L’équipe de recherche sur les menaces de Microsoft a analysé tous les comptes d’utilisateurs Microsoft pour constater que 44 millions d’utilisateurs réutilisent des identifiants ou des mots de passe pourtant exposés publiquement en ligne à la suite d’atteintes à la sécurité d’autres services en ligne. Le géant américain avait procédé à cette analyse édifiante entre les mois de janvier et de mars 2019.
Microsoft a déclaré avoir scanné les comptes d’utilisateurs à l’aide d’une base de données de plus de trois milliards d’identifiants et de mots de passe exposés publiquement à la suite d’attaques diverses. Le groupe a indiqué avoir obtenu ces informations d’identification de source publique et/ou policières. L’analyse a aidé Microsoft à identifier de manière efficace les utilisateurs qui réutilisaient les mêmes noms d’utilisateur et mots de passe sur différents comptes en ligne.
Les 44 millions de comptes de ces utilisateurs imprudents comprenaient des comptes Microsoft Services (comptes utilisateurs réguliers), mais aussi des comptes Azure. Le géant américain a indiqué avoir procédé à des requêtes de modification d’identifiants lorsque cela était possible. “Pour les informations d’identification divulguées pour lesquelles nous avons trouvé une correspondance, nous forçons la réinitialisation du mot de passe. Aucune action supplémentaire n’est requise de la part des consommateurs”, a ainsi fait savoir l’état-major de Microsoft.
publicité
Microsoft prône l’utilisation de solutions MFA
“Du côté de l’entreprise, Microsoft augmentera le risque pour l’utilisateur et alertera l’administrateur afin qu’une réinitialisation des informations d’identification puisse être appliquée”, a ajouté la direction du groupe. Le fabricant d’OS s’est imposé comme un ardent défenseur et promoteur de solutions d’authentification multifacteur (MFA).
Plus tôt cet été, l’entreprise a déclaré que l’activation d’une mesure de sécurité MFA pour un compte Microsoft bloque 99,9% de toutes les attaques et que les tentatives de contournement MFA sont si rares que son équipe de sécurité ne dispose même pas de statistiques sur ce type de menace.
Microsoft met généralement en garde contre l’utilisation de mots de passe faibles ou faciles à deviner lors de la création d’un compte, mais ces avertissements ne couvrent pas les scénarios de réutilisation des mots de passe.
Mise en garde sévère
Dans les faits, Microsoft n’a en effet aucun moyen de savoir si l’utilisateur a réutilisé le mot de passe déjà usité pour les services Microsoft dans d’autres endroits. Une fois qu’un service tiers a une faille de sécurité et que le mot de passe de l’utilisateur est volé et divulgué en ligne, cela met par inadvertance le compte Microsoft de l’utilisateur en danger, malgré un mot de passe solide.
Les pirates peuvent prendre le mot de passe divulgué et l’utiliser pour tenter d’accéder aux autres comptes de l’utilisateur – comme Microsoft, Google, Facebook, Twitter, etc. Microsoft appelle cela une “attaque de reprise de brèche”.
Une étude de recherche universitaire de 2018 portant sur 28,8 millions de comptes d’utilisateurs a révélé que la réutilisation du mot de passe et les petites modifications du mot de passe original étaient courantes chez 52 % des utilisateurs. La même étude a également révélé que 30 % des mots de passe modifiés et tous les mots de passe réutilisés peuvent être piratés en seulement 10 suppositions.
Source : ZDNet.com
Commentaires