Plus tôt ce mois-ci, le service de protection d'identité en ligne NortonLifeLock, propriété de la société technologique basée en Arizona Gen Digital, a envoyé un avertissement de sécurité à nombre de ses clients.
La lettre d'avertissement peut être consultée en ligne, par exemple sur le site Internet de la Bureau du procureur général du Vermont, où il apparaît sous le titre NortonLifeLock – Avis de violation de données numériques Gen aux consommateurs.
La lettre commence par une salutation effrayante qui dit :
Nous vous écrivons pour vous informer d'un incident impliquant vos informations personnelles.
Il continue ainsi :
[Nos systèmes de détection d'intrusion] nous ont alertés qu'une partie non autorisée a probablement connaissance de l'adresse e-mail et du mot de passe que vous avez utilisés avec votre compte Norton […] et votre gestionnaire de mots de passe Norton. Nous vous recommandons de changer vos mots de passe avec nous et ailleurs immédiatement.
Au fur et à mesure des premiers paragraphes, celui-ci est assez simple et contient des conseils simples, voire chronophages : quelqu'un d'autre que vous connaît probablement le mot de passe de votre compte Norton ; ils ont peut-être également pu jeter un coup d'œil dans votre gestionnaire de mots de passe ; veuillez changer tous les mots de passe dès que possible.
Que s'est-il passé ici?
Mais que s'est-il réellement passé ici, et s'agissait-il d'une brèche au sens conventionnel ?
Après tout, LastPass, un autre nom bien connu dans le jeu de gestion de mots de passe, a récemment annoncé non seulement qu'il avait subi une intrusion sur le réseau, mais aussi que les données des clients, y compris les mots de passe cryptés, a été volé.
Dans le cas de LastPass, heureusement, les mots de passe volés n'étaient pas d'une utilité directe et immédiate pour les attaquants, car le coffre-fort de mots de passe de chaque utilisateur était protégé par un mot de passe principal, qui n'était pas stocké par LastPass et n'était donc pas volé en même temps. .
Les escrocs doivent d'abord déchiffrer ces mots de passe principaux, une tâche qui peut prendre des semaines, des années, des décennies, voire plus, pour chaque utilisateur, selon la sagesse avec laquelle ces mots de passe ont été choisis.
Mauvais choix comme 123456
et les iloveyou
ont probablement été grondés dans les premières heures de fissuration, mais des combinaisons moins prévisibles telles que DaDafD$&RaDogS
or tVqFHAAPTjTUmOax
durera presque certainement beaucoup plus longtemps qu'il n'en faudrait pour changer les mots de passe de votre coffre-fort.
Mais si LifeLock vient de subir une brèche et que l'entreprise avertit que quelqu'un d'autre connaît déjà les mots de passe des comptes de certains utilisateurs, et peut-être aussi le mot de passe principal de tous leurs autres mots de passe…
… n'est-ce pas bien pire ?
Ces mots de passe ont-ils déjà été piratés d'une manière ou d'une autre ?
Une brèche différente
La bonne nouvelle est que ce cas semble être un tout autre type de "violation", probablement causée par la pratique risquée d'utiliser le même mot de passe pour plusieurs services en ligne différents afin de rendre la connexion à vos sites couramment utilisés un peu plus rapide. et plus facile.
Immédiatement après les premiers conseils de LifeLock d'aller changer vos mots de passe, la société suggère que :
[D]epuis le 2022/12/01 environ, un tiers non autorisé avait utilisé une liste de noms d'utilisateur et de mots de passe obtenus d'une autre source, telle que le dark web, pour tenter de se connecter aux comptes clients Norton. Nos propres systèmes n'ont pas été compromis. Cependant, nous croyons fermement qu'un tiers non autorisé connaît et a utilisé votre nom d'utilisateur et votre mot de passe pour votre compte.
Le problème avec l'utilisation du même mot de passe sur plusieurs comptes différents est évident - si l'un de vos comptes est compromis, alors tous vos comptes sont également compromis, car ce mot de passe volé agit comme une clé squelette pour les autres services impliqués .
Le credential stuffing expliqué
En fait, le processus consistant à tester si un mot de passe volé fonctionne sur plusieurs comptes est si populaire auprès des cyberescrocs (et est si facilement automatisé) qu'il porte même un nom spécial : bourrage d'informations d'identification.
Si un criminel en ligne devine, achète sur le dark web, vole ou hameçonne un mot de passe pour n'importe quel compte que vous utilisez, même quelque chose d'aussi bas niveau que votre site d'information local ou votre club de sport, il essaiera presque immédiatement le même mot de passe sur d'autres comptes probables à votre nom.
En termes simples, les attaquants prennent votre nom d'utilisateur, le combinent avec le mot de passe qu'ils connaissent déjà, et étoffe ceux Lettres de créance dans les pages de connexion d'autant de services populaires qu'ils peuvent imaginer.
