{"id":307538,"date":"2022-08-11T08:57:38","date_gmt":"2022-08-11T10:57:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/ce-que-le-zola-hack-peut-nous-apprendre-sur-la-securite-des-mots-de-passe\/"},"modified":"2022-08-11T08:57:40","modified_gmt":"2022-08-11T10:57:40","slug":"ce-que-le-zola-hack-peut-nous-apprendre-sur-la-securite-des-mots-de-passe","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/ce-que-le-zola-hack-peut-nous-apprendre-sur-la-securite-des-mots-de-passe\/","title":{"rendered":"Ce que le Zola Hack peut nous apprendre sur la s\u00e9curit\u00e9 des mots de passe"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>La s\u00e9curit\u00e9 du mot de passe est seulement aussi forte que le mot de passe lui-m\u00eame.  Malheureusement, on nous rappelle souvent le danger des mots de passe faibles, r\u00e9utilis\u00e9s et compromis avec des failles de cybers\u00e9curit\u00e9 majeures qui commencent par des informations d&#8217;identification vol\u00e9es.  Par exemple, en mai 2022, le site de planification de mariage populaire, Zola, a \u00e9t\u00e9 victime d&#8217;une importante faille de cybers\u00e9curit\u00e9 o\u00f9 des pirates ont utilis\u00e9 une attaque connue sous le nom de <em>bourrage d&#8217;informations d&#8217;identification<\/em>.  Il en est r\u00e9sult\u00e9 une activit\u00e9 frauduleuse li\u00e9e aux comptes clients.  Examinons la violation de Zola et pourquoi elle met l&#8217;accent sur la n\u00e9cessit\u00e9 pour les organisations de renforcer la s\u00e9curit\u00e9 de leur mot de passe et de se prot\u00e9ger contre divers types d&#8217;attaques par mot de passe.<\/p>\n<h2>Que s&#8217;est-il pass\u00e9 avec l&#8217;attaque de Zola ?<\/h2>\n<p>Au lieu de s&#8217;attaquer \u00e0 l&#8217;infrastructure essentielle de Zola, les pirates se sont attaqu\u00e9s aux comptes clients avec l&#8217;attaque de mai.  Les attaquants ont utilis\u00e9 une technique s\u00e9culaire appel\u00e9e <em>bourrage d&#8217;informations d&#8217;identification<\/em> compromettre plusieurs comptes clients Zola.  Ayant acc\u00e8s aux comptes compromis, ils ont tent\u00e9 d&#8217;acheter des ch\u00e8ques-cadeaux qu&#8217;ils pourraient ensuite utiliser. <\/p>\n<p>Un porte-parole de Zola a mentionn\u00e9 que <a rel=\"nofollow noopener\" href=\"https:\/\/www.nydailynews.com\/news\/national\/ny-zola-customer-accounts-were-hacked-20220523-mwrj6smnonh5neebxd2rwiijwa-story.html\" target=\"_blank\">environ 3 000 comptes<\/a>, soit environ 0,1\u00a0% des comptes Zola, ont \u00e9t\u00e9 pirat\u00e9s.  Les utilisateurs ont vu des centaines de dollars de cartes-cadeaux ou de cadeaux mon\u00e9taires pr\u00e9lev\u00e9s sur leurs comptes.  Les pirates ont m\u00eame modifi\u00e9 l&#8217;e-mail associ\u00e9 aux comptes Zola des utilisateurs dans de nombreux cas, les emp\u00eachant de se connecter. Les comptes Zola compromis ont \u00e9t\u00e9 rapidement mis en vente sur le dark web.  D&#8217;autres utilisateurs ont signal\u00e9 des frais frauduleux sur des cartes de cr\u00e9dit associ\u00e9es \u00e0 des comptes Zola.<\/p>\n<p>Emily Forrest, directrice des communications de Zola, a mentionn\u00e9 ce qui suit <a rel=\"nofollow noopener\" href=\"https:\/\/therecord.media\/zola-confirms-cyberattack-that-drained-hundreds-from-wedding-registry-accounts\/\" target=\"_blank\">dans un rapport<\/a> concernant le compromis :<\/p>\n<p><em>&#8220;Ces pirates ont probablement eu acc\u00e8s \u00e0 ces informations d&#8217;identification expos\u00e9es sur des sites tiers et les ont utilis\u00e9es pour essayer de se connecter \u00e0 Zola et prendre de mauvaises mesures. Notre \u00e9quipe est imm\u00e9diatement intervenue pour s&#8217;assurer que tous les couples