Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Dashlane désigne les pires erreurs de mots de passe pour 2021

décembre 2021 par Dashlane

Si 2021 célèbre le 60ème anniversaire de l’invention du mot de passe informatique, elle se révèle aussi être l’année des pires erreurs de mot de passe. Pour honorer cet anniversaire, Dashlane dévoile aujourd’hui aujourd’hui son sixième palmarès annuel des pires erreurs en matière de mots de passe. Après les événements de l’année dernière qui nous ont forcés à vivre exclusivement notre vie en ligne, on aurait pu s’attendre à ce que les entreprises comme les utilisateurs aient aiguisé leurs compétences en matière de sécurité pour mieux limiter les activités frauduleuses et éviter les fuites de données.

"Si les entreprises ne commencent pas à mettre en œuvre des pratiques positives en matière de mots de passe dans l’ensemble de leur organisation, les brèches ne feront que s’amplifier et devenir plus redoutables", explique JD Sherman, CEO de Dashlane. "Si votre entreprise était une voiture, vous ne vous éloigneriez pas d’elle sans remonter les vitres et verrouiller les portes. Pourtant, les utilisateurs d’ordinateurs semblent laisser les voitures en marche avec les clés sur le contact. Une grande partie des nuisances associées à une bonne hygiène des mots de passe est prise en charge par un gestionnaire de mots de passe comme Dashlane."

Si mauvais qu’on les a nommés deux fois…

SolarWinds, COMB et Verkada ont tous les trois déjà eu droit à un coup de projecteur dans notre liste des pires mots de passe en milieu d’année, mais une liste des pires mauvaises pratiques ne serait pas complète sans ces fuites ou de mots de passe. Permettez-nous de vous les rappeler :

• SolarWinds : En février 2021, les anciens et actuels dirigeants de _ SolarWinds ont reproché à un stagiaire d’être à l’origine du mot de passe solarwinds123, trop peu sécurisé, divulgué en ligne et cause d’un vaste piratage industriel. Nous commenterions bien ce fait d’armes, mais c’est encore la représentante Katie Porter qui s’est le mieux exprimée : « J’ai un mot de passe plus fort que ’solarwinds123’ pour empêcher mes enfants de regarder trop de YouTube sur leur iPad. »

• COMB : Alors que les crypto-monnaies montaient en flèche, les utilisateurs de bitcoins ont été privés de leurs portefeuilles et de leurs fortunes potentielles à cause de mots de passe oubliés. A force de le répéter, nous finirons peut-être par être entendus : les Post-it se perdent, le stockage intégré au navigateur ne fonctionne pas partout et vous ne devriez pas laisser les clés de votre royaume en ligne à la sauvegarde en ligne. Les gestionnaires de mots de passe sont la solution la plus sûre et la plus universelle. Sans oublier qu’ils peuvent vraiment vous changer la vie dans des cas comme celui-ci.

• Verkada : Après qu’un collectif international de pirates ait pénétré dans ses systèmes à l’aide d’un nom d’utilisateur et d’un mot de passe trouvés sur Internet, ils ont accédé aux caméras des clients de Verkada, qui vont du Technoking des usines et entrepôts de Tesla aux salles de sport Equinox, en passant par les hôpitaux, les prisons et les écoles. Il est peu probable qu’Elon Musk se moque de cette affaire dans son prochain monologue au Saturday Night Live - les fuites de données évitables ne prêtent que rarement à rire.

Et la liste continue…

• RockYou2021 : We will, we will rock you ! - or hack you ? La reine de toutes les fuites de mots de passe. Un utilisateur de forum a posté un énorme fichier texte de 100 Go contenant 8,4 milliards de mots de passe.

• Facebook : Ou Meta ? Nous ne savons plus trop comment l’appeler, mais ce que nous savons, c’est que 2021 n’a pas été une bonne année pour eux. 533 millions d’utilisateurs de Facebook ont été exposés dans cette violation de données. Leur gestion de la confidentialité des données continue encore d’être un sujet de conversation prisé dans tous les dîners.

