Le mot de passe que vous utilisez pour Facebook est-il le même que celui que vous utilisez pour accéder à votre compte LinkedIn ou encore à votre application bancaire ? Est-ce le même que celui de votre ordinateur professionnel ? Si c’est le cas, vous n’êtes pas seul ! Selon une enquête de Google, pas moins de 65 % des personnes interrogées utilisent le même mot de passe sur plusieurs comptes et services Web.

Dans la mesure où chaque service, site Web et réseau social exige l’utilisation d’un mot de passe, bon nombre de personnes trouvent plus facile de réutiliser le même plutôt que d’en réinventer de nouveaux, partant du principe qu’il est difficile de gérer et de mémoriser plusieurs mots de passe. C’est d’autant plus vrai que, du fait des politiques de sécurité, les mots de passe sont de plus en plus complexes. Bien que la majorité de la population comprenne le risque et sache qu’il ne faut pas réutiliser le même mot de passe, nous continuons pour la plupart à réutiliser des mots de passe identiques pour les comptes professionnels et personnels.

Pour stocker leurs identifiants, de nombreuses personnes utilisent des gestionnaires de mots de passe, qui sont considérés comme sûrs. Cependant, ces outils ne sont pas infaillibles, comme on l’a vu en août 2022 lorsque LastPass a été piraté pour la deuxième fois.

À ce propos, dans une enquête réalisée en 2022, un autre service de gestion des mots de passe, Bitwarden, a constaté que 84 % des usagers de ce service utilisaient le même mot de passe sur plusieurs plateformes professionnelles et personnelles.

Rien d’étonnant à ce que les cybercriminels aient immédiatement saisi l’opportunité pour créer un marché souterrain prospère de bases de données obtenues à partir de sites Web piratés.

Les cybercriminels créent alors des « listes combinées ». Il s’agit d’énormes compilations de nombreuses bases de données volées qui ne sont que des listes d’adresses e-mail et de mots de passe. Bon nombre d’entre elles sont des listes de comptes e-mail professionnels avec des mots de passe qui ont été utilisés sur des services tiers. La plus grande liste combinée de tous les temps, appelée RockYou2021, a été publiée en 2021 et contenait plus de 8 milliards de séries uniques de comptes e-mail et de mots de passe.

Attaques par bourrage d’identifiants : Comment les acteurs de la menace exploitent-ils les identifiants et les listes combinées volés ?
Le bourrage d’identifiants est un type de cyberattaque au cours de laquelle les attaquants recueillent des identifiants de comptes volés, généralement constitués de listes de noms d’utilisateurs et/ou de comptes e-mail et des mots de passe correspondants. Ils utilisent ensuite les identifiants pour obtenir un accès non autorisé aux comptes des utilisateurs par le biais de demandes de connexions automatisées à grande échelle dirigées contre une application Web.
Le bourrage d’identifiants est l’une des techniques les plus courantes pour prendre le contrôle des comptes d’utilisateurs, dont les e-mails, les comptes bancaires, les réseaux sociaux et les comptes professionnels.

Le point de vue de l’underground

Les cybercriminels ont compris le formidable potentiel commercial des mots de passe volés, et leurs efforts se concentrent alors sur le piratage de différents sites Web et services qui n’ont pas une grande valeur en soi - mais qui rapportent gros en raison des informations d’identification des utilisateurs qu’ils contiennent.

Les directives de stockage des mots de passe du NIST exigent que les mots de passe soient validés avec au moins 32 bits de données et hachés avec une fonction de dérivation de clé à sens unique. Cependant, même en 2022, de nombreux sites Web ne suivent pas cette politique, et certains stockent même les mots de passe sous forme d’enregistrements en texte.

Les cybercriminels qui piratent ces sites ne sont pas nécessairement les plus efficaces. De nombreuses communautés et marchés underground florissants se sont créés autour de l’achat et de la vente de données et d’identifiants volés. Les ensembles d’identifiants de valeur, qui fournissent un accès de niveau administrateur à une organisation, peuvent coûter jusqu’à 120 000 USD dans le milieu underground, avec une moyenne de 3 000 USD pour les ensembles d’administrateurs, et si de nombreux ensembles d’identifiants sont vendus dans les forums underground, beaucoup sont également donnés gratuitement.

Rien que ces six derniers mois, dans l’une des principales communautés clandestines anglophones, plus de 3 500 threads concernant des bases de données volées ont été ouverts, et plus de 1 500 threads concernant des listes combo qui ne comprennent que des comptes e-mail et des mots de passe. Chacune de ces bases de données peut comprendre des millions, voire des centaines de millions d’ensembles d’identifiants de connexion.

Bien que ces bases de données et listes combo comprennent un pourcentage élevé d’ensembles d’identifiants de webmail dont l’exposition ne présente qu’un faible risque pour l’entreprise, elles comprennent également de nombreux ensembles de comptes e-mail professionnels avec des mots de passe que les employés utilisent pour s’inscrire sur des sites Web tiers. C’est le Saint Graal pour les cybercriminels, la quête la plus précieuse de toutes. Lorsque le même mot de passe est utilisé pour des comptes personnels et professionnels, les dommages potentiels d’une cyber-attaque augmentent car les criminels peuvent accéder à plusieurs comptes lorsqu’un seul est piraté, et la vulnérabilité des entreprises aux cyber-attaques augmente. Ces comptes et applications échappent à la visibilité et à la protection des équipes informatiques des entreprises.

Dans de nombreux cas, les cybercriminels séparent également les listes de combinaisons en fonction du pays, pour en faciliter l’utilisation.

Comment Check Point Harmony Browse vous aide à empêcher la réutilisation des mots de passe professionnels

Véritable solution complète de navigation sur le Web, Harmony Browse propose une prévention du vol d’identifiants en bloquant la réutilisation des mots de passe professionnels sur plusieurs services Web.

La réutilisation des mots de passe n’est qu’un exemple de la façon dont les employés mettent souvent involontairement leur organisation en danger. Harmony Browse assure une protection étendue de la navigation sur le Web pour garantir que votre organisation est protégée contre les menaces de sécurité véhiculées par le Web. Entre autres fonctionnalités, la solution empêche les utilisateurs de consulter des sites de phishing ou de télécharger des malwares sans compromettre la productivité des employés.