Les récentes investigations menées par Digital Shadows révèlent l’ampleur de la menace qui pèse sur la sécurité des consommateurs alors que le rapport révèle que 15 milliards de noms d’utilisateur et de mots de passe ont été volés dans plus de 100 000 attaques de données différentes.
1- Un trésor de logins de comptes et de mots de passe volés ?
2- Comment protéger au mieux vos comptes et vos mots de passe contre la cybercriminalité ?
Un trésor de logins de comptes et de mots de passe volés
Selon une nouvelle étude de Digital Shadows, le nombre d’identifiants volés actuellement disponibles à l’achat équivaut à plus de deux pour chaque personne sur la planète. Ce chiffre a augmenté de 300 % depuis 2018 en raison de plus de 100 000 violations distinctes.
Sur les 15 milliards d’informations d’identification volées estimées être en vente en ligne, plus de cinq milliards ont été jugées “uniques” car elles n’ont pas été annoncées plus d’une fois sur les forums cybercriminels. L’étude a également révélé que la majorité des identifiants exposés appartiennent aux consommateurs et comprennent des noms d’utilisateur et des mots de passe allant des comptes bancaires aux services de streaming de vidéos et de musique.
Alors que de nombreuses informations sur les comptes sont offertes gratuitement sur le Dark Web, le prix moyen de celles qui sont en vente est de 15,43 dollars. Les comptes bancaires et financiers sont cependant les plus chers, avec une moyenne de 70,91 $, mais certains se négocient à plus de 500 $ selon la qualité du compte.
Digital Shadows affirme avoir alerté ses clients sur 27,3 millions de combinaisons de noms d’utilisateur et de mots de passe au cours des 18 derniers mois. Cependant, la prise de contrôle des comptes n’a jamais été aussi facile et économique pour les cybercriminels. En effet, une grande variété d’outils de force brute et de contrôleurs de compte sont disponibles sur les places de marché du dark web pour une moyenne de 4 dollars, qui peuvent être utilisés avec peu de compétences techniques.
En menant son étude, Digital Shadows a également observé la croissance de la prise de contrôle des comptes en tant que service. Au lieu d’acheter des titres d’identité, les cybercriminels peuvent louer une identité pour une période donnée pour moins de 10 dollars sur des sites tels que le marché Genesis. Pour le prix, ces services collectent les données d’empreintes digitales d’un individu car cela facilite considérablement les reprises de compte et les transactions qui passent inaperçues.
“Le message est simple : les consommateurs doivent utiliser des mots de passe différents pour chaque compte et les organisations doivent garder une longueur d’avance sur les criminels en cherchant à savoir où les coordonnées de leurs employés et de leurs clients pourraient être compromises”, a fait remarquer le RSSI et le vice-président de la stratégie de Digital Shadows, Rick Holland.
Comment protéger au mieux vos comptes et vos mots de passe contre la cybercriminalité ?
Qu’est-ce qu’un gestionnaire de mots de passe et pourquoi est-ce utile ?
Notre préférence pour les mots de passe peu précis peut être attribuée en partie à notre utilisation d’un grand nombre de services différents, ce qui – à moins que vous ne connectiez tout à votre compte Google ou Facebook – implique souvent la création d’un nouveau compte. D’autre part, si vous avez plusieurs mots de passe complexes, ils peuvent s’avérer difficiles à retenir. Vous choisissez donc de recycler le même mot de passe simple, car vous vous demandez : où est le mal ? Eh bien, si un pirate informatique casse un mot de passe recyclé, vos comptes peuvent devenir un buffet à volonté pour les attaquants.
C’est ce que peut vous éviter un gestionnaire de mots de passe – une application spécialement conçue pour stocker vos données de connexion dans une chambre forte cryptée et pour vous générer des mots de passe complexes. En rendant extrêmement facile la création, la sauvegarde et le remplissage automatique d’un mot de passe unique et fiable pour chacun de vos comptes en ligne, ce “coffre-fort numérique” peut être une solution efficace à votre problème. Tout ce dont vous devez vous souvenir est un mot de passe unique appelé “mot de passe maître”.
La plupart des gestionnaires de mots de passe fonctionnent comme des applications en cloud auxquelles on peut accéder par le biais d’un navigateur. Quel que soit le gestionnaire de mots de passe choisi, vous devrez créer un mot de passe maître fort qui protégera tous vos identifiants stockés utilisés pour accéder aux différents services que vous utilisez ; soyez donc très prudent dans votre choix.
Veillez à bien choisir votre gestionnaire de mots de passe et évitez les erreurs courantes que nous avons mentionnées au début de l’article lorsque vous créez votre mot de passe principal. Pour plus de sécurité, vous pouvez également ajouter un facteur d’authentification supplémentaire pour tous vos précieux comptes en ligne, ou même pour le gestionnaire de mots de passe lui-même.
Activez l’authentification à deux ou plusieurs facteurs pour sécuriser vos identifiants de connexion
Brett Callow, analyste des menaces au laboratoire de logiciels malveillants Emsisoft, a averti :
“Un nombre énorme d’identifiants d’utilisateurs sont exposés quotidiennement de multiples façons, du phishing aux attaques de logiciels malveillants en passant par les violations de données. Les conséquences de cette exposition peuvent être mineures, comme dans le cas de fuites de connexion à Netflix, ou extrêmement graves, comme par exemple des fuites d’informations bancaires.
Bien qu’il n’y ait pas de “solution miracle” à ce problème, M. Callow affirme que les internautes peuvent limiter la probabilité que leurs comptes soient compromis en utilisant des mots de passe forts, “en ne réutilisant jamais les mots de passe à l’aide d’une solution antivirus, en tenant leur système d’exploitation à jour avec des correctifs et, surtout, en utilisant une authentification à deux ou plusieurs facteurs sur tous les services qui le supportent”.
Les recherches menées par la société de cybersécurité Cyble Research Team ont révélé que le 29 mai, les données de plus de 80 000 cartes de crédit ont été mises en vente sur le dark web. Les données de ces cartes semblent avoir été recueillies dans différents pays du monde.
Cointelegraph a également rapporté qu’un gang de hackers connu sous le nom de “Keeper” a mis en place un réseau interconnecté pour voler les données des cartes de crédit de plus de 570 sites de commerce électronique. Depuis 2017, ils ont profité d’environ 7 millions de dollars en cryptographie en vendant des informations sur les cartes de crédit par le biais du dark web.
Il existe de nombreuses mesures que vous pouvez prendre pour réduire le risque de vous faire voler vos noms d’utilisateur et vos mots de passe :
- Ne recyclez pas vos mots de passe entre plusieurs services ; utilisez un mot de passe fort et unique pour chacun de vos comptes en ligne – c’est précisément là qu’un gestionnaire de mots de passe peut s’avérer utile.
- Commencez à utiliser l’authentification à plusieurs facteurs, qui est le moyen le plus simple d’ajouter une couche de sécurité supplémentaire à votre compte.
- Si un service que vous utilisez a été violé, changez immédiatement votre mot de passe pour tous les services pour lesquels vous l’utilisez et vérifiez éventuellement si vous en utilisez une variante pour d’autres services et changez-les également. Vous pouvez également mettre en place une alerte de violation de mot de passe, telle que celle proposée par le service de contrôle des mots de passe de Chrome ou vous pouvez effectuer un contrôle similaire en utilisant des services dédiés.
- Faites attention aux tentatives de phishing, ne cliquez pas sur des liens ou des pièces jointes qui vous semblent suspects.
- Utilisez une solution de sécurité réputée.
Des milliards de mots de passe volés en vente sur le dark web : comment protéger ses données ?
