Deux semaines seulement après la découverte d’une énorme fuite de données personnelles baptisée Collection #1, une fuite encore plus massive vient d’être détectée par des chercheurs allemands. Cette seconde fuite nommée Collection #2-5, rassemblerait une base de 2,2 milliards d’identifiants, adresses mail et mots de passe.

Digital Guardian
Tim Bandos, Vice-Président de la Cybersecurité

Dans de telles situations, une bonne hygiène des mots de passe devient critique, au risque sinon de compromettre la sécurité des comptes et des données sensibles. En plus des cartes de crédit, adresses e-mail et informations personnelles, les cybercriminels sont à l’affut des données d’identification. Pour se prémunir, il est conseillé d’opter pour un mot de passe différent pour chacun des comptes en ligne.

Ces mots de passe doivent être uniques et complexes afin d’empêcher les pirates de les deviner. Il existe de nombreux gestionnaires de mots de passe et applications gratuites et facile d’utilisation pour aider à la mémorisation. Dans le cas d’une alerte de sécurité du compte, il est recommandé de changer immédiatement de mot de passe. La plupart des sites populaires comme Facebook, Gmail et Skype offrent également la possibilité d’une authentification multi-facteurs.

 

Imperva
Terry Ray, senior vice president

Les mails et les mots de passe associés à ces derniers ont malheureusement été mis à la disposition des cybercriminels, qui peuvent désormais bouleverser la vie quotidienne des victimes. Cette collection de justificatifs d’identité leur donne les munitions nécessaires pour deviner des mots de passe et d’autres processus itératifs lors de la prise de contrôle du compte, ce qui donne essentiellement aux cyber-attaquants une clé vers votre porte de sortie. Forts de leurs récentes et anciennes références, les pirates informatiques pouvaient accéder aux données des consommateurs, à des plateformes de médias sociaux pour diffuser de la propagande, gagner des miles aériens, vendre des données de contact aux spammeurs et même accéder à des comptes en banque. Pire encore, si les consommateurs réutilisaient les mots de passe au travail, les cybercriminels pourraient pirater les infrastructures de l’entreprise pour voler les données, ce qui coûterait des millions de dollars si ces dernières tombaient entre de mauvaises mains.

C’est pourquoi il est essentiel que les consommateurs ne réutilisent jamais les mots de passe des différents comptes qu’ils détiennent, mais qu’ils les modifient de manière cohérente et mettent en place une authentification à double facteur pour mieux se protéger. Si vous avez pris ces mesures de précaution, il est peu probable que les cybercriminels parviennent à pénétrer dans vos comptes. Au contraire, ils pourraient vous mettre temporairement à l’écart. Si vos services en ligne offrent des avis de changement de compte et l’authentification à deux facteurs, je vous suggère de les utiliser pour vous informer davantage des activités inhabituelles sur votre compte et pour rendre plus difficile sa prise en charge.

Malheureusement, les atteintes à la protection des données sont beaucoup trop fréquentes de nos jours et les consommateurs sont de plus en plus « désensibilisés » aux atteintes à la protection des données – car à l’heure actuelle, qui n’a pas déjà été touché ? Les entreprises qui veulent recueillir des données sur des personnes doivent accepter la responsabilité de protéger ces données. Trop souvent, des renseignements personnels sont recueillis, mais l’organisme de collecte ne surveille pas qui a accès aux données, quand les données sont consultées ou si les données ont été volées. Ce n’est qu’à l’occasion d’un événement comme celui-ci qu’une personne trouve les données sur le Web et s’efforce de reconstituer la source originale.

Les entreprises devraient faire preuve d’une vigilance accrue au cours des prochaines semaines à mesure que ces titres de compétences feront leur ronde dans le noir. Historiquement, les tentatives de prise en charge des comptes après fuite de justificatifs ont atteint des sommets immédiatement après des incidents comme celui-ci. Il est difficile d’identifier les connexions réussies à l’aide de ces justificatifs d’identité, bien qu’il existe des technologies qui aident les équipes de sécurité IT. La plupart des équipes partent du principe qu’elles ne seront pas en mesure d’empêcher chaque tentative et concentrent plutôt leur sécurité autour de leurs actifs de données les plus sensibles, en surveillant toutes les activités de ces ressources et en signalant ou empêchant tout accès inhabituel en interne. Il ne s’agit pas ici d’identifier la mauvaise personne en utilisant les bonnes informations d’identification, mais plutôt d’identifier la bonne personne en se basant sur un comportement très inhabituel, plus facile à détecter et à différencier du comportement précédent.

LogMeIn
Sandor Palfy, CTO

La Collection #1 (773 millions d’emails et 22 millions de mots de passes volés) ne semble plus qu’être une goutte d’eau dans l’océan lorsque l’on compare le volume colossal de données fuitées de la Collection #2-5 (2,2 milliards d’identifiants, adresses email et mots de passe volés soit 845 Go de données personnelles, en libre accès sur des forums et sites de torrents).

Ces dépotoirs de données démontrent le besoin critique d’adopter des bonnes pratiques en matière de mots de passe. Les mots de passe sont souvent faibles et beaucoup trop réutilisés, ce qui conduit à des vols de données. Cependant, les utilisateurs continuent à avoir un comportement risqué avec leurs mots de passe. Notre récente étude intitulée « Psychologie des mots de passe : la négligence aide les pirates à prospérer » a révélé que 91% des interrogés savaient que l’utilisation du même mot de passe constitue un risque pour la sécurité, mais 59% d’entre eux ont admis qu’ils continueraient à le faire.

Lorsque des mots de passe plus longs et plus complexes sont utilisés, ils deviennent plus difficiles à craquer. Il est crucial que les utilisateurs créent un mot de passe unique et solide qui n’a pas été utilisé pour s’identifier sur d’autres comptes. Si vous utilisez le même mot de passe pour plusieurs sites, que l’un de ces sites est compromis et que votre mot de passe est craqué, les attaquants s’en prendront à vos autres comptes. Ces comptes peuvent d’ailleurs contenir beaucoup plus d’informations personnelles vous concernant et probablement avant même que vous ne soyez informé d’une quelconque violation. Même si un mot de passe subit une attaque par force brute, les dommages sont moindres car il est unique, et l’impact se limitera à ce seul compte.

Cela vaut également la peine de privilégier l’authentification à deux facteurs dans la mesure du possible car cela ajoute une couche supplémentaire de protection qui empêchera l’attaquant d’accéder au compte et ce, même s’il arrive à obtenir le mot de passe.

Les dommages dus aux mots de passe faibles et réutilisés ne peuvent plus être ignorés. Quant aux fuites de données, elles devraient servir de signal d’alarme pour nous tous – entreprises et consommateurs.