Selon une nouvelle étude de Digital Shadows, 24 milliards de noms d’utilisateur et de mots de passe sont disponibles sur le dark web, soit une augmentation de 65 % en seulement deux ans.
Certaines combinaisons sont annoncées plus d’une fois sur les forums, mais même après avoir supprimé les doublons, Digital Shadows a tout de même découvert qu’il existe 6,7 milliards d’identifiants uniques, soit une augmentation d’environ 1,7 milliard ou 34 % en deux ans.
UN étude (PDF) de la société de renseignement sur les menaces, publié mercredi 15 juin, a révélé que malgré cela, les consommateurs continuent d’utiliser des mots de passe faciles à deviner.
Par exemple, environ 0,46 % de tous les mots de passe – près d’un sur 200 – est ‘123456’. Les combinaisons de clavier telles que « qwerty » ou « 1q2w3e » sont également trop courantes.
En réponse aux questions de , Digital Shadows a déclaré que la plupart des informations d’identification collectées et analysées dans son rapport proviennent d’organisations dont les bases de données ont été piratées avant que les mots de passe ne soient piratés et que les mots de passe ne soient divulgués sur les forums cybercriminels. Les informations d’identification de connexion initialement volées par des attaques de phishing, et souvent à l’aide de kits de phishing spécialisés avec un autre vecteur important de pwnage d’informations d’identification.
Des outils faciles à utiliser couramment disponibles sur les marchés criminels à un coût minime ou gratuitement permettent aux script kiddies, même non qualifiés, de déchiffrer facilement les mots de passe faibles.
Le simple fait d’ajouter un « caractère spécial » (tel que @ # ou _) à un mot de passe de base à 10 caractères rend beaucoup plus difficile le déchiffrage des mots de passe et rend donc beaucoup moins probable qu’une personne soit victime d’une attaque, les criminels attaquant à la place des comptes plus faciles à violer.
Digital Shadows rapporte que la vente d’informations d’identification volées et piratées reste un pilier des ventes via les forums et les marchés de la cybercriminalité.
« Les informations d’identification volées sont l’un des jetons d’accès les plus cruciaux pour une variété d’opérations de cybercriminels et de groupes parrainés par l’État », a déclaré Digital Shadows. « En tant que tel, le marché pour eux est constamment florissant et les groupes de menaces se bousculent pour mettre la main sur ces précieux actifs. »
Progressivement pire
Chris Morgan, analyste principal du renseignement sur les cybermenaces chez Digital Shadows, a déclaré que malgré les tentatives de l’industrie d’aller au-delà des mots de passe en tant que mécanisme d’authentification, le problème des informations d’identification violées reste pressant – et s’aggrave progressivement au fil du temps.
« Les criminels ont une liste interminable d’informations d’identification violées qu’ils peuvent essayer, mais à ce problème s’ajoutent des mots de passe faibles, ce qui signifie que de nombreux comptes peuvent être devinés à l’aide d’outils automatisés en quelques secondes seulement », a déclaré Morgan.
Morgan a ajouté : « Au cours des 18 derniers mois seulement, chez Digital Shadows, nous avons alerté nos clients sur 6,7 millions d’informations d’identification exposées. Cela inclut le nom d’utilisateur et les mots de passe de leur personnel, clients, serveurs et appareils IoT.
TU POURRAIS AUSSI AIMER Les cybercriminels utilisent le tunneling inversé et les raccourcisseurs d’URL pour lancer des campagnes de phishing « pratiquement indétectables »
« Beaucoup de ces cas auraient pu être atténués en utilisant des mots de passe plus forts et en ne partageant pas les informations d’identification entre différents comptes », ont-ils conclu.
Dans un article de blogDigital Shadows résume les résultats de ses recherches et propose des conseils sur les meilleures pratiques en matière de sécurité des mots de passe.
Ses principaux conseils consistent notamment à conseiller aux utilisateurs de passer à l’utilisation d’un gestionnaire de mots de passe et d’ajouter une authentification multifacteur à leurs comptes en ligne afin qu’un mot de passe seul (même s’il est compromis) ne suffise pas pour y accéder.
LIRE LA SUITE Le marché volatil des données de cartes de crédit volées secoué par les sanctions contre la Russie