Des clients de Bouygues Telecom abonnés à leur insu à Netflix : la réaction de HackerOne

1

Des clients de Bouygues Telecom ont signalé avoir été abonnés à leur insu à Netflix. D’après Bouygues, les identifiants de connexions utilisés par ses clients sur d’autres sites ont été usurpés sur Internet, et utilisés à leur insu afin de souscrire à l’option Netflix (peut-être dans le but de les revendre). 

Déclinant la responsabilité, Bouygues a pourtant consenti à indemniser ceux de ses clients concernés, rappelant au passage les bonnes pratiques en matière de gestion des mots de passe.

Voici ci-dessous l’avis de Aaron Zander, Responsable informatique chez HackerOne, sur la problématique de gestion des identifiants :

« Pour éviter les tentatives d’authentification massives, les responsables d’un site limitent généralement les tentatives de connexion depuis un même navigateur ou une même adresse IP. Sachant cela, les acteurs malveillants se contentent donc d’envoyer quelques demandes de connexion à partir d’une même IP avant de passer à une nouvelle. A moins qu’il ne s’agisse d’une campagne de phishing vraiment ciblée, lorsque les cybercriminels testent des listes, ils ne saisissent pas manuellement les identifiants un par un.  Ils exécutent plutôt des scripts qui effectuent pratiquement simultanément des centaines ou des milliers de tentatives de connexions. Ces scripts utilisent des adresses mail et de mots de passe acquis lors de précédents vols de données. Il existe des téraoctets de données, des millions et des millions de mails et de mots de passe, qui s’inscrivent dans la dynamique d’entropie du mots de passe à l’ère numérique. Le mot de passe que nous avons utilisé des centaines de fois au début des années 2000 revient désormais nous hanter. Les utilisateurs doivent bien-sûr améliorer leurs pratiques de gestion des identifiants de connexion et s’aider de gestionnaires de mots de passe, mais c’est aussi aux responsables des sites web et des applications qu’il incombe d’éviter de devenir des bancs d’essai pour la découverte d’informations d’authentification exploitables. Il est important d’empêcher une personne ou une adresse IP d’effectuer plus que quelques tentatives de connexion, tant en termes de nombre total de connexions essayées que par la vitesse à laquelle il est possible de les soumettre. L’utilisation d’outils tels que les captcha, l’authentification par liens magiques, la limitation du nombre de tentatives possibles, la détection des navigateurs et, de manière générale, la réflexion sur la manière dont une page de connexion peut être utilisée de manière abusive peuvent tous contribuer à exclure un site web du terrain de jeu où se livre la découverte d’identifiants utilisables par des cybercriminels ».

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.