Identifiants volés, carburant du cybercrime

Sécurité : Le responsable du site Haveibeenpwned, qui permet aux utilisateurs de vérifier que leurs identifiants n’ont pas été compromis dans un piratage, annonce l’ajout d’un milliard de nouveaux mots de passe à leur base de données. Une matière première qui vaut de l’or pour les cybercriminels.

Le site Haveibeenpwned (est-ce que j’ai été piégé ?) est bien connu des amateurs de sécurité. Administré par Troy Hunt, ce site a pour objectif de rassembler dans une base de données l’ensemble des identifiants de connexions volés circulant sur le web, dès lors que ceux-ci sont mis en vente ou révélés publiquement par les cybercriminels.

Le site permet aux internautes de vérifier que leurs identifiants ne font pas partie de ces stocks de mots de passe volés. Il suffit pour cela d’entrer un identifiant (et jamais votre mot de passe), et le site se charge de vérifier si celui-ci est présent dans les bases de données collectées par le site.

 

HaveIbeenPwned a mis la main sur de nombreuses bases de données volées ayant ressurgies au fil des jours sur différents forums et autres places de marché illégales. Mais Troy Hunt a annoncé hier l’arrivée d’un milliard de nouveaux identifiants au sein de la base de données. Dans un long post de blog, il explique que les cybercriminels ont développé des outils utilisés pour des scénarios de « credential stuffing », une pratique qui consiste à tester des milliers de couples identifiants/mots de passe sur un site. Ces outils s’appuient sur des listes de « combos », vendues aux utilisateurs : pour vingt dollars, on peut ainsi s’offrir une liste de 50.000 identifiants à tester sur un site visé par Anti-Public.

Ce sont ces listes d’identifiants agrégés que Troy Hunt est parvenu à récupérer et s’emploie à ajouter à la base de données du site HaveIbeenpwned. Un milliard d’identifiants, mais comme le précise l’administrateur, une large partie d’entre eux avaient déjà été incorporés à la base via les précédents ajouts. « 75,78% des adresses étaient déjà présentes sur HIBP. Cela représente beaucoup, mais chaque fois que je charge les données d’une nouvelle brèche dans la base de données, environ 60% des adresses sont déjà présentes dans le système » explique Troy Hunt, qui confie avoir hésité à ajouter à sa base de données des informations dont il ne connaît pas la provenance exacte.

En effet, ces couples identifiants/mot de passe ne proviennent pas d’un seul service, mais du cumul de nombreuses bases de données ayant circulé sur le web et au sein des réseaux cybercriminels. Impossible de le relier à une attaque spécifique, mais la taille de l’archive reste impressionnante.

Un lourd passif

Et pourtant, rien de bien surprenant quand on se penche sur les brèches de sécurité nombreuses de 2016. LinkedIn, Myspace, Tumblr, et évidemment Yahoo : 2016 a été une année chargée en terme de cybercrime et chaque fois, des centaines de millions se retrouvaient dans la nature. Et malheureusement, les mauvaises habitudes rendent ces données d’autant plus précieuses. Comme l’explique à ZDNet.fr Aeris, administrateur système chez Cozy Cloud et expert en sécurité « Ça a surtout beaucoup de valeur, car les gens ont une fâcheuse tendance à utiliser le même mot de passe partout. Une compromission d’un mot de passe LinkedIn est la quasi-certitude d’obtenir des accès à des comptes Paypal ou à des boîtes mail. »

On pourra objecter que les données volées sont fréquemment chiffrées par les entreprises et que les données brutes ne donnent donc pas exploitables directement par les cybercriminels. C’est d’ailleurs la ligne de défense de beaucoup d’entreprises victimes d’un vol de données de ce type : « Ne vous inquiétez pas, les données sont chiffrées et donc inaccessible aux attaquants. Mais changez votre mot de passe quand même. » Oui, la communication de crise ne s’offusque pas forcément d’injonctions contradictoires : si les données sont chiffrées, après tout pourquoi changer ? Mais difficile de les blâmer :dans ce genre de situation, mieux vaut prévenir que guérir.

Si le chiffrement des mots de passe est une bonne pratique, elle ne suffit pas à elle seule à assurer la sécurité des informations. Selon les outils utilisés pour générer ces condensats (le nom que l’on donne aux données une fois qu’elles sont passées par une fonction de hachage. Hash est aussi un anglicisme fréquemment utilisé) la protection est en effet plus ou moins forte : MD5 et SHA1 présentent ainsi des faiblesses mathématiques qui permettent de décrypter les condensats générés par ceux-ci. Outre cet aspect, l’implémentation faite par l’entreprise joue également dans l’équation : présence ou non de sel, utilisation des bons algorithmes…

D’autant que si un algorithme est considéré comme solide aujourd’hui, difficile de dire ce qu’il en sera dans 5 ou 10 ans. « La robustesse d’une base de données volée, c’est compliqué à déterminer. J’aurais tendance à dire qu’une base volée est une base décryptée, au moins sur le moyen ou le long terme » résume Aeris.

 

Sur le screenshot posté par Troy Hunt, on retrouve ainsi les prix pratiqués pour les listings d’identifiants

Et c’est ce qui nous ramène aux bases de données massives récupérées par Troy Hunt sur son service. Les multiples piratages et vol de données qui s’accumulent peu à peu posent un problème bien plus inquiétant sur le long terme, puisqu’ils viennent nourrir un « pool » de données volées réutilisées par les cybercriminels. « C’est un peu le principe actuel : chaque base de données volée alimente une grosse base de données mondiale qui sera testée en intégralité sur les fuites suivantes » résume Aeris. Cette « base de données mondiale » évoquée par Aeris est celle que l’on retrouve dans les services tels du type Anti-public et qui proposent ces listes de « combos » issus de différents piratages.

Si vous ne chiffrez pas pour vous, par pitié faites-le pour les autres

Et la sécurité défaillante d’un service devient en prime un risque pour ceux qui se croyaient protégés par un chiffrement fort : « Un seul service A pourri (pas salé, en clair, etc.) qui fuite, c’est potentiellement un autre service B, fuité précédemment, mais qui lui était correctement protégé, qui va sauter. Parce qu’un mot de passe, qui résistait aux attaques sur B, va être trouvé sur le service A, et donc sera immédiatement testé et trouvé sur B. » Les vols d’identifiants représentent donc évidemment un risque pour la sécurité de l’entreprise et de ses clients, mais par effet de rebond, ils amoindrissent également la sécurité du reste de l’écosystème et d’autres entreprises.

Au vu de ces différents phénomènes conjugués, il vaut mieux être réaliste et partir du principe que les mots de passe que l’on utilise sur différents forums seront un jour ou l’autre cassés. C’est d’ailleurs ce qui est arrivé à Troy Hunt lui-même : il explique ainsi avoir eu la joie de retrouver une adresse et un mot de passe au sein de l’archive qu’il ajoutait à sa base de données. Pour bénéficier d’une protection supplémentaire, la meilleure initiative reste d’utiliser un générateur de mots de passe, qui sera capable de générer des mots de passe longs et complexes qui seront bien plus complexes à décrypter pour les cybercriminels.

Identifiants volés, carburant du cybercrime

Source : L’article << Identifiants volés, carburant du cybercrime >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

rester-informer
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

Par | 2017-09-18T18:29:33+00:00 mai 5th, 2017|Actualité|0 commentaire

Laisser un commentaire