Initiative du Conseil de l’Europe qui se tient désormais sur une semaine, la semaine européenne de la protection des données à caractère personnel (ou Data Privacy Week en anglais) débutera cette année le 24 janvier prochain. Elle vise à sensibiliser les citoyens européens sur l’importance de la protection de leurs données personnelles et du respect de leurs libertés et droits fondamentaux.
Tribune – En amont de cette semaine, Laurent Nezot, Sales Director chez Yubico France, rappelle les techniques classiques auxquelles les cybercriminels ont recours pour voler des identifiants :
« Selon Verizon, plus de 80 % des fuites de données malveillantes sont le fruit de vol d’identifiants utilisés illégitimement. En effet, comme il est relativement facile de voler un mot de passe, ou toute autre donnée d’authentification de quelqu’un, à distance et sans se faire prendre, c’est devenu l’une des attaques les plus courantes au monde. Les utilisateurs doivent par conséquent être au fait des menaces pour pouvoir s’en protéger, et plus particulièrement des cinq techniques de cyberattaque les plus courantes.
- Deviner un mot de passe faible – Les attaquants essaient des mots de passe communs avec des noms d’utilisateur sur de nombreux sites, car beaucoup d’internautes ont du mal à créer ou à mémoriser des mots de passe forts. En conséquence, ils choisissent des mots de passe faibles pour plus de commodité, ou parce qu’ils ne pensent pas que leurs données intéressent des cybercriminels.
- Multiplier les tentatives de compromission avec un seul mot de passe, ou Credential Stuffing – Les hackers prennent régulièrement des identifiants volés sur un site et les renseignent sur un autre, car il est très courant que les internautes utilisent le même mot de passe, ou une variante, sur plusieurs comptes. Ce problème est exacerbé par le grand volume d’informations d’identification volées disponibles à la vente sur le dark web. Les cybercriminels ciblent également les sites moins bien sécurisés pour obtenir les identifiants d’un individu. S’ils réussissent, ils utiliseront ces mêmes informations d’identification sur d’autres sites qui les intéressent réellement.
- Perpétrer des attaques Man-in-the-Middle – Parfois, les cybercriminels ont accès au chemin du réseau entre l’ordinateur de leur victime et le site auquel ils accèdent. Cela leur permet de voir à quels sites leur cible accède et de voler ses données si la connexion n’est pas chiffrée, ou si la victime pense que le système du hacker est légitime. Cette position privilégiée peut être utilisée pour attendre que les utilisateurs accèdent au site d’intérêt, ou elle peut être utilisée en combinaison avec d’autres techniques, telles que le phishing, pour inciter quelqu’un à visiter le site d’intérêt.
- Miser sur le phishing – L’hameçonnage tire généralement profit d’un prétexte pour convaincre une personne de révéler directement ses identifiants ou de visiter un site qui fait de même. Pour ce faire, les cybercriminels ont recours à la vérification par SMS, mail, téléphone, messagerie instantanée, réseaux sociaux, sites de rencontres, voire même le courrier postal.
- Exploiter la récupération de compte – En raison du grand nombre d’utilisateurs pour de nombreux services et du désir général de maintenir des coûts de support bas partout, les flux de récupération de compte peuvent être beaucoup plus faibles que le canal d’authentification principal. Alternativement, les entreprises peuvent simplement autoriser le personnel du service d’assistance à réinitialiser les identifiants ou à définir des codes de contournement temporaires avec un simple appel téléphonique et peu, ou pas, d’exigences de vérification d’identité. Les services mettant en œuvre la 2FA doivent donc renforcer à la fois le flux de connexion principal ainsi que de récupération, afin que les utilisateurs ne soient pas compromis par cette vulnérabilité. Par exemple, les entreprises qui déploient des solutions d’authentification forte à deux facteurs (2FA) laissent trop souvent les SMS comme méthode principale de secours.
Les Unes sur les violations de données, les comptes piratés et les informations sensibles volées sont malheureusement devenues quotidiennes. Des millions d’utilisateurs se demandent si leurs données personnelles ont déjà été compromises ou s’ils seront les prochaines victimes d’usurpation d’identité. Pour beaucoup, la réponse est “oui”, marquant le début d’un long et fastidieux processus de récupération de compte. Cependant, il est possible de se protéger efficacement des cybercriminels en adoptant de bonnes pratiques, telles que l’adoption de la 2FA