Richter > Des pirates sont probablement déjà en possession de certains de vos mots de passe

Des pirates sont probablement déjà en possession de certains de vos mots de passe

Par : David Greenham, CISSP, CISM, CISA, SCF, QSA, directeur principal – Richter

Vous avez reçu un courriel d’apparence bizarre, truffé de fautes d’orthographe et de grammaire provenant d’une personne qui prétend avoir installé un logiciel malveillant sur votre ordinateur et en avoir pris le contrôle. Cette personne exige une rançon en Bitcoins en vous menaçant d’envoyer des photos compromettantes à tous vos contacts. Vous n’en faites pas de cas, car cela vous semble absurde, mais constatez que le mot de passe que vous donne la personne semble correct ou, du moins, très semblable à l’un de vos mots de passe. Vous vous creusez alors la tête : « Sur quel site ai-je bien pu utiliser ce mot de passe? », voire « J’utilise ce mot de passe sur combien de sites? » Cela vous rappelle quelque chose?

Tout d’abord, dites-vous que vous n’êtes pas seul : des centaines de millions de mots de passe d’utilisateur sont achetés, vendus et divulgués sur le Web invisible. Plus une semaine ne passe sans qu’une violation de données de consommateurs ne fasse les manchettes.

Mais les moyens pris par les cybercriminels pour voler les codes d’accès d’utilisateurs sans méfiance dépassent largement la violation de données, qui fait en sorte d’exposer les codes et les mots de passe d’une foule d’utilisateurs de bases de données. Les criminels procèdent notamment par hameçonnage : ils envoient un courriel qui ressemble beaucoup à l’image de marque d’un service en ligne afin de tromper le jugement de l’utilisateur pour qu’il clique sur un lien qui mène à un faux site sur lequel il doit ouvrir une session. Sauf que le site Web est créé pour stocker les codes d’accès et les mots de passe dans une base de données, renseignements qui sont ensuite vendus ou utilisés. Cette méthode est utilisée fréquemment, car les utilisateurs ne se rendent pas compte que le courriel ou le site Web est frauduleux (ou se rendent compte trop tard qu’ils se sont fait piéger).

Les raisons pour lesquelles les cybercriminels cherchent à obtenir vos données sont nombreuses :

  • Vol et fraude – Tout compte associé à de l’argent ou à des actifs peut être détourné et fait l’envie des criminels. Si un numéro de carte de crédit est lié au compte de la victime, il est possible pour un criminel de faire des achats frauduleux, notamment de produits monnayables, comme des cartes-cadeaux.
  • Vol d’identité – Les comptes qui donnent accès aux renseignements personnels d’un client, d’un citoyen ou d’un employé, notamment les documents fiscaux, les dossiers médicaux ou toute autre donnée auprès d’un organisme public, ou encore les bases de données des RH d’une entreprise peuvent être infiltrées dans le but de voler les renseignements personnels, lesquels sont ensuite utilisés pour commettre des fraudes. Les pirates vont, par exemple, ouvrir des comptes bancaires à des fins frauduleuses ou obtenir des prêts hypothécaires, des prêts ou des cartes de crédit au nom de la victime.
  • Attaques visant une prise de contrôle du compte – Lorsqu’un pirate contrôle le courriel ou le compte d’un réseau social de sa victime, il peut commettre une foule de gestes qui portent atteinte à sa réputation, notamment envoyer des logiciels malveillants ou des pourriels à tous les contacts de la victime, fouiller dans les renseignements de la victime pour trouver des réponses aux « questions secrètes » (par exemple, sur des sites de services bancaires en ligne), ou encore solliciter des fonds de personnes faisant partie du réseau de la victime. Ce type d’attaque est courant dans le monde des affaires et est communément appelé « fraude du président ». Lorsqu’un fraudeur réussit à prendre le contrôle du compte de courriel d’un membre de la direction, il se fait passer pour sa victime et demande un transfert de fonds à un fournisseur ou à une autre entité de son choix. Dans de tels cas, comme le courriel ou le compte de réseau social est le véritable compte de la victime, il devient très difficile pour les personnes qui reçoivent un message de détecter qu’il s’agit d’une prise de contrôle.
  • Vol de données – Les motifs habituels qui incitent les pirates à voler des données sont l’argent, l’espionnage d’entreprise ou de l’État, l’extorsion et le tort susceptible d’être causé à une personne ou à une société, ou encore à sa réputation.
  • Déni de service – Lorsqu’un fraudeur accède à un compte, il peut changer le mot de passe pour que l’utilisateur légitime ne puisse plus y avoir accès. Ce type de fraude peut être très sérieux si le compte sert à configurer l’infrastructure de TI d’une entreprise, comme l’environnement d’infonuagique. De plus, un fraudeur peut faire des ravages en fermant les serveurs virtuels ou en détruisant des données.

