Tech&Co
Tech

Cybersécurité : le nombre d'attaques explose, 24 milliards d'identifiants dans la nature

Le spécialiste de la cybersécurité Digital Shadows recommande d'employer de meilleurs mots de passe, mais aussi de favoriser la disparition pure et simple de ces identifiants.

24 649 096 027. C'est le nombre d'identifiants collectés par l'équipe Photon Research, du groupe spécialiste de la cybersécurité Digital Shadows, et donc compromis par des attaques en ligne.

Dans un nouveau rapport dédié aux brèches de sécurité touchant les comptes des internautes, la firme souligne que ces 24 milliards de couples email-mots de passe représentent une hausse de 64% par rapport à 2020, date du dernier relevé. A l'époque, son estimation était située autour des 15 milliards, soit une explosion, déjà, en comparaison des 5 milliards de couples exposés en 2018.

Si les chiffres sont condamnés à augmenter - il s'agit de données cumulées - la tendance est à l'accélération. Le contexte est en effet particulièrement fertile, à commencer par le conflit entre la Russie et l'Ukraine, qui se joue aussi sur la toile.

La guerre a créé un environnement fertile pour les cybercriminels et acteurs de la menace cyber parrainés par les Etats, pour utiliser des malwares, effectuer des attaques par déni de service (DDoS) et défacer des sites web, entre autres cyberactivités malveillantes", souligne le rapport.

Plus globalement, le recours massif au télétravail après la pandémie a généré une "empreinte digitale" de plus en plus grande pour les entreprises et leurs salariés ; la faible sécurité des mots de passe se maintient elle aussi. Ainsi, parmi les mots de passe les plus souvent récupérés par Photon Research figure le très classique mais aussi très faible "123456", et autres "12345".

"Credential stuffing" ou attaques directes

Les méthodes de piratage de données se sont elles aussi développées, et jouent un rôle dans cette hausse. Dans une longue description, Photon repère quatre étapes : après l'identification de cibles potentielles (organisations déjà touchées, particuliers ou firmes à haute valeur possible), les attaques passent notamment par du phishing - des emails frauduleux - où l'on réclame à un internaute son mot de passe sur une page frauduleuse, ou bien où l'on installe un logiciel espion (malware) chargé de collecter les précieuses données.

Ces données peuvent être ensuite vendues en ligne, ou bien les pirates vont chercher à obtenir d'autres accès via un credential stuffing : il s'agit d'essayer de se connecter, via l'email et le mot de passe obtenu, à d'autres services.

Une bonne manière de se représenter le credential stuffing est de visualiser un sac plein de clés, avec lesquelles on essaye d'ouvrir une série de portes. Ces portes sont les services que vous utilisez tous les jours : elles peuvent ouvrir vos comptes sur les réseaux sociaux, l'intranet de votre employeur, ou, plus inquiétant, votre compte bancaire" souligne Photon Research.

Cette méthode en plein développement concurrence sérieusement le cassage traditionnel de mots de passe : un attaquant cherchera alors plutôt à l'aide d'outils tiers à déchiffrer un mot de passe précédemment encrypté. Selon la longueur et la complexité de l'identifiant, ce travail sera plus ou moins aisé : le rapport de Photon estime que 30% des identifiants environ peuvent être cassés en moins d'une heure.

"Passkeys" ou mots de passe complexes

Pour répondre à cette fragilité généralisée, plusieurs pistes sont esquissées. D'abord, employer des mots de passe plus complexes.

Pour tous les comptes critiques, utilisez des mots de passe de plus de dix caractères : caractères spéciaux, chiffres et une combinaison de lettres majuscules et minuscules. Définissez des politiques de mot de passe solides pour vos organisations afin d'éviter les mots de passe faibles ou réutilisés, ainsi que des politiques de verrouillage des comptes afin de bloquer leur utilisation si trop de tentatives échouent."

Plus spécifiquement, Photon Research recommande aussi de recourir à des outils de stockage de mots de passe : des applications ou sites sécurisés qui centralisent les identifiants pour en permettre la sauvegarde. Cela, en lieu et place des enregistrements directement dans les navigateurs.

L'authentification multifacteurs, déjà mise en place dans le domaine bancaire par exemple, est aussi une solution viable : elle oblige à se connecter via un autre appareil pour débloquer un accès, et limite les fuites de données en cas d'identifiants compromis.

Enfin et surtout, l'entreprise salue les initiatives de grands acteurs du numérique pour supprimer à terme les mots de passe : via des clés cryptographiques, il sera bientôt possible de s'identifier sans entrer de mot de passe, en faisant interagir de façon confidentielle le site et son terminal. Google ou Apple travaillent sur le sujet: la firme à la pomme a notamment intégré ce type de fonctionnalité dans son iOS 16.

Valentin Grille