IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Il y aurait 24,6 milliards de paires d'informations d'identification en vente sur le dark Web


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    Juin 2016
    Messages
    3 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2016
    Messages : 3 160
    Points : 66 249
    Points
    66 249
    Par défaut Il y aurait 24,6 milliards de paires d'informations d'identification en vente sur le dark Web
    Il y aurait 24,6 milliards de paires d'informations d'identification en vente sur le dark Web
    dont certains mots de passe pourraient être déchiffrés en moins d'une seconde, selon un rapport

    Dans un rapport publié récemment, l'équipe Photon Research de Digital Shadows révèle qu'environ 24,6 milliards de jeux complets de noms d'utilisateur et de mots de passe sont actuellement en circulation sur le dark Web. Cela représente quatre jeux complets d'informations d'identification pour chaque personne sur Terre, mais aussi une augmentation de 65 % depuis la dernière fois que cette étude a été réalisée, en 2020. Cela montre que les cybercriminels continuent de profiter largement de la difficulté des internautes et des organisations à bien protéger leurs identifiants et leurs codes d'accès aux diverses plateformes qu'ils utilisent.

    Le rapport, intitulé "Account Takeover in 2022", fait un tour d'horizon des fuites de données personnelles, les identifiants et mots de passe divulgués, qui ont eu lieu au cours de ces deux dernières années. L'analyse a révélé que plus de la moitié des 24,6 milliards de paires d'identifiants volés disponibles à la vente sur le dark Web ont été exposées au cours de l'année dernière. Dans l'ensemble des données d'identification du dark Web, environ 6,7 milliards d'offres présentaient une combinaison unique de nom d'utilisateur et de mot de passe, indiquant que la combinaison n'était pas dupliquée dans les bases de données.

    C'est 1,7 milliard de plus que ce que les chercheurs ont trouvé en 2020. Le rapport montre que les marchés qui vendent ces informations d'identification sont robustes et sophistiqués, avec plusieurs services d'abonnement qui émergent pour offrir des services premium criminels pour les acheter. Mais encore, les chercheurs de Digital Shadows ont découvert qu'un grand nombre des mots de passe examinés dans ces bases de données volées n'étaient pas très sûrs à l'origine. Le rapport indique que près d'un mot de passe sur 200 trouvé dans les informations d'identification proposées à la vente par les criminels est 123456.

    Nom : What-Is-Account-Takeover-Fraud-01-1200x597.png
Affichages : 1252
Taille : 84,6 Ko

    Et sur les 50 mots de passe les plus couramment utilisés parmi ceux recueillis dans le cadre du rapport, 49 peuvent être déchiffrés en moins d'une seconde à l'aide d'outils également disponibles sur les forums clandestins. « Les cybercriminels disposent d'une liste infinie d'informations d'identification qu'ils peuvent essayer, mais ce problème est aggravé par la faiblesse des mots de passe, ce qui signifie que de nombreux comptes peuvent être devinés en quelques secondes à l'aide d'outils automatisés », explique Chris Morgan, analyste principal des renseignements sur les cybermenaces chez Digital Shadows.

    Par conséquent, qu'un acheteur criminel achète une liste d'informations d'identification volées ou un craqueur de mots de passe, les comptes utilisant uniquement ces informations d'identification sont extrêmement vulnérables aux attaques. Selon les experts en cybersécurité, avec toutes ces informations d'identification disponibles à la vente en ligne, les attaques par prise de contrôle de compte (account takeover attacks - ATO) ont également proliféré. De plus, les chercheurs expliquent que 75 % des mots de passe en vente en ligne n'étaient pas uniques. Pour cela, ils estiment que tout le monde devrait se méfier.

    Pour se protéger contre les attaques de prise de contrôle de compte, l'équipe propose d'avoir recours à la protection proactive des comptes, l'application systématique de bonnes habitudes d'authentification et la prise de conscience de l'empreinte numérique de l'organisation. Dans le cas des particuliers, l'équipe indique qu'ils devraient "utiliser une authentification multifactorielle, des gestionnaires de mots de passe et des mots de passe complexes et uniques". Mais les experts pensent également que le mot de passe touche à sa fin en raison des difficultés pour le sécuriser et l'arrivée prochaine des ordinateurs quantiques.

    Selon ces derniers, la solution contre les fuites de données est les applications ou les solutions sans mot de passe. En effet, l'authentification sans mot de passe (ou "authentification moderne", comme certains l'appellent) est le terme utilisé pour décrire un groupe de méthodes de vérification d'identité qui ne reposent pas sur des mots de passe. La biométrie, les clés de sécurité et les applications mobiles spécialisées sont toutes considérées comme des méthodes d'authentification "sans mot de passe" ou "moderne". Bien qu'elles existent depuis plusieurs années, ces méthodes sont encore très peu utilisées.