• Ticketmaster : Maître des billets mais certainement pas des mots de passe. Des employés ont utilisé des mots de passe obtenus illégalement pour pirater les systèmes informatiques d’une entreprise concurrente. Pendant une année où les gens évitaient de tousser, la société de vente et de distribution de billets a dû payer une amende de 10 millions de dollars pour ce piratage.

•GoDaddy/WordPress : GoDaddy domine l’internet, mais pas la sécurité des mots de passe. En 2021, les données de près de 1,2 million de ses clients ont été exposées après que des pirates ont eu accès à l’environnement d’hébergement WordPress géré par l’entreprise.

• ActMobile Networks : Le "P" de VPN signifie-t-il public ou privé ? ActMobile Networks, qui exploite plusieurs marques de VPN, continue de nier la compromission de 45 millions d’enregistrements d’utilisateurs comprenant des adresses électroniques, des mots de passe cryptés, le nom complet et le nom d’utilisateur ; 281 millions d’enregistrements d’appareils d’utilisateurs comprenant l’adresse IP, les codes postaux, l’appareil et l’ID utilisateur ; et 6 millions d’enregistrements d’achats comprenant le produit acheté et les reçus.

• DailyQuiz.me : Combien d’identifiants ont été volés dans des comptes d’utilisateurs sur le site Web de DailyQuiz.me ? La réponse est 8,3 millions. Les attaquants ont exfiltré la base de données du site, qui a ensuite été mise en vente sur des forums clandestins et des canaux Telegram. Le contenu de la base de données comprend des mots de passe en clair, des courriels et des adresses IP. A titre de comparaison, la population de la ville de New York est de 8,4 millions d’habitants. De quoi laisser à penser.

• Le département juridique de la ville de New York : Alors que beaucoup pensent que la ville de New York a bien géré le COVID-19, il n’en va pas de même pour le département juridique de la ville qui gère leurs informations d’identification en ligne. Le département juridique de la ville de New York détient certains des secrets les mieux gardés de la ville : des preuves de fautes policières, les identités de jeunes enfants accusés de crimes graves, les dossiers médicaux de plaignants et les données personnelles de milliers d’employés municipaux. Mais il a suffi d’un mot de passe de messagerie volé à un employé pour qu’un pirate s’infiltre dans le réseau de l’agence de 1 000 avocats en juin.

Cette liste nous rappelle chaque année à quel point il est facile de commettre un faux pas sur Internet, même lorsque l’on pense être protégé. Les données du rapport Verizon 2021 Breach Investigations Report montrent que le coût moyen d’une violation de données est de 4,24 millions de dollars et que 80% des violations sont dues à des mots de passe d’employés faibles, réutilisés ou volés. L’ebook gratuit de Dashlane, Phishing 101 (en anglais), fournit des conseils pratiques pour aider les entreprises à empêcher leurs employés de mordre à l’hameçon :

• Créer une culture de la sécurité dans laquelle les employés comprennent leur rôle dans la protection des données et des ressources informatiques de votre entreprise, participent activement aux discussions sur la sécurité et disposent des outils nécessaires pour maintenir de bonnes habitudes de sécurité sans entraver leur travail.
• Former les employés à l’identification et au signalement des incidents et menaces de sécurité présumés. Envisager de créer une adresse électronique ou un canal spécial à leur intention.
• Adopter des technologies de sécurisation des postes de travail, des messageries et des gestionnaires de mots de passe.
• Mesurer l’efficacité de votre programme. Certains gestionnaires de mots de passe incluent une fonction de santé des mots de passe qui permet de suivre dans le temps les scores de sécurité des mots de passe à l’échelle de votre entreprise.
• Rester vigilant. Utiliser des outils comme BusinessBreachReport.com de Dashlane pour évaluer gratuitement l’efficacité de la sécurité de votre entreprise.


Voir les articles précédents

    

Voir les articles suivants