Crédits : ISSOUF SANOGO / AFP

24,6 milliards d’identifiants et mots de passe volés circulent sur le Web

Près d’un mot de passe sur 200 est toujours “123456”.

Digital Shadows, spécialisé sur les menaces et la protection contre les risques numériques, a publié une nouvelle étude. Cette dernière quantifie l’ampleur de la compromission des mots de passe dans le monde.

Selon les chiffres, plus de 24 milliards de combinaisons de noms d’utilisateur et de mots de passe sont en circulation sur les marchés cybercriminels, dont le dark web. En guise d’illustration, c’est l’équivalent de près de quatre pour chaque personne sur la planète. “Ce chiffre représente une augmentation de 65% par rapport à un précédent rapport en 2020”, compare Digital Shadows.

Un marché qui a le vent en poupe

“Nous allons évoluer vers un avenir sans mot de passe, mais pour l’instant, le problème des identifiants violés est hors de contrôle”, s’inquiète Chris Morgan, analyste principal du renseignement sur les cybermenaces chez Digital Shadow. Les forums cybercriminels font partie des lieux les plus courants où les pirates publient et vendent des informations d’identification volées. D’ailleurs, tout comme la gamme et la sophistication des logiciels malveillants, au cours des deux dernières années, cet écosystème pour les criminels n’a cessé de se développer.

À noter que, sur ces forums, certaines combinaisons apparaissent plusieurs fois, ce qui a pour effet de faire gonfler les chiffres du rapport. Mais, “même après avoir supprimé les doublons”, Digital Shadows a constaté “qu’il existe 6,7 milliards d’identifiants uniques, soit une augmentation d’environ 1,7 milliard ou 34% en deux ans”. Sur ces 6,7 milliards, beaucoup auraient pu être sauvés si les utilisateurs avaient opté pour des mots de passe plus forts et n’avaient pas partagé leurs informations d’identification entre différents comptes.

Des mots de passe trop faibles

Ce qui ressort de ce rapport est le fait que les consommateurs continuent d’utiliser des mots de passe “faciles à deviner”. En effet, “les criminels disposent d’une liste infinie d’informations d’identification qu’ils peuvent essayer, mais ce problème est aggravé par la faiblesse des mots de passe”, explique Chris Morgan. “Ce qui signifie que de nombreux comptes peuvent être devinés en quelques secondes à l’aide d’outils automatisés”, ajoute-t-il.

D’après Digital Shadows, les 50 mots de passe les plus courants utilisent simplement le mot “mot de passe” ou une combinaison de chiffres évidente. Ainsi, environ 0,46 %, soit près d’un sur 200, est tout simplement “123456”. Les combinaisons de clavier telles que “qwerty” ou “1q2w3e”, couramment utilisées, sont aussi à bannir. En clair, “sur les 50 mots de passe les plus utilisés, 49 peuvent être “craqués” en moins d’une seconde à l’aide d’outils faciles à utiliser, disponibles sur des forums criminels et souvent gratuits ou à un coût minime”, alerte Digital Shadows.

Adopter les caractères spéciaux

L’ajout d’un “caractère spécial” à un mot de passe de base de 10 caractères ajoute environ 90 minutes au temps que prendrait une attaque. Par exemple, si l’utilisateur ajoute deux caractères spéciaux, le temps de craquage hors ligne est d’environ 2 jours et 4 heures, illustre le rapport. Tout en sachant que les cybercriminels s’attaquent davantage à des comptes plus simples à pirater. Autrement dit, composés de suites évidentes ou uniquement de chiffres et de lettres.

Par “caractère spécial”, il faut comprendre “tout ce qui n’est pas une lettre ou un chiffre”. Donc, “@”, “!”, “#” ou encore “-“.

Les conseils du rapport

Face à ces chiffres, Digital Shadows donne trois conseils. Tout d’abord, utiliser un gestionnaire de mots de passe. Il s’agit d’une application qui permet de stocker les mots de passe. Ainsi, le propriétaire n’a pas besoin de s’en souvenir et ils peuvent être plus complexes, et donc, mieux protéger.

Les applications d’authentification sont aussi une solution. Elles génèrent un nouveau code aléatoire à six chiffres toutes les 30 secondes. L’utilisateur doit le saisir sur le site web sur lequel il tente de s’authentifier. Ici, pas besoin de mot de passe. L’authentification multifactorielle (AMF) constitue aussi une barrière supplémentaire. Elle permet de confirmer l’identité du propriétaire des données ou du compte “et peut remplacer les mots de passe en utilisant des codes PIN, la reconnaissance faciale, les empreintes digitales ou l’insertion d’une clé USB”, précise le rapport.

_
Suivez Geeko sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.

Recevez nos dernières infos directement sur votre WhatsApp en vous abonnant à notre chaine.