procéder à des rachats de comptes ».

Afin de se protéger, le rapport suggère que les mesures que les entreprises peuvent prendre comprennent une sensibilisation accrue à la sécurité des mots de passe parmi leurs utilisateurs ainsi que l'exigence d'une forme supplémentaire d'authentification telle que MFA (multi-factor authentication, en anglais ou authentification à plusieurs facteurs) ou CAPTCHA. Aussi, ajoute le rapport, les mots de passe des clients doivent toujours être stockés en toute sécurité dans un format haché.

Le rapport conclut : « les cybercriminels continueront à utiliser des « checkers » et « Brute Forcers » en raison du succès qu'ils ont remporté en obtenant un accès non autorisé aux comptes d'utilisateurs et des profits qu'ils réalisent en vendant des comptes fissurés dans l'économie souterraine. Cette pratique continuera à menacer les entreprises et les utilisateurs individuels jusqu'à ce que de meilleures pratiques d'hygiène des mots de passe et des mesures de sécurité soient mises en œuvre ».

Source : Recorded Future

Et vous ?

Que pensez-vous de ce rapport de sécurité ?
Que vous inspire MFA ou le service CAPTCHA proposé comme solution par Recorded Future contre cette menace de sécurité ?

Voir aussi

Le service de vente des accès aux réseaux informatiques d'entreprises va grandissant sur le Dark Web, selon une étude réalisée par Positive Technologies

Escroqueries du coronavirus sur le Dark Web : de la vente des respirateurs et du sang infecté, à l'enregistrement de noms de domaine pour créer des campagnes de phishing, d'après des analystes

Données Facebook sur le Dark Web : les pirates informatiques ont vendu 267 millions de profils utilisateurs pour 540 dollars, y compris les numéros de téléphone, les noms complets et autres

[foxzoolm]

imposer le mot de passe à l'utilisateur ?
vue que de toute manière les browser modernes ont toujours un plugin de gestion des mot de passes.
apres, il y aura juste a éduquer l'utilisateur a chiffrer sa base de mot de passes avec 1 et 1 seul mot de passe (complexe) a retenir...

[Invité]

Bonjour,

Que pensez-vous de ce rapport de sécurité ?

On force les gens a tenter le diable avec une gestionnaire de mot de passe ... pour stocker des mots de passes de services de divertissement en masse. En entreprise bon c'est un peu plus particulier , entre la connexion aux appli interne et aux ERP , c'est déjà un peu différent. Cela reste de l'interne à l'entreprise.

Vu ce qui c'est passé chez Last Pass à 2 reprises , non je me méfie des gestionnaires de mots de passes .

Entre le PC qui tombe en rade, le vole du PC et l'accès au gestionnaire qui est resté open et le ransomware qui chiffre la BDD locale ... le choix est vite fait ... Ne pas tenter le diable.

Que vous inspire MFA ou le service CAPTCHA proposé comme solution par Recorded Future contre cette menace de sécurité ?

MFA > contournable via un piratage / receptionage frauduleux des SMS.
CAPTCHA > possibilité qu'un boot contourne avec reconnaissance d'image ou ORC.

Sinon que dire du MFA >
- pas confiance pour tout les sites web (sauf service financier ou la c'est compréhensible)
- parfois chiant à utiliser , quid de la connexion si pas de mobile à disposition ? volé ? perdu ? en panne ? Quid lorsqu'on doit faire la manip pour une tiers personne (grand parent, personne agé ) et qu'on a pas de mobile ou pas accès à son mobile ?

CAPTCHA >
- je trouve que c'est un peu merdique comme techno , quid si le captcha foire et ne permet de se connecter ?

[Invité]

imposer le mot de passe à l'utilisateur ?
vue que de toute manière les browser modernes ont toujours un plugin de gestion des mot de passes.
apres, il y aura juste a éduquer l'utilisateur a chiffrer sa base de mot de passes avec 1 et 1 seul mot de passe (complexe) a retenir...

Avec MAC OS et Safari, il y a un système qui propose un mot de passe lors de la connexion initiale à un compte, et ensuite on peut le stocker dans le "Trousseaux d'accès", qui reste local.
C'est un bon compromis. Après à chacun sa manière de faire.

[Invité]

Ces sites web "checkés en brute force" n'ont donc aucune stratégie de protection sur ce type d'usage ???

[ZalemCitizen]

@foxzoolm oui Keepass rulez!

par contre, perso je ne m'en remets pas à l'absence supposée de faille ou à la correction rapide d'une faille découverte dans la fonctionnalité de stockage des pass d'un navigateur, quel qu'il soit.
A proscrire.

[etienne etienne]

Pourtant pour se protéger des attaques en brut de force il devrait être possible de gérer un nombre limité de tentatives et envoyer un mail d'alerte au détenteur du compte quand ce nombre est atteint, non ? Ne pas limiter à trois ou quatre bien entendu, mais après une centaines de tentatives sur un laps de temps très court c'est clair que c'est une attaque. Associé avec une mot de passe relativement long ça laisse une bonne marge, non ? Je ne suis pas spécialiste mais ça me semble cohérent.

[Invité]

Bonjour

Pourtant pour se protéger des attaques en brut de force il devrait être possible de gérer un nombre limité de tentatives et envoyer un mail d'alerte au détenteur du compte quand ce nombre est atteint, non ? Ne pas limiter à trois ou quatre bien entendu, mais après une centaines de tentatives sur un laps de temps très court c'est clair que c'est une attaque. Associé avec une mot de passe relativement long ça laisse une bonne marge, non ? Je ne suis pas spécialiste mais ça me semble cohérent.

C'est déjà le cas sur des sites de VAD et des fournisseurs de mail.

Au bout de 3 à 10 tentatives comptes bloqués pour , 1, 2 ,3 ou 24h ... Genre sur Developpez après 5 tentatives le compte est bloqué

[etienne etienne]

Bonjour



C'est déjà le cas sur des sites de VAD et des fournisseurs de mail.

Au bout de 3 à 10 tentatives comptes bloqués pour , 1, 2 ,3 ou 24h ... Genre sur Developpez après 5 tentatives le compte est bloqué

Merci de ta réponse. Ça rend effectivement l'attaque très difficile pour ne pas dire impossible avec un long mot de passe, ça confirme ce que je pensais. Encore un domaine que je dois explorer même si ça ne touche pas directement mon job.