De nos jours, de nombreux services aiment utiliser votre adresse e-mail comme nom d'utilisateur, ce qui rend ce processus encore plus prévisible pour les méchants.
Soit dit en passant, l'utilisation d'un mot de passe unique et difficile à deviner et l'ajout de modifications pour différents comptes n'aident pas beaucoup non plus.
C'est là que vous essayez de créer une fausse "complexité" en commençant par un composant commun qui is compliqué, comme Xo3LCZ6DD4+aY
, puis en ajoutant des modificateurs simples tels que -fb
pour Facebook, -tw
pour Twitter et -tt
pour Tik Tok.
Les mots de passe qui varient ne serait-ce que d'un seul caractère se retrouveront avec un hachage de mot de passe brouillé totalement différent, de sorte que les bases de données volées de hachages de mots de passe ne vous diront rien sur la similarité des différents choix de mots de passe…
… mais les attaques par credential stuffing sont utilisées lorsque les attaquants connaissent déjà le texte en clair de votre mot de passe, il est donc essentiel d'éviter de transformer chaque mot de passe en indice pratique pour tous les autres.
Les moyens courants par lesquels les mots de passe non chiffrés tombent entre des mains criminelles incluent :
- Attaques de phishing, où vous tapez par inadvertance le bon mot de passe sur le mauvais site, de sorte qu'il est envoyé directement aux criminels au lieu du service auquel vous aviez réellement l'intention de vous connecter.
- logiciel espion enregistreur de frappe, un logiciel malveillant qui enregistre délibérément les frappes brutes que vous tapez dans votre navigateur ou dans d'autres applications sur votre ordinateur portable ou votre téléphone.
- Mauvaise hygiène de journalisation côté serveur, où les criminels qui s'introduisent dans un service en ligne découvrent que l'entreprise a accidentellement enregistré des mots de passe en clair sur le disque au lieu de les garder temporairement en mémoire.
- Logiciel malveillant de grattage de RAM, qui s'exécute sur des serveurs compromis pour surveiller les modèles de données susceptibles d'apparaître temporairement en mémoire, tels que les détails de la carte de crédit, les numéros d'identification et les mots de passe.
Ne blâmez-vous pas les victimes ?
Même s'il semble que LifeLock lui-même n'a pas été piraté, dans le sens conventionnel des cybercriminels pénétrant dans les propres réseaux de l'entreprise et espionnant les données de l'intérieur, pour ainsi dire…
… nous avons vu des critiques sur la façon dont cet incident a été géré.
Pour être juste, les éditeurs de cybersécurité ne peuvent pas toujours empêcher leurs clients de "faire la mauvaise chose" (dans les produits Sophos, par exemple, nous faisons de notre mieux pour vous avertir à l'écran, avec éclat et audace, si vous choisissez des paramètres de configuration qui sont plus risqué que nous ne le recommandons, mais nous ne pouvons pas vous forcer à accepter nos conseils).
Notamment, un service en ligne ne peut pas facilement vous empêcher de définir exactement le même mot de passe sur d'autres sites, notamment parce qu'il devrait être de connivence avec ces autres sites pour le faire, ou pour effectuer ses propres tests de bourrage d'informations d'identification, violant ainsi le caractère sacré de votre mot de passe.
Néanmoins, certains critiques ont suggéré que LifeLock aurait pu repérer ces attaques massives de bourrage de mots de passe plus rapidement qu'il ne l'a fait, peut-être en détectant le schéma inhabituel des tentatives de connexion, y compris vraisemblablement beaucoup qui ont échoué parce qu'au moins certains utilisateurs compromis ne réutilisaient pas mots de passe, ou parce que la base de données des mots de passe volés était imprécise ou obsolète.
Ces critiques notent que 12 jours se sont écoulés entre le début des fausses tentatives de connexion et la détection de l'anomalie par l'entreprise (2022-12-01 au 2022-12-12), et 10 jours supplémentaires entre la première constatation du problème et la découverte que le problème était presque certainement dû à des données piratées acquises à partir d'une autre source que les propres réseaux de l'entreprise.
D'autres se sont demandé pourquoi l'entreprise avait attendu le Nouvel An 2023 (2022/12/12 au 2023/01/09) pour envoyer sa notification de « violation » aux utilisateurs concernés, si elle était au courant de tentatives de bourrage de mot de passe en masse avant Noël 2022.
Nous n'allons pas essayer de deviner si l'entreprise aurait pu réagir plus rapidement, mais il convient de se rappeler - au cas où cela vous arriverait - que déterminer tous les faits saillants après avoir reçu des réclamations concernant "une violation" peut être un mammouth entreprise.
Ennuyeux, et peut-être ironiquement, découvrir que vous avez été directement violé par de soi-disant adversaires actifs est souvent d'une facilité déprimante.