et invit\u00e9s de Zola sont prot\u00e9g\u00e9s\u2026 Nous comprenons la perturbation et le stress que cela a caus\u00e9 \u00e0 certains de nos couples, mais nous sommes heureux d&#8217;annoncer que toutes les tentatives frauduleuses de transfert de fonds en esp\u00e8ces ont \u00e9t\u00e9 bloqu\u00e9es. Tous les fonds en esp\u00e8ces ont \u00e9t\u00e9 r\u00e9tablis. <\/em><\/p>\n<p>Dans le cadre de leur rem\u00e9diation de l&#8217;attaque, Zola, en plus d&#8217;obliger les utilisateurs \u00e0 r\u00e9initialiser les mots de passe de leur compte, a temporairement d\u00e9sactiv\u00e9 les applications mobiles connect\u00e9es \u00e0 la plate-forme.  Ils ont depuis r\u00e9activ\u00e9 les plateformes d&#8217;applications mobiles.  Cependant, m\u00eame si Zola permet de connecter les informations de compte bancaire aux comptes Zola, <a rel=\"nofollow noopener\" href=\"https:\/\/www.techradar.com\/news\/zola-wedding-registry-accounts-hacked-company-refuses-to-bring-in-2fa\" target=\"_blank\">ils ne n\u00e9cessitent toujours pas d&#8217;authentification multifacteur<\/a> dans le cadre de leurs dispositions de s\u00e9curit\u00e9.<\/p>\n<h2>Qu&#8217;est-ce qui n&#8217;a pas fonctionn\u00e9 du point de vue de la s\u00e9curit\u00e9 avec l&#8217;attaque de Zola\u00a0?<\/h2>\n<p>Le recul est souvent de 20\/20 lorsqu&#8217;il s&#8217;agit d&#8217;analyse post-mortem des failles de cybers\u00e9curit\u00e9.  Cependant, de nombreuses choses auraient pu \u00eatre faites et peuvent \u00eatre faites \u00e0 l&#8217;avenir pour emp\u00eacher que des attaques comme le piratage de Zola ne soient men\u00e9es. <\/p>\n<p>De plus en plus d&#8217;entreprises exigent d\u00e9sormais que l&#8217;authentification multifacteur soit activ\u00e9e sur votre compte pour profiter de leurs services.  On peut dire que tout service visant \u00e0 collecter de l&#8217;argent sur un compte ou qui permet de connecter un compte bancaire ou une carte de cr\u00e9dit devrait n\u00e9cessiter plusieurs facteurs.  Avec le multifacteur activ\u00e9, m\u00eame si un attaquant dispose d&#8217;informations d&#8217;identification l\u00e9gitimes, telles qu&#8217;un nom d&#8217;utilisateur et un mot de passe, avec un facteur suppl\u00e9mentaire requis, il n&#8217;a toujours pas tout ce dont il a besoin pour s&#8217;authentifier et se connecter. <\/p>\n<p>L&#8217;attaque contre Zola aide \u00e0 souligner que les entreprises doivent \u00e9galement surveiller les comptes pour les activit\u00e9s suspectes.  Par exemple, la surveillance des g\u00e9olocalisations suspectes, le nombre de connexions \u00e0 partir d&#8217;une source unique ou d&#8217;autres mesures peuvent aider \u00e0 identifier et \u00e0 corriger les activit\u00e9s n\u00e9fastes.<\/p>\n<h2>Qu&#8217;est-ce que le credential stuffing ?<\/h2>\n<p>Le credential stuffing est une technique de piratage qui existe depuis longtemps et qui joue sur la faiblesse de <em>r\u00e9utilisation du mot de passe<\/em> parmi les utilisateurs finaux.  Il est <a rel=\"nofollow noopener\" href=\"https:\/\/owasp.org\/www-community\/attacks\/Credential_stuffing\" target=\"_blank\">d\u00e9fini comme<\/a> la <em>injection automatis\u00e9e du nom d&#8217;utilisateur et du mot de passe vol\u00e9s <\/em>paires.  Qu&#8217;est-ce que \u00e7a veut dire?  Il est dans la nature humaine de r\u00e9utiliser les mots de passe sur plusieurs sites, services et applications.  Cette technique facilite la m\u00e9morisation des connexions sur diff\u00e9rentes plates-formes.  Les pirates utilisent cette logique pour d\u00e9jouer l&#8217;authentification par mot de passe utilis\u00e9e sur la plupart des plates-formes.  