Vidéo: 📋 Attaque par brute force , hacker tous les mots de passes ! (ou pas...) (Novembre 2024)
Plus tôt cette semaine, Trustwave a publié son étude sur un botnet massif, l'un des nombreux gérés à l'aide du contrôleur de botnet Pony. Les chercheurs ont pris le contrôle du botnet, remplaçant son serveur de commandement et de contrôle. Une fois sous contrôle, ils ont découvert que le botnet avait réussi à dérober environ deux millions de mots de passe aux ordinateurs infectés. Ils ont également découvert quelque chose que la plupart d'entre nous savons déjà: les mots de passe sont terribles.
Obtenez les mots de passe
Les deux millions de comptes compromis étaient répartis entre 1, 58 million d'informations d'identification de site Web, 320 000 connexions de messagerie, 41 000 comptes FTP, 3 000 informations d'identification de Bureau à distance et 3 000 informations d'identification de compte Secure Shell, ce qui représente un transport important. Bien entendu, le problème est de savoir combien d’utilisateurs concernés ont sélectionné le même mot de passe pour d’autres sites.
Les chercheurs ont trouvé 318 121 identifiants Facebook, ce qui représente 57% du total. Yahoo vient ensuite avec environ 60 000 comptes, suivis de 21 708 comptes Twitter, 8 490 mots de passe LinkedIn et 7 978 comptes pour le fournisseur de services de paie ADP. Ce dernier est un peu inhabituel, mais aussi très préjudiciable car il donne aux attaquants l’accès aux informations personnelles des victimes.
Ce qui m'a le plus effrayé, ce sont les 16 095 références Google.com et les 54 437 références Google. Celles-ci pourraient permettre à des attaquants d'accéder à Gmail, puis de réinitialiser d'autres mots de passe à l'aide de la fonction "mot de passe oublié" des sites Web. Il pourrait également donner aux pirates un accès aux fichiers privés de Google Drive ou aux informations de paiement de Google Wallet.
Tout cela ne signifie pas qu'il y a eu une attaque massive contre ces sites. Il est plus probable que les criminels ont réussi à récupérer ces adresses par différents moyens, tels que le phishing et les enregistreurs de frappe, et les avaient stockées sur ces serveurs. Ils pourraient les vendre à d'autres acheteurs ou les conserver pour une utilisation future.
Terrible mots de passe, encore
Trustwave a divisé les mots de passe en catégories: 6% d’entre eux étaient «terribles» et 28% «mauvais». Au total, 22% étaient "bons" ou "excellents" et 44%, "moyens". Parmi les pires étaient: 123456, 123456789, 1234 et "mot de passe".
La plupart des mots de passe ne mélangent pas les lettres et les chiffres. La majorité des mots de passe étaient soit toutes les lettres (même casse), soit tous les chiffres, suivis des mots de passe de deux types (mélange de lettres majuscules et minuscules ou minuscules avec des chiffres, par exemple), a déclaré Trustwave.
Une bonne conclusion est que près de la moitié - 46% - des mots de passe avaient des mots de passe longs, de 10 caractères ou plus. La majorité des mots de passe étaient compris entre six et neuf caractères, a déclaré Trustwave.
Objectifs de haut niveau
En ce qui concerne Lucas Zaichkowsky, architecte de données d'entreprise chez AccessData, le plus gros souci est que les criminels recherchent des comptes appartenant à des personnes "appartenant à des organisations cibles de grande valeur". S'il s'avère que ces personnes utilisent les mêmes mots de passe sur ces sites ainsi que pour les ressources liées au travail, les attaquants peuvent pénétrer dans le réseau de l'entreprise via VPN ou par courrier électronique via un client Web, a noté Zaichkowksy.
"Ils peuvent vendre ces précieux comptes à d'autres sur le marché noir, qui paient beaucoup d'argent pour obtenir des identifiants valables qui les placent dans des organisations cibles rentables", a déclaré Zaichkowksy.
Les gens utilisent leurs adresses électroniques professionnelles pour leurs activités personnelles, telles que la création de comptes sur Facebook. Cesar Cerrudo, CTO d’IOActive, a découvert que divers militaires, dont des généraux et des lieutenants généraux ("les futurs généraux", leur dit Cerrudo), avaient utilisé leurs adresses électroniques.mil pour créer des comptes sur le site de voyage Orbitz, la société GPS garmin.com, Facebook, Twitter et Skype, pour n'en nommer que quelques-uns. Cela rend encore plus problématique la perspective de la réutilisation des mots de passe, car ces personnes sont des cibles très utiles et ont accès à de nombreuses informations sensibles.
Le directeur de l'ingénierie de Qualys, Mike Shema, a cependant déclaré qu'il voyait de l'espoir dans l'avenir. «À l'horizon 2014, l'authentification à deux facteurs continuera de gagner du terrain dans les technologies grand public et grand public, et de nombreuses applications commenceront également à adopter un facteur à deux facteurs. Nous verrons également l'essor de la crypto-ingénierie intelligente pour les mots de passe multi-authentification. " L'authentification à deux facteurs nécessite une deuxième étape d'authentification, comme un code spécial envoyé par message texte.
Rester en sécurité
Le consensus général est que ces mots de passe ont été collectés sur les ordinateurs des utilisateurs et non sur le vol des informations de connexion des sites, ce qui constitue un changement de rythme agréable. Les enregistreurs de frappe sont un suspect probable, et particulièrement dangereux. Ces applications malveillantes peuvent non seulement capturer les frappes au clavier, mais également les captures d’écran, le contenu de votre presse-papiers, les programmes que vous lancez, les sites que vous visitez et même filtrer les conversations de messagerie instantanée et les fils de discussion. Heureusement, la plupart des logiciels anti-virus devraient vous couvrir. Nous recommandons Webroot SecureAnywhere AntiVirus (2014) ou Bitdefender Antivirus Plus (2014), lauréats du prix Editors 'Choice Award.
Notez que certains programmes audiovisuels ne bloquent pas les "programmes gris" ou les "programmes potentiellement indésirables" par défaut. Les enregistreurs de frappe appartiennent parfois à cette catégorie. Veillez donc à activer cette fonctionnalité.
L'hameçonnage et d'autres tactiques pour inciter les victimes à donner des informations de mot de passe sont plus difficiles à bloquer. Heureusement, nous avons beaucoup de conseils pour repérer les attaques de phishing et les éviter
Le plus important est que les utilisateurs utilisent un gestionnaire de mot de passe. Ces applications créent et stockent des mots de passe complexes uniques pour chaque site ou service que vous utilisez. Ils vous connecteront également automatiquement, ce qui rendra beaucoup plus difficile pour les enregistreurs de frappe de saisir vos informations. Assurez-vous d'essayer Dashlane 2.0 ou LastPass 3.0, deux gagnants du prix Editors 'Choice Award pour la gestion de mot de passe.
