Par Max Dorfmann, rédacteur de recherche, Triple-I
C’est Cyber Security 101 : L’authentification multifacteur et les mots de passe difficiles à déchiffrer sont des enjeux de table pour prévenir les intrusions.
Cependant, “Mot de passe”, “12345” et “Qwerty123” sont parmi les mots de passe les plus courants divulgués sur le dark web par les pirates, selon la société de sécurité mobile Lookout. Et malgré l’attention portée à ce problème, la situation ne semble pas s’améliorer.
Une enquête menée par EY, une société de conseil basée au Royaume-Uni, a révélé que seulement 48 % des personnes interrogées au sein du gouvernement et du secteur public ont déclaré qu’elles étaient “très confiantes dans leur capacité à utiliser des mots de passe forts au travail”. Le problème est une étude récente du Bureau américain de l’Inspecteur général – qui fait partie du Département de l’intérieur (DOI), l’agence responsable de la gestion des terres fédérales et des ressources naturelles.
Il s’avère que le piratage DOI est relativement facile.
En moins de deux heures et en dépensant seulement 15 000 dollars, l’OIG a pu obtenir des mots de passe en « texte clair » (non cryptés) pour 16 % des comptes d’utilisateurs. Au total, 18 174 sur 85 944 – 21 % des mots de passe des utilisateurs actifs – ont été compromis, dont 288 comptes avec des privilèges élevés et 362 comptes de hauts fonctionnaires du gouvernement américain.
Une grande partie de ce problème, selon le rapport, découle d’un manque d’authentification multifactorielle, ainsi que des exigences de complexité des mots de passe qui permettaient à des employés non apparentés d’utiliser les mêmes mots de passe faibles. Le Bureau de l’inspecteur général a constaté que :
- DOI n’a pas systématiquement mis en œuvre l’authentification multifacteur ;
- Les exigences de complexité des mots de passe étaient obsolètes et inefficaces ; Et
- Le département n’a pas désactivé en temps voulu les comptes inactifs ni appliqué les limites d’âge des mots de passe, laissant plus de 6 000 comptes actifs supplémentaires vulnérables aux attaques.
Le mot de passe le plus courant a été utilisé sur 478 comptes actifs uniques. Les enquêteurs ont découvert que cinq des 10 mots de passe DOI les plus réutilisés incluaient une variante de “mot de passe” avec “1234”.
Des mots de passe simples facilitent le piratage
Étant donné qu’une personne moyenne possède plus de 100 comptes en ligne différents avec des mots de passe, la réutilisation des mots de passe est compréhensible, mais des mots de passe simples permettent aux pirates d’accéder plus facilement aux données et aux comptes personnels.
“Les mots de passe piratés, faibles et réutilisés sont toujours responsables de la majorité des violations de données liées au piratage et constituent l’un des plus grands problèmes de risque pour la plupart des entreprises”, a déclaré Gaurav Banga, PDG et fondateur de la société de cybersécurité Balbix. En 2020, Balbix a constaté que 99 % des utilisateurs d’entreprise réutilisaient les mots de passe entre les comptes professionnels ou entre les comptes professionnels et les comptes personnels.
risque accru
“Le coût des attaques de ransomwares a augmenté car les criminels ciblent les grandes entreprises, les chaînes d’approvisionnement et les infrastructures critiques”, déclare Allianz dans son Baromètre des risques 2023 chez Allianz. « En avril 2022, une attaque a touché une trentaine d’institutions appartenant au gouvernement du Costa Rica, paralysant la région pendant deux mois.
L’assureur mondial continue d’affirmer : “Les doubles et triples attaques d’extorsion sont désormais la norme… Les données sensibles sont de plus en plus volées et utilisées comme levier pour les demandes d’extorsion adressées à des partenaires commerciaux, des fournisseurs ou des clients”.
Une partie de cette croissance est due à l’émergence du “ransomware as a service” – un modèle commercial basé sur un abonnement qui permet aux affiliés d’utiliser les outils de ransomware existants pour mener des attaques. Basé sur le modèle “Software as a Service”, il aide les mauvais acteurs à attaquer leurs cibles sans avoir à savoir coder ni à embaucher des programmeurs peu scrupuleux.
Objectifs de transfert
“Le ransomware en tant que modèle commercial est toujours bien vivant”, a déclaré Michael Menapes, avocat en assurance chez Wiggin and Dana LLP et chercheur non résident de Triple-I, aux participants du Forum conjoint de l’industrie Triple-I 2022.
Ce qui a changé ces dernières années, a-t-il dit, c’est que “là où de mauvais acteurs chiffrent vos systèmes et extraient une rançon pour vous restituer vos données, ils vont maintenant voler vos données et menacer de les rendre publiques”.
Menapes a déclaré que les types de cibles ont également changé, avec un accent accru sur les “cibles plus souples – en particulier les municipalités” qui n’ont souvent pas le personnel ou les ressources financières pour maintenir la même propreté électronique que les grandes entreprises.
Les organisations et les individus doivent prendre au sérieux la menace des cyberattaques et faire tout ce qu’ils peuvent pour atténuer leurs risques. L’amélioration des politiques et des pratiques de cybersanté est une première étape essentielle.