S&#8217;ils compromettent ou trouvent des informations d&#8217;identification divulgu\u00e9es associ\u00e9es \u00e0 une combinaison utilisateur\/e-mail\/mot de passe sur une plate-forme, ils peuvent essayer les m\u00eames informations d&#8217;identification sur plusieurs plates-formes. <\/p>\n<p>Cela peut \u00eatre efficace m\u00eame s&#8217;ils ne savent pas que l&#8217;utilisateur\/l&#8217;adresse e-mail est associ\u00e9e \u00e0 un compte.  Par exemple, supposons qu&#8217;ils puissent acc\u00e9der \u00e0 plusieurs ensembles d&#8217;informations d&#8217;identification compromises (noms d&#8217;utilisateur, mots de passe).  Dans ce cas, ils trouveront probablement des comptes d&#8217;utilisateurs valides sur plusieurs services o\u00f9 les utilisateurs ont utilis\u00e9 la m\u00eame combinaison nom d&#8217;utilisateur\/mot de passe.<\/p>\n<p>Notez ce qui suit <a rel=\"nofollow noopener\" href=\"https:\/\/www.comparitech.com\/blog\/information-security\/password-statistics\/\" target=\"_blank\">des statistiques alarmantes<\/a> li\u00e9s \u00e0 la r\u00e9utilisation des informations d&#8217;identification\u00a0:<\/p>\n<ul>\n<li>Environ 50\u00a0% des professionnels de l&#8217;informatique ont admis avoir r\u00e9utilis\u00e9 des mots de passe sur des comptes professionnels<\/li>\n<ul>\n<li>Il y avait un pourcentage \u00e9tonnamment plus \u00e9lev\u00e9 d&#8217;informaticiens r\u00e9utilisant les informations d&#8217;identification que d&#8217;utilisateurs non privil\u00e9gi\u00e9s (39\u00a0% en comparaison)<\/li>\n<\/ul>\n<li>Dans une \u00e9tude qui a dur\u00e9 trois mois, Microsoft a d\u00e9couvert que quelque 44 millions de ses utilisateurs avaient utilis\u00e9 le m\u00eame mot de passe sur plus d&#8217;un compte.<\/li>\n<li>Dans une \u00e9tude Google de 2019, ils ont constat\u00e9 que 13 % des personnes r\u00e9utilisaient le m\u00eame mot de passe sur tous les comptes, 52 % utilisent le m\u00eame pour plusieurs comptes en ligne et seulement 35 % utilisent un mot de passe diff\u00e9rent pour chaque compte.<\/li>\n<\/ul>\n<p>Un autre sc\u00e9nario alarmant que les entreprises doivent prendre en compte est que les utilisateurs finaux peuvent utiliser les m\u00eames mots de passe pour leurs environnements Active Directory d&#8217;entreprise que pour leurs comptes personnels.  Bien que les entreprises ne puissent pas contr\u00f4ler et appliquer des politiques de mot de passe pour les comptes personnels des utilisateurs finaux, la surveillance des mots de passe pirat\u00e9s et de la r\u00e9utilisation des mots de passe dans leur infrastructure Active Directory d&#8217;entreprise est cruciale.<\/p>\n<h2>Protection d&#8217;Active Directory contre les mots de passe pirat\u00e9s et la r\u00e9utilisation des mots de passe<\/h2>\n<p>Les services de domaine Active Directory (AD DS) sur site ne disposent pas d&#8217;une protection int\u00e9gr\u00e9e contre les mots de passe viol\u00e9s ou la r\u00e9utilisation des mots de passe.  Par exemple, supposons que chaque compte dans Active Directory poss\u00e8de le m\u00eame mot de passe et que le mot de passe respecte la strat\u00e9gie de mot de passe configur\u00e9e.  Dans ce cas, il n&#8217;y a aucune notification ou moyen d&#8217;emp\u00eacher cela avec la fonctionnalit\u00e9 native de strat\u00e9gie de mot de passe Active Directory. <\/p>\n<p>De plus, de nombreuses organisations f\u00e9d\u00e8rent les services de domaine Active Directory sur site avec des solutions cloud d&#8217;authentification unique (SSO).  