Si les données de connexion d’un utilisateur sur un site Web obscur sont obtenues frauduleusement, ce n’est pas un grave problème. Par contre, si ce sont plutôt les données de connexion avec la même combinaison « nom d’utilisateur et mot de passe » pour plusieurs services en ligne qui ont été obtenues, par exemple pour accéder à des services bancaires en ligne ou au réseau d’une entreprise, le problème prend de l’ampleur! Des rapports ont révélé qu’à l’heure actuelle, une personne normale doit retenir les mots de passe pour une moyenne de 22 services en ligne[1]. Il n’est donc pas étonnant que bon nombre de personnes utilisent les mêmes noms d’utilisateur et mots de passe pour se simplifier la vie. Mais en fin de compte, si se simplifier la vie entraîne une perte de sécurité, le jeu en vaut-il la chandelle?

Mais soyez sans crainte. Des outils sont à votre disposition pour faciliter la gestion des mots de passe tout en vous encourageant à utiliser des mots de passe uniques et très complexes. Ces outils sont généralement appelés « voûtes » ou « coffres-forts ». En utilisant un gestionnaire de mots de passe, vous n’avez plus à mémoriser les mots de passe pour tous vos comptes en ligne. Vous n’avez qu’à mémoriser celui de la voûte. Donc directement à partir de la voûte, vous n’avez qu’à copier le nom d’utilisateur et le mot de passe d’un compte et à les coller dans les champs de la plupart des sites de services en ligne, et ce, sans même les voir.

Voici quelques exemples d’outils pour la gestion des mots de passe :

  • LastPass
  • Gestionnaire de mots de passe et coffre-fort numérique Keeper
  • 1Password
  • Password Boss
  • True Key d’Intel Security

Il est important de vous rappeler que vous devez tout de même mémoriser le mot de passe pour accéder à la voûte et vous assurer que le site sur lequel vous saisissez votre nom d’utilisateur et votre mot de passe est véridique, et non un faux site conçu pour voler vos codes d’accès. Il est possible d’ajouter un élément de sécurité pour vos comptes en ligne : l’authentification multifactorielle. Cette solution vient ajouter une étape à l’authentification. En plus d’exiger un élément connu pour vous identifier, comme un nom d’utilisateur et un mot de passe, l’authentification multifactorielle exige aussi un élément dont vous disposez, comme un certificat, un jeton d’authentification, une carte à puce intelligente, etc., ou encore une « partie de vous », comme une empreinte digitale ou la reconnaissance faciale ou de la rétine, etc. De nos jours, de nombreux services en ligne offrent la possibilité d’ajouter l’authentification multifactorielle. Certaines entreprises utilisent leurs propres logiciels d’authentification exclusifs, alors que d’autres utilisent les outils très répandus offerts par des tiers. Certains outils génèrent un code qui change toutes les minutes. Ce code doit être saisi en plus du nom d’utilisateur et du mot de passe. D’autres outils transmettent un code par texto à l’utilisateur sur son appareil intelligent.

Voici quelques exemples de solutions d’authentification multifactorielle :

  • RSA SecurID
  • Authy
  • Google Authenticator
  • Microsoft Authenticator
  • Duo Security
  • YubiKey

Comment l’équipe de Richter peut vous aider

  • Surveillance pour trouver des données de connexion divulguées ou pour savoir si on parle de vous ou de votre entreprise sur le Web invisible.
  • Formation de sensibilisation à la sécurité.
  • Simulations d’hameçonnage.
  • Sélection de fournisseurs et démonstration de faisabilité de l’authentification multifactorielle ou d’autres solutions liées à gestion d’identification et d’accès.

 

 

[1] GCHQ’s Password Guidance: Simplifying Your Approach

https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-your-approach

Solutions sur mesure