Quiconque a vu des centaines d'ordinateurs afficher simultanément une note de chantage de rançongiciel directement dans votre visage exigeant des milliers ou des millions de dollars en cryptocoins en attestera malheureusement.
Mais comprendre ce que les cybercriminels n'a certainement pas fait à votre réseau, qui s'avère essentiellement négatif, est souvent un exercice chronophage, du moins si vous voulez le faire scientifiquement, et avec un niveau de précision suffisant pour vous convaincre, vos clients et les régulateurs.
Que faire?
En ce qui concerne le blâme de la victime, il est néanmoins essentiel de noter que, pour autant que nous le sachions, il n'y a rien que LifeLock, ou tout autre service où les mots de passe ont été réutilisés, ne puisse faire maintenant, à lui seul, pour résoudre la cause sous-jacente de ce problème.
En d'autres termes, si des escrocs accèdent à vos comptes sur des services correctement sécurisés P, Q et R simplement parce qu'ils ont découvert que vous avez utilisé le même mot de passe sur un site pas si sécurisé S, ces sites plus sécurisés ne peuvent pas vous empêcher de prendre le même type de risque à l'avenir.
Ainsi, nos conseils immédiats sont :
- Si vous avez l'habitude de réutiliser des mots de passe, ne le faites plus ! Cet incident n'est qu'un parmi tant d'autres dans l'histoire qui attirent l'attention sur les dangers encourus. N'oubliez pas que cet avertissement concernant l'utilisation d'un mot de passe différent pour chaque compte s'applique à tout le monde, pas seulement aux clients LifeLock.
- N'utilisez pas de mots de passe associés sur différents sites. Une racine de mot de passe complexe combinée à un suffixe facile à mémoriser et unique à chaque site vous donnera littéralement un mot de passe différent sur chaque site. Mais ce comportement laisse néanmoins un schéma évident que les escrocs sont susceptibles de comprendre, même à partir d'un seul échantillon de mot de passe compromis. Cette "astuce" vous donne juste un faux sentiment de sécurité.
- Si vous avez reçu une notification de LifeLock, suivez les conseils de la lettre. Il est possible que certains utilisateurs reçoivent des notifications en raison de connexions inhabituelles qui étaient néanmoins légitimes (par exemple pendant leurs vacances), mais lisez-les attentivement quand même.
- Envisagez d'activer 2FA pour tous les comptes que vous pouvez. LifeLock lui-même recommande 2FA (authentification à deux facteurs) pour les comptes Norton et pour tous les comptes où les connexions à deux facteurs sont prises en charge. Nous sommes d'accord, car les mots de passe volés en eux-mêmes sont beaucoup moins utiles aux attaquants si vous avez également 2FA sur leur chemin. Faites-le que vous soyez client LifeLock ou non.
Nous pouvons encore nous retrouver dans un monde numérique sans aucun mot de passe - de nombreux services en ligne tentent déjà d'aller dans cette direction, envisageant de passer exclusivement à d'autres moyens de vérifier votre identité en ligne, comme l'utilisation de jetons matériels spéciaux ou la prise de mesures biométriques au lieu.
Mais les mots de passe sont avec nous depuis plus d'un demi-siècle déjà, nous pensons donc qu'ils seront avec nous pendant de nombreuses années encore, pour certains ou plusieurs, sinon tous, de nos comptes en ligne.
Pendant que nous sommes toujours coincés avec des mots de passe, faisons un effort déterminé pour les utiliser d'une manière qui aide le moins possible les cybercriminels.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://nakedsecurity.sophos.com/2023/01/17/serious-security-unravelling-the-nortonlifelock-hacked-passwords-story/
- 1
- 10
- 2022
- 2023
- 2FA
- a
- Capable
- A Propos
- Absolute
- Accepter
- Compte
- hybrides
- précision
- a acquise
- à travers
- actes
- actually
- propos
- conseils
- Après
- Tous
- déjà
- toujours
- et les
- annoncé
- Une autre
- apparaître
- applications
- Archive
- autour
- Attaques
- tentative
- Tentatives
- précaution
- mandataire
- Authentification
- auteur
- auto
- Automatisation
- image de fond
- Mal
- car
- before
- CROYONS
- LES MEILLEURS
- jusqu'à XNUMX fois
- Biométrique
- Bit
- Chantage
- Blâmer
- frontière
- Bas et Leggings
- violation
- Pause
- Rupture
- navigateur
- Buys
- carte
- prudemment
- maisons
- Causes
- causé
- Canaux centraux
- siècle
- Assurément
- Change
- caractère
- vérification
- choix
- Selectionnez
- choisi
- Noël
- prétentions
- de
- Couleur
- комбинации
- combiner
- combiné
- Commun
- Société
- De l'entreprise
- complexe
- compliqué
- composant
- Compromise
- ordinateurs
- Conduire
- configuration
- contient
- continue
- conventionnel
- convaincre
- pourriez
- couverture
- fissure
- engendrent
- CRÉDENTIEL
- crédit
- carte de crédit
- Criminel
- Criminels
- critique
- Les critiques
- des clients
- données client
- Clients
- les cybercriminels
- Cybersécurité
- dangers
- Foncé
- Places de marché
- données
- violation de données
- Base de données
- bases de données
- jours
- décennies
- exigeant
- Selon
- détails
- Détection
- déterminé
- détermination
- DID
- différent
- numérique
- monde numérique
- direction
- directement
- découvrez
- découvert
- Commande
- Ne fait pas
- dollars
- Ne pas
- down
- chacun
- "Early Bird"
- plus facilement
- même
- effort
- non plus
- ailleurs
- crypté
- essentiellement
- Pourtant, la
- JAMAIS
- tout le monde
- exactement
- exemple
- uniquement au
- Exercises
- Échoué
- juste
- faux
- Automne
- few
- Figure
- trouver
- Prénom
- Fixer
- suivre
- suit
- Force
- Heureusement
- De
- plus
- avenir
- jeu
- Gen
- obtenez
- Donner
- donne
- Go
- aller
- Bien
- Half
- Mains
- pratique
- arrivé
- arrive
- Matériel
- hachage
- la taille
- vous aider
- ici
- Histoire
- appuyez en continu
- HEURES
- flotter
- Comment
- Cependant
- HTTPS
- Des centaines
- Identite
- Immédiat
- immédiatement
- in
- incident
- comprendre
- Y compris
- d'information
- plutôt ;
- impliqué
- Ironiquement
- aide
- IT
- lui-même
- juste un
- en gardant
- ACTIVITES
- Savoir
- spécialisées
- portatif
- LastPass
- lettre
- Niveau
- Probable
- Liste
- peu
- locales
- plus long
- recherchez-
- LOOKS
- a prendre une
- FAIT DU
- malware
- gestion
- manager
- de nombreuses
- Marge
- maître
- largeur maximale
- des mesures
- Mémoire
- pourrait
- des millions
- Modifications
- Mois
- PLUS
- Bougez
- plusieurs
- prénom
- Besoin
- négatif
- réseau et
- réseaux
- Néanmoins
- Nouveauté
- Nouvel An
- nouvelles
- Ordinaire
- déclaration
- Notifications
- numéros
- obtenu
- évident
- ONE
- en ligne
- ouverture
- de commander
- Autre
- Autres
- propre
- propriété
- fête
- Mot de Passe
- la gestion de mot de passe
- Password Manager
- mots de passe
- Patron de Couture
- motifs
- paul
- être
- personnel
- Téléphone
- Platon
- Intelligence des données Platon
- PlatonDonnées
- veuillez cliquer
- Populaire
- position
- possible
- Poteaux
- l'éventualité
- pratique
- Prévisible
- assez
- empêcher
- Probablement
- Problème
- processus
- Produits
- protégé
- protection
- mettre
- plus rapidement
- vite.
- ransomware
- raw
- Lire
- recevoir
- reçu
- récemment
- recommander
- recommande
- Articles
- Régulateurs
- en relation
- rappeler
- se souvenant
- Analyse
- Risqué
- même
- sécurité
- semble
- sens
- grave
- Serveurs
- service
- Services
- mise
- Paramétres
- plusieurs
- similaires
- simplement
- simultanément
- unique
- site
- Sites
- snooping
- So
- Logiciels
- solide
- quelques
- Quelqu'un
- quelque chose
- Identifier
- parlant
- spécial
- Sports
- spyware
- Commencez
- départs
- vole
- Potence
- Encore
- volé
- Arrêter
- stockée
- Histoire
- simple
- fortement
- rembourrage
- tel
- suffisant
- Suggère
- Appareils
- SVG
- Système
- Prenez
- prise
- Tâche
- Technologie
- Essais
- tests
- Le
- leur
- donc
- Troisièmement
- milliers
- Avec
- TikTok
- fiable
- long
- conseils
- Titre
- à
- Tokens
- top
- TOTALEMENT
- transition
- communication
- Tournant
- sous
- expérience unique et authentique
- URL
- us
- utilisé
- Utilisateur
- utilisateurs
- utilisé
- vacances
- Voûte
- fournisseurs
- Vermont
- victimes
- Violant
- vital
- avertissement
- Montres
- façons
- web
- Site Web
- Semaines
- bien connu
- Quoi
- que
- qui
- tout en
- WHO
- sera
- dans les
- sans
- des mots
- vos contrats
- world
- vaut
- pourra
- écriture
- faux
- an
- années
- Vous n'avez
- Votre
- vous-même
- zéphyrnet