Malheureusement, cela signifie que tous les mots de passe faibles, les mots de passe pirat\u00e9s et les mots de passe r\u00e9utilis\u00e9s dans votre organisation sont d\u00e9sormais f\u00e9d\u00e9r\u00e9s pour \u00eatre utilis\u00e9s avec les services cloud, ce qui affaiblit davantage votre posture de s\u00e9curit\u00e9. <\/p>\n<p>Les strat\u00e9gies de mot de passe Active Directory int\u00e9gr\u00e9es ne peuvent pas vous prot\u00e9ger contre\u00a0:<\/p>\n<ul>\n<li>Mots de passe incr\u00e9mentiels<\/li>\n<li>Mots de passe Leetspeak<\/li>\n<li>Mots de passe faciles \u00e0 deviner mais &#8220;complexes&#8221;<\/li>\n<li>Mots de passe pirat\u00e9s<\/li>\n<li>Mots de passe associ\u00e9s \u00e0 votre entreprise ou industrie<\/li>\n<\/ul>\n<h2>Renforcez la s\u00e9curit\u00e9 des mots de passe Active Directory avec Specops<\/h2>\n<p>Avec les lacunes des fonctionnalit\u00e9s int\u00e9gr\u00e9es fournies par les services de domaine Active Directory (AD DS), les organisations doivent renforcer la s\u00e9curit\u00e9 de leur mot de passe Active Directory \u00e0 l&#8217;aide d&#8217;une solution tierce.  Specops Password Policy est une solution puissante qui fournit aux entreprises les outils et les capacit\u00e9s n\u00e9cessaires pour accro\u00eetre la s\u00e9curit\u00e9 de leurs mots de passe et leur position globale en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n<p>La politique de mot de passe Specops s&#8217;int\u00e8gre de mani\u00e8re transparente aux politiques de mot de passe Active Directory existantes et ajoute des fonctionnalit\u00e9s de s\u00e9curit\u00e9 de mot de passe manquantes pour aider \u00e0 prot\u00e9ger votre organisation contre de nombreuses attaques, y compris le credential stuffing.  Notez les fonctionnalit\u00e9s cl\u00e9s suivantes fournies par Specops Password Policy\u00a0:<\/p>\n<ul>\n<li>Vous pouvez cr\u00e9er des listes de dictionnaires personnalis\u00e9s pour bloquer les mots communs \u00e0 votre organisation<\/li>\n<li>Emp\u00eachez l&#8217;utilisation de plus de 2 milliards de mots de passe compromis avec Specops Breached Password Protection<\/li>\n<li>Rechercher et supprimer les mots de passe compromis dans votre environnement<\/li>\n<li>Les utilisateurs re\u00e7oivent des messages informatifs de Specops en cas d&#8217;\u00e9chec des changements de mot de passe, ce qui r\u00e9duit les appels au service d&#8217;assistance<\/li>\n<li>Commentaires dynamiques en temps r\u00e9el lors du changement de mot de passe avec le client Specops Authentication<\/li>\n<li>Expiration du mot de passe bas\u00e9e sur la longueur avec notifications par e-mail personnalisables<\/li>\n<li>Bloquer les noms d&#8217;utilisateur, les noms d&#8217;affichage, les mots sp\u00e9cifiques, les caract\u00e8res cons\u00e9cutifs, les mots de passe incr\u00e9mentiels, la r\u00e9utilisation d&#8217;une partie d&#8217;un mot de passe<\/li>\n<li>Ciblage granulaire bas\u00e9 sur les GPO pour tout niveau de GPO, ordinateur, utilisateur ou population de groupe<\/li>\n<li>Prise en charge des mots de passe<\/li>\n<li>Plus de 25 langues prises en charge <\/li>\n<li>Utilisez des expressions r\u00e9guli\u00e8res pour des politiques de mot de passe plus granulaires<\/li>\n<\/ul>\n<p>Les organisations peuvent commencer \u00e0 prot\u00e9ger les mots de passe de leurs utilisateurs avec Breached Password Protection en quelques clics seulement dans les param\u00e8tres de configuration de la politique de mot de passe Specops.  Avec le <em>v\u00e9rifier en permanence les mots de passe divulgu\u00e9s et forcer les utilisateurs \u00e0 les changer <\/em>param\u00e8tre, vous pouvez tirer parti de la politique de mot de passe am\u00e9lior\u00e9e de Specop <em>pot de miel<\/em> intelligence pour les mots de passe pirat\u00e9s les plus tardifs disponibles.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"Politique de mot de passe Specops\" border=\"0\" data-original-height=\"523\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1660215458_124_Ce-que-le-Zola-Hack-peut-nous-apprendre-sur-la.jpg\" title=\"Politique de mot de passe Specops\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Configuration de la politique de mot de passe Specops Protection par mot de passe viol\u00e9<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Specops fournit les outils n\u00e9cessaires pour lutter facilement contre les risques li\u00e9s aux mots de passe, tels que les mots de passe r\u00e9utilis\u00e9s.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"Politique de mot de passe Specops\" border=\"0\" data-original-height=\"524\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1660215458_628_Ce-que-le-Zola-Hack-peut-nous-apprendre-sur-la.jpg\" title=\"Politique de mot de passe Specops\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Emp\u00eacher les mots de passe incr\u00e9mentiels et exiger un nombre minimum de modifications d&#8217;un mot de passe existant<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Emballer<\/h2>\n<p>Le hack Zola aide \u00e0 souligner l&#8217;importance d&#8217;emp\u00eacher les utilisateurs de r\u00e9utiliser les mots de passe dans les environnements critiques pour l&#8217;entreprise.  Cela conduit au credential stuffing, \u00e0 la devinette de mots de passe, \u00e0 la violation de mots de passe et \u00e0 de nombreux autres types d&#8217;attaques de mots de passe.  Specops Password Policy est un outil puissant permettant aux organisations d&#8217;emp\u00eacher efficacement la r\u00e9utilisation des mots de passe, les mots de passe incr\u00e9mentiels et un nombre minimum de modifications des mots de passe existants lors du prochain changement de mot de passe. <\/p>\n<p>Apprenez-en plus sur la politique de mot de passe Specops et voyez comment elle peut aider votre entreprise \u00e0 renforcer votre strat\u00e9gie de s\u00e9curit\u00e9 des mots de passe gr\u00e2ce \u00e0 un essai gratuit. <\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/what-zola-hack-can-teach-us-about.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La s\u00e9curit\u00e9 du mot de passe est seulement aussi forte que le mot de passe lui-m\u00eame. Malheureusement, on nous rappelle souvent le danger des mots de passe faibles, r\u00e9utilis\u00e9s et compromis avec des failles de cybers\u00e9curit\u00e9 majeures qui commencent par des informations d&#8217;identification vol\u00e9es. Par exemple, en mai 2022, le site de planification de mariage [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":307539,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4128,4168,4158,4165,4161,133,18630,4157,4159,4171,4170,4167,98340,5722,1266,4163,4162,769,181,1835,4172,4169,60,4166,4164,36374],"class_list":["post-307538","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apprendre","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-hack","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-cybersecurite","tag-mots","tag-nous","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-passe","tag-peut","tag-securite","tag-securite-informatique","tag-securite-internet","tag-sur","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-zola"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/307538","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=307538"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/307538\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/307539"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=307538"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=307538"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=307538"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}