Plus de 21 millions d’identifiants de connexion pour les entreprises du Fortune 500 – autrement dit les 500 premières entreprises américaines, classées d’après leur chiffre d’affaires – sont disponibles à la vente, en texte brut, sur plusieurs forums et sur des places de marché noir sur le Dark Web. Ces chiffres sont rapportés par une étude menée par Immuniweb, fournisseur de tests Web, notamment pour s’assurer de la sécurité et de la conformité aux exigences RGPD (Règlement général sur la protection des données).

Des résultats pour le moins étonnants

D’après le rapport présenté, 21.040.296 identifiants et mots de passe appartenant aux employés de grandes entreprises américaines sont en circulation sur le Dark Web. Les tests ont été menés grâce à un algorithme conçu pour repérer exclusivement les identifiants des entreprises Fortune 500. Utilisant la technologie appelée OSINT (Open Source Intelligence), les chercheurs d’Immuniweb ont pu explorer une multitude de bases de données, soit des lieux et des ressources au sein du réseau TOR, des forums, réseaux sociaux etc.

Les résultats obtenus ont également permis d’établir un classement des domaines dans lesquels les entreprises sont les plus exposées. En tête, les sociétés spécialisées dans la technologie – un comble – avec un peu plus de 5 millions d’identifications volées, et la finance avec 4,9 millions d’identifiants subtilisés. La liste permet de représenter une dizaine de domaines concernés.

Tableau de résultats

Crédit : ImmuniWeb

Soyons clairs, l’ensemble de ces mots de passe ne permettent pas forcément une connexion directe au réseau interne des entreprises. Plusieurs mènent en réalité à des services partenaires, certains mèneraient même à des sites réservés aux plus de 18 ans (faille dans l’algorithme ou identifiants obsolètes ?). Enfin la majorité des résultats, soit 16 millions d’entre eux, ont été piratés au cours des 12 derniers mois.

Néanmoins, le rapport attire l’attention sur la qualité des mots de passe collectés, parmi lesquels 4,9 millions sont répertoriés comme uniques, tandis que les mots de passe du type « password » et « welcome » sont parmi les plus utilisés. Le rapport répertorie le top 5 des mots de passe utilisés dans les secteurs les moins protégés.

Tableau de résultats

Crédit : ImmuniWeb

À ce sujet, les spécialistes du numérique semblent s’accorder pour rappeler qu’un mot de passe – aussi compliqué soit-il – reste peu ou prou efficace contre le piratage. Tous préconisent désormais l’authentification à double facteurs, d’ailleurs mentionnée dans le rapport pour améliorer la protection des données. Il est également rappelé que l’exposition des identifiants et mots de passe dépend également de l’ensemble de la sécurité des sites Web, négligeant régulièrement la protection des sous-domaines.

Pour finir, il est conseillé d’équiper les entreprises de système de surveillance continue, de détection d’attaques par intrusion, phishing et réutilisation de mots de passe, tout en sensibilisant le personnel sur les risques des attaques numériques.

Ce type de cyberattaque est rapide, simple, peu coûteuse, et donc a fortiori, prisée par les hackers, rappelle Ilia Kolochenko, président, et fondateur d’ImmuniWeb. Il est évident qu’en tant que fournisseur de tests, celui-ci se doit de justifier leur utilité. Il aborde sans surprise la nécessité de prendre ces éléments au sérieux étant donné le développement du cloud dans les entreprises, et les difficultés bien connues que certaines ont pour le sécuriser.

Toute proportion gardée, donc, il semble que certaines mesures doivent être prises, car les failles existent en effet. Pas plus tard que ce mois-ci en octobre 2019, le service Creative Cloud d’Adobe contenait une faille, provoquant la fuite de données de près de 7,5 millions de personnes. Thom Bailey, responsable du domaine stratégique en cybersécurité à Mimecast, rappelait que ce type de faille exposait non seulement, les utilisateurs, mais également les entreprises qui utilisent ces services cloud. Et de rappeler que ce type d’exposition pouvait conduire à des campagnes de phishing. La prévention est de rigueur selon lui, insistant sur la nécessité pour les sociétés d’investir dans des systèmes de sécurité suffisamment sophistiqués pour protéger l’accès aux boites e-mail des employés.

Compte-tenu également des investissements dans le cloud, devenu la cible convoitée par les plus grands comme Amazon, Microsoft et Google, il apparait comme nécessaire d’appréhender ces types de failles.