La sécurité du mot de passe est seulement aussi forte que le mot de passe lui-même. Malheureusement, on nous rappelle souvent le danger des mots de passe faibles, réutilisés et compromis avec des failles de cybersécurité majeures qui commencent par des informations d’identification volées. Par exemple, en mai 2022, le site de planification de mariage populaire, Zola, a été victime d’une importante faille de cybersécurité où des pirates ont utilisé une attaque connue sous le nom de bourrage d’informations d’identification. Il en est résulté une activité frauduleuse liée aux comptes clients. Examinons la violation de Zola et pourquoi elle met l’accent sur la nécessité pour les organisations de renforcer la sécurité de leur mot de passe et de se protéger contre divers types d’attaques par mot de passe.
Que s’est-il passé avec l’attaque de Zola ?
Au lieu de s’attaquer à l’infrastructure essentielle de Zola, les pirates se sont attaqués aux comptes clients avec l’attaque de mai. Les attaquants ont utilisé une technique séculaire appelée bourrage d’informations d’identification compromettre plusieurs comptes clients Zola. Ayant accès aux comptes compromis, ils ont tenté d’acheter des chèques-cadeaux qu’ils pourraient ensuite utiliser.
Un porte-parole de Zola a mentionné que environ 3 000 comptes, soit environ 0,1 % des comptes Zola, ont été piratés. Les utilisateurs ont vu des centaines de dollars de cartes-cadeaux ou de cadeaux monétaires prélevés sur leurs comptes. Les pirates ont même modifié l’e-mail associé aux comptes Zola des utilisateurs dans de nombreux cas, les empêchant de se connecter. Les comptes Zola compromis ont été rapidement mis en vente sur le dark web. D’autres utilisateurs ont signalé des frais frauduleux sur des cartes de crédit associées à des comptes Zola.
Emily Forrest, directrice des communications de Zola, a mentionné ce qui suit dans un rapport concernant le compromis :
« Ces pirates ont probablement eu accès à ces informations d’identification exposées sur des sites tiers et les ont utilisées pour essayer de se connecter à Zola et prendre de mauvaises mesures. Notre équipe est immédiatement intervenue pour s’assurer que tous les couples et invités de Zola sont protégés… Nous comprenons la perturbation et le stress que cela a causé à certains de nos couples, mais nous sommes heureux d’annoncer que toutes les tentatives frauduleuses de transfert de fonds en espèces ont été bloquées. Tous les fonds en espèces ont été rétablis.
Dans le cadre de leur remédiation de l’attaque, Zola, en plus d’obliger les utilisateurs à réinitialiser les mots de passe de leur compte, a temporairement désactivé les applications mobiles connectées à la plate-forme. Ils ont depuis réactivé les plateformes d’applications mobiles. Cependant, même si Zola permet de connecter les informations de compte bancaire aux comptes Zola, ils ne nécessitent toujours pas d’authentification multifacteur dans le cadre de leurs dispositions de sécurité.
Qu’est-ce qui n’a pas fonctionné du point de vue de la sécurité avec l’attaque de Zola ?
Le recul est souvent de 20/20 lorsqu’il s’agit d’analyse post-mortem des failles de cybersécurité. Cependant, de nombreuses choses auraient pu être faites et peuvent être faites à l’avenir pour empêcher que des attaques comme le piratage de Zola ne soient menées.
De plus en plus d’entreprises exigent désormais que l’authentification multifacteur soit activée sur votre compte pour profiter de leurs services. On peut dire que tout service visant à collecter de l’argent sur un compte ou qui permet de connecter un compte bancaire ou une carte de crédit devrait nécessiter plusieurs facteurs. Avec le multifacteur activé, même si un attaquant dispose d’informations d’identification légitimes, telles qu’un nom d’utilisateur et un mot de passe, avec un facteur supplémentaire requis, il n’a toujours pas tout ce dont il a besoin pour s’authentifier et se connecter.
L’attaque contre Zola aide à souligner que les entreprises doivent également surveiller les comptes pour les activités suspectes. Par exemple, la surveillance des géolocalisations suspectes, le nombre de connexions à partir d’une source unique ou d’autres mesures peuvent aider à identifier et à corriger les activités néfastes.
Qu’est-ce que le credential stuffing ?
Le credential stuffing est une technique de piratage qui existe depuis longtemps et qui joue sur la faiblesse de réutilisation du mot de passe parmi les utilisateurs finaux. Il est défini comme la injection automatisée du nom d’utilisateur et du mot de passe volés paires. Qu’est-ce que ça veut dire? Il est dans la nature humaine de réutiliser les mots de passe sur plusieurs sites, services et applications. Cette technique facilite la mémorisation des connexions sur différentes plates-formes. Les pirates utilisent cette logique pour déjouer l’authentification par mot de passe utilisée sur la plupart des plates-formes. S’ils compromettent ou trouvent des informations d’identification divulguées associées à une combinaison utilisateur/e-mail/mot de passe sur une plate-forme, ils peuvent essayer les mêmes informations d’identification sur plusieurs plates-formes.
Cela peut être efficace même s’ils ne savent pas que l’utilisateur/l’adresse e-mail est associée à un compte. Par exemple, supposons qu’ils puissent accéder à plusieurs ensembles d’informations d’identification compromises (noms d’utilisateur, mots de passe). Dans ce cas, ils trouveront probablement des comptes d’utilisateurs valides sur plusieurs services où les utilisateurs ont utilisé la même combinaison nom d’utilisateur/mot de passe.
Notez ce qui suit des statistiques alarmantes liés à la réutilisation des informations d’identification :
- Environ 50 % des professionnels de l’informatique ont admis avoir réutilisé des mots de passe sur des comptes professionnels
- Il y avait un pourcentage étonnamment plus élevé d’informaticiens réutilisant les informations d’identification que d’utilisateurs non privilégiés (39 % en comparaison)
- Dans une étude qui a duré trois mois, Microsoft a découvert que quelque 44 millions de ses utilisateurs avaient utilisé le même mot de passe sur plus d’un compte.
- Dans une étude Google de 2019, ils ont constaté que 13 % des personnes réutilisaient le même mot de passe sur tous les comptes, 52 % utilisent le même pour plusieurs comptes en ligne et seulement 35 % utilisent un mot de passe différent pour chaque compte.
Un autre scénario alarmant que les entreprises doivent prendre en compte est que les utilisateurs finaux peuvent utiliser les mêmes mots de passe pour leurs environnements Active Directory d’entreprise que pour leurs comptes personnels. Bien que les entreprises ne puissent pas contrôler et appliquer des politiques de mot de passe pour les comptes personnels des utilisateurs finaux, la surveillance des mots de passe piratés et de la réutilisation des mots de passe dans leur infrastructure Active Directory d’entreprise est cruciale.
Protection d’Active Directory contre les mots de passe piratés et la réutilisation des mots de passe
Les services de domaine Active Directory (AD DS) sur site ne disposent pas d’une protection intégrée contre les mots de passe violés ou la réutilisation des mots de passe. Par exemple, supposons que chaque compte dans Active Directory possède le même mot de passe et que le mot de passe respecte la stratégie de mot de passe configurée. Dans ce cas, il n’y a aucune notification ou moyen d’empêcher cela avec la fonctionnalité native de stratégie de mot de passe Active Directory.
De plus, de nombreuses organisations fédèrent les services de domaine Active Directory sur site avec des solutions cloud d’authentification unique (SSO). Malheureusement, cela signifie que tous les mots de passe faibles, les mots de passe piratés et les mots de passe réutilisés dans votre organisation sont désormais fédérés pour être utilisés avec les services cloud, ce qui affaiblit davantage votre posture de sécurité.
Les stratégies de mot de passe Active Directory intégrées ne peuvent pas vous protéger contre :
- Mots de passe incrémentiels
- Mots de passe Leetspeak
- Mots de passe faciles à deviner mais « complexes »
- Mots de passe piratés
- Mots de passe associés à votre entreprise ou industrie
Renforcez la sécurité des mots de passe Active Directory avec Specops
Avec les lacunes des fonctionnalités intégrées fournies par les services de domaine Active Directory (AD DS), les organisations doivent renforcer la sécurité de leur mot de passe Active Directory à l’aide d’une solution tierce. Specops Password Policy est une solution puissante qui fournit aux entreprises les outils et les capacités nécessaires pour accroître la sécurité de leurs mots de passe et leur position globale en matière de cybersécurité.
La politique de mot de passe Specops s’intègre de manière transparente aux politiques de mot de passe Active Directory existantes et ajoute des fonctionnalités de sécurité de mot de passe manquantes pour aider à protéger votre organisation contre de nombreuses attaques, y compris le credential stuffing. Notez les fonctionnalités clés suivantes fournies par Specops Password Policy :
- Vous pouvez créer des listes de dictionnaires personnalisés pour bloquer les mots communs à votre organisation
- Empêchez l’utilisation de plus de 2 milliards de mots de passe compromis avec Specops Breached Password Protection
- Rechercher et supprimer les mots de passe compromis dans votre environnement
- Les utilisateurs reçoivent des messages informatifs de Specops en cas d’échec des changements de mot de passe, ce qui réduit les appels au service d’assistance
- Commentaires dynamiques en temps réel lors du changement de mot de passe avec le client Specops Authentication
- Expiration du mot de passe basée sur la longueur avec notifications par e-mail personnalisables
- Bloquer les noms d’utilisateur, les noms d’affichage, les mots spécifiques, les caractères consécutifs, les mots de passe incrémentiels, la réutilisation d’une partie d’un mot de passe
- Ciblage granulaire basé sur les GPO pour tout niveau de GPO, ordinateur, utilisateur ou population de groupe
- Prise en charge des mots de passe
- Plus de 25 langues prises en charge
- Utilisez des expressions régulières pour des politiques de mot de passe plus granulaires
Les organisations peuvent commencer à protéger les mots de passe de leurs utilisateurs avec Breached Password Protection en quelques clics seulement dans les paramètres de configuration de la politique de mot de passe Specops. Avec le vérifier en permanence les mots de passe divulgués et forcer les utilisateurs à les changer paramètre, vous pouvez tirer parti de la politique de mot de passe améliorée de Specop pot de miel intelligence pour les mots de passe piratés les plus tardifs disponibles.
 |
| Configuration de la politique de mot de passe Specops Protection par mot de passe violé |
Specops fournit les outils nécessaires pour lutter facilement contre les risques liés aux mots de passe, tels que les mots de passe réutilisés.
 |
| Empêcher les mots de passe incrémentiels et exiger un nombre minimum de modifications d’un mot de passe existant |
Emballer
Le hack Zola aide à souligner l’importance d’empêcher les utilisateurs de réutiliser les mots de passe dans les environnements critiques pour l’entreprise. Cela conduit au credential stuffing, à la devinette de mots de passe, à la violation de mots de passe et à de nombreux autres types d’attaques de mots de passe. Specops Password Policy est un outil puissant permettant aux organisations d’empêcher efficacement la réutilisation des mots de passe, les mots de passe incrémentiels et un nombre minimum de modifications des mots de passe existants lors du prochain changement de mot de passe.
Apprenez-en plus sur la politique de mot de passe Specops et voyez comment elle peut aider votre entreprise à renforcer votre stratégie de sécurité des mots de passe grâce à un essai gratuit.