    Selon un récent rapport de Dark Reading, seuls 26 % des décideurs informatiques ont déclaré travailler dans une organisation sans mot de passe, et 87 % ont admis qu'ils avaient au moins une catégorie d'informations d'identification qui dépendait encore des mots de passe. Les systèmes les plus courants qu'ils souhaitaient pouvoir authentifier sans mot de passe étaient les connexions aux postes de travail, les applications d'entreprise existantes et les applications cloud. Et ces chiffres concernent principalement les comptes d'entreprise, sans tenir compte du problème encore plus épineux de l'authentification des consommateurs.

    L'une des plus fortes pressions en faveur de l'authentification sans mot de passe vient de l'Alliance FIDO qui, depuis plus de dix ans, publie des normes pour des mécanismes d'authentification à haut niveau d'assurance afin de mettre les mots de passe à rebut. Au début de l'année, l'Alliance FIDO a dévoilé sa vision des certificats FIDO (avec des clés liées à l'appareil) multiappareils à utiliser dans les cas d'utilisation grand public. Selon le groupe, ces clés sont plus sûres que les mots de passe et sont conçues pour faciliter les connexions sur les appareils mobiles et les ordinateurs de bureau.

    En mai, Apple, Google et Microsoft ont annoncé qu'ils allaient mettre en œuvre la prise en charge de ces normes dans leurs plateformes. Mais en attendant, les experts expliquent que les organisations ne peuvent pas se permettre d'ignorer le problème toujours croissant des identifiants volés et trafiqués utilisés pour l'ATO.

    Source : Digital Shadows

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous de l'ampleur des données en vente sur le dark Web ?
    Que pensez-vous des recommandations pour aider les internautes et les organisations à se protéger ?
    Que pensez-vous des allégations selon lesquelles l'ère du mot de passe est révolue ?
    Pensez-vous que l'authentification sans mot de passe est plus sécurisée que l'authentification par mot de passe ?
    Selon vous, pourquoi l'authentification sans mot de passe ne parvient-il pas à s'imposer ?
    Que pensez-vous des coûts de mise en œuvre de l'authentification sans mot de passe ?

    Voir aussi

    Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe

    Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET

    Microsoft, Apple et Google accélèrent les efforts pour éliminer les mots de passe sur les grandes plateformes, les géants de la Tech veulent déployer la norme "passkey" de FIDO dans l'année à venir

    Un million d'enregistrements de clients exposés via une instance Elasticsearch, y compris les détails des utilisateurs
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre chevronné
    Profil pro
    Développeur Web
    Inscrit en
    Février 2008
    Messages
    2 050
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Février 2008
    Messages : 2 050
    Points : 2 087
    Points
    2 087
    Par défaut
    Oui, un peu plus de rigueur serait une bonne chose.
    D'ailleurs j'ai été confronté, le jour où j'ai voulu changer mes mots de passe, à un prestataire dont les interfaces ne le permettaient pas, et qui n'était pas en mesure de les corriger dans un temps raisonnable, et d'ailleurs ne m'a pas informé quand ça a été fait.

    Mais je voudrais souligner qu'un peu de rigueur dans la rédaction serait souhaitable aussi. Microsoft nous annonce des ordinateurs sans mots de passe, ah bien un truc de moins à se rappeler. Mais si on regarde de plus près, sous le nom de code PIN, Microsoft propose sans rire d'améliorer la sécurité en remplaçant

    des mots de passe de huit caractères sur un choix de 70 possibilités pour chacun (en ne retenant que 8 caractères spéciaux, puisque 52 lettres + 10 chiffres, en ajoutant 8 ça fait bien 70, donc un nombre de possibilités de l'ordre de 708 pour un mot de passe de 8 caractères)

    par des mots de passe de 4 caractères avec un choix de 10 possibilités pour chacun, soit un maximum de 10000 combinaisons à essayer, en comptant 0000.

    En effet, ça va vachement allonger la procédure d'attaque par force brute.

    Surtout à l'encontre du collègue de l'autre côté de l'open space, qui tape son code PIN à bout de bras avec un seul doigt.

Discussions similaires

  1. Réponses: 1
    Dernier message: 24/07/2020, 10h19
  2. Réponses: 8
    Dernier message: 09/08/2019, 17h09
  3. Réponses: 1
    Dernier message: 22/01/2016, 16h06
  4. Facebook aurait apporté 227 milliards de dollars à l'économie mondiale
    Par Stéphane le calme dans le forum Actualités
    Réponses: 10
    Dernier message: 27/01/2015, 20h28
  5. Réponses: 1
    Dernier message: 09/10/2014, 16h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo