Pour mener leurs attaques de spear-phishing, les cybercriminels trouvent sur le dark web des millions d’identifiants de collaborateurs de grandes entreprises. La technique de spear-phishing vise des utilisateurs ciblés à travers des e-mails d’hameçonnage personnalisés. Face à la recrudescence des intrusions déclarées par les organisations (+50% au 1er trimestre selon Risk Based Security), le spécialiste en sécurité ImmuniWeb a évalué la qualité et la quantité d’identifiants volés à des entreprises du classement Fortune 500 évoluant dans dix secteurs d'activité à travers le monde. Cette entité de la société suisse High-Tech Bridge, spécialisée dans les tests de pénétration et l’analyse des surfaces d’attaque, vient de livrer le résultat de ses analyses dans un rapport. Elle explique avoir utilisé la technologie OSINT (open source intelligence) de son produit ImmuniWeb Discovery pour accéder à divers endroits du réseau Tor et explorer des forums web, Pastebin, réseaux sociaux, canaux IRC, autres fils de discussion et autres lieux où l’on propose et vend des données volées.
Cette exploration lui a ramené plus de 21 millions d’identifiants appartenant à des entreprises du Fortune 500, dont 16 millions ont été compromis au cours des 12 derniers mois. Le tout présente à 95% des données non chiffrées ou bien craquées par les attaquants, avec des mots de passe en clair. De loin, ce sont les secteurs de la technologie et de la finance qui sont le plus touchés, chacun comptant plus ou moins 5 millions d’identifiants volés.
Passw0rd toujours prisé par la tech
Sur les 21 millions de mots de passe, seuls 4,9 millions sont vraiment uniques, ce qui montre que de nombreux utilisateurs se servent des mêmes pour leurs différents accès. Certains reviennent souvent, suivant les secteurs d’activité. Ainsi « passw0rd » fait partie des plus populaires dans les entreprises de technologie, tandis que « 456a33 » revient souvent dans la finance, « Exigent » dans la santé ou « cheer ! » dans les télécoms. Au passage, on apprend aussi que le secteur de retail (commerce de détail) est celui qui recourt aux mots de passe les plus faibles, pour la moitié d’entre eux contre seulement 32,5% dans l’énergie.
La proportion d'utilisateurs recourant à des mots de passe de moins de 8 caractères reste important quel que soit le secteur d'activité. (Source : ImmuniWeb)
Parmi les autres constats d’ImmuniWeb, près de 42% des mots de passe volés sont d’une façon ou d’une autre liés au nom de l’entreprise ou à la ressource qui a été compromise, ce qui rendent très efficace les attaques par force brute. Malgré tout, près de la moitié des données ainsi accessibles sont fausses ou dépassées ou proviennent d’anciennes intrusions en prétendant avoir été fraîchement dérobées.
Il ne faut pas sous-estimer le pouvoir de nuisance des campagnes qui peuvent être redoutablement efficaces et ImmuniWeb livre quelques bonnes pratiques pour les éviter en conseillant la mise en place d’une politique de gestion des mots de passe à l’échelle de l’entreprise qui englobe aussi les systèmes tiers, ainsi qu’une authentification à double facteur. Il conseille aussi, notamment, d’utiliser une solution d’analyse de la surface d’attaque pour évaluer le risque et de sensibiliser les collaborateurs en expliquant en particulier les risques d’utiliser ses emails professionnels sur des ressources de tiers.
Commentaire