Dashlane, fournisseur de gestionnaire de mots de passe, a annoncé des mises à jour de sa gamme d'offres pour les entreprises. Il s'agit notamment d'un outil Dark Web Insights qui fournit une ventilation des mots de passe compromis, d'une application d'authentification autonome pour activer l'authentification multifacteurs des accès (MFA) et d'un plan de démarrage à faible coût pour les petites entreprises. La société a également introduit un service d'assistance téléphonique en direct grâce auquel les utilisateurs peuvent demander et réserver un appel directement avec l'équipe d'assistance de Dashlane.
Dans un communiqué, Dashlane a déclaré que son outil Dark Web Insights « scanne en permanence » plus de 20 milliards d'enregistrements liés à des piratages ou à des violations de données sur le dark web, fournissant aux utilisateurs une ventilation sur mesure des mots de passe compromis dans leur organisation. Dark Web Insights permet également aux administrateurs d'analyser leur organisation afin de détecter les cas de violation d'informations d'identification et d'inviter les employés qui n'utilisent pas Dashlane et qui ont été victimes d'une violation à commencer à utiliser la solution. La société a déclaré qu'en associant cette fonction d'alerte à la possibilité de générer des mots de passe nouveaux, aléatoires et uniques, les administrateurs peuvent prendre des mesures rapides une fois qu'ils ont été avertis de la compromission d'informations d'identification.
Les informations d'identification des employés piratées sur le dark web : une menace importante
Heather Hankins, spécialiste de la sécurité à la National Educational Telecommunications Association, a déclaré qu'il est utile pour les équipes de sécurité de savoir si et quand les employés ont subi une violation des informations d'identification. « De cette façon, lorsque vous les aidez à gérer [une violation], vous les formez également et leur donnez des conseils de sécurité précieux pour éviter cela à l'avenir ». Un rapport publié récemment par Searchlight Security détaille une étude de cas sur la façon dont les informations d'identification des employés peuvent être exposées sur le dark web et comment sa surveillance peut aider à protéger les entreprises en anticipant les attaques.
Selon le rapport Executives Under Threat 2022, le fournisseur a effectué une recherche sur le dark web des attributs de données appartenant à des employés spécifiques d'une grande organisation de santé américaine. Bien qu'il n'ait trouvé aucune preuve que l'organisation ait subi une attaque, sa recherche a détecté plusieurs points de données liés à un employé individuel, notamment des adresses électroniques professionnelles et personnelles, des numéros de contact, l'immatriculation du véhicule de son conjoint ainsi que les numéros de téléphone de ses enfants et son adresse personnelle. En découvrant ces informations, l'équipe de sécurité de l'organisation a pu mettre en place une posture de sécurité plus proactive et faire face à la menace potentielle d'une attaque ciblée sur le dirigeant ou sa famille, qui pourrait avoir un impact sur l'entreprise elle-même.
L’application Dashlane Authenticator face aux attaques
En plus de la surveillance du dark web, Dashlane a annoncé une application autonome pour fournir un moyen simple d'activer le MFA pour tous les comptes compatibles. Disponible sur les terminaux iOS et Android, Authenticator a été conçu comme un pendant de l'application Password Manager, rendant le remplissage automatique du token 2FA transparent pour les éléments du coffre-fort et permettant le partage sécurisé des mots de passe et des codes 2FA, a déclaré la société.
Bien que l'authentification automatique soit souvent présentée comme une fonction de sécurité essentielle, les récentes violations très médiatisées suggèrent qu'elle n'est certainement pas une panacée en matière de sécurité, les attaquants trouvant des moyens de la contourner. Les attaques contre Uber et Twilio ont mis en évidence une augmentation des campagnes d’attaques MFA, dans lesquelles les cybercriminels spamment un employé dont les informations d'identification ont été compromises des demandes d'autorisation MFA jusqu'à ce qu'il s'ennuie et approuve la demande, donnant ainsi accès à l'attaquant. Il s'agit d'une technique simple mais efficace qui s'appuie sur le manque de formation et de compréhension du vecteur d'attaque de la part de l'utilisateur.
Un plan pour les petits budgets
En outre, les petites entreprises et les entrepreneurs peuvent désormais opter pour l’option Starter de Dashlane, un plan à faible coût pour les équipes de 10 personnes maximum, au prix de 20 dollars par mois, tandis que le service supplémentaire d'assistance téléphonique en direct de la société est désormais disponible pour les utilisateurs des plans Business, Team et Starter, a déclaré l’entreprise. L'assistance par chat en direct est disponible en anglais, français et allemand, ajoute Dashlane.