Un nouveau rapport du fournisseur de renseignements sur les cybermenaces Digital Shadows révèle l'étendue des données de connexion divulguées dans le monde en relation avec les prises de contrôle de compte (Account Take Over, ou ATO en abrégé). Il y a plus de 24 milliards de combinaisons utilisateur-mot de passe en circulation sur le dark web.
Rapporté à la population mondiale, cela correspond à quatre comptes exposés par internaute. Le nombre d'identifiants volés et divulgués a ainsi augmenté d'environ 2020 % depuis 65.
Données de connexion sur le dark web : augmentation de 65 %
La majorité des données exposées concernent les particuliers et les consommateurs et comprennent les noms d'utilisateur et les mots de passe de divers comptes - des comptes bancaires et des détaillants en ligne aux services de streaming et des médias sociaux aux portails d'entreprise. Au total, 6,7 milliards des données de connexion découvertes sont classées comme "uniques" et ont ainsi été proposées à la vente pour la première fois et une seule fois sur une place de marché du dark web (2020 : 5 milliards ; +34%).
Les données de connexion compromises sont principalement proposées via des places de marché et des forums pertinents sur le dark web. Ici, l'écosystème cybercriminel a considérablement augmenté en étendue et en professionnalisme au cours des deux dernières années. En plus des données d'accès divulguées, des logiciels malveillants et des outils de piratage, les clients intéressés peuvent également souscrire à des services d'abonnement et à des services premium liés aux prises de contrôle de compte. Au cours des 18 derniers mois seulement, les analystes de Digital Shadows ont identifié 6,7 millions d'incidents d'informations d'identification de connexion client annoncées sur plusieurs plates-formes. Cela inclut les noms d'utilisateur et mots de passe des employés, partenaires, clients, ainsi que divers serveurs et appareils IoT.
Un manque d'hygiène des mots de passe facilite la tâche des attaquants
Selon l'étude, le plus grand déficit de sécurité reste le manque d'hygiène des mots de passe. Les internautes continuent d'utiliser des mots de passe faciles à deviner (par exemple "mot de passe") et de simples suites de chiffres. Presque chaque 200e mot de passe (0,46%) est donc "123456". Les combinaisons de lettres rapprochées sur le clavier de l'ordinateur (par exemple "qwerty", "1q2w3e") sont également populaires. Sur les 50 mots de passe les plus courants, 49 peuvent être déchiffrés en moins d'une seconde. Certains des outils dont vous avez besoin pour ce faire sont disponibles sur le dark web pour aussi peu que 50 $.
Même l'ajout de caractères spéciaux (par exemple @, #) ne peut que retarder le piratage des données de connexion, mais pas nécessairement l'empêcher. Un mot de passe en 90 parties avec un seul caractère spécial coûte en moyenne 4 minutes de temps supplémentaire aux cybercriminels, selon Digital Shadows. Avec deux caractères spéciaux, les pirates ont encore besoin de deux jours et XNUMX heures.
Un avenir sans mot de passe doit venir
« L'industrie progresse à grands pas vers un avenir sans mot de passe. Pour l'instant, cependant, le problème des informations d'identification compromises semble devenir incontrôlable », a déclaré Chris Morgan, analyste principal du renseignement sur les cybermenaces chez Digital Shadows. « Les criminels ont à leur disposition des listes interminables d'informations d'identification divulguées ou volées, et ils se réjouissent du manque de créativité des utilisateurs dans le choix de leurs mots de passe. Cela permet de prendre en charge les comptes en quelques secondes à l'aide d'outils de piratage automatisés et faciles à utiliser. De nombreux cas que nous avons examinés dans le cadre de notre étude auraient pu être évités en attribuant un mot de passe unique et fort.
Plus sur DigitalShadows.com
À propos des ombres numériques
Digital Shadows traque les fuites de données involontaires sur le Web ouvert, profond et sombre, aidant les organisations à minimiser l'exposition numérique aux menaces externes qui en résulte. Avec SearchLight™, les entreprises peuvent se conformer aux réglementations sur la protection des données, prévenir la perte de propriété intellectuelle et éviter les atteintes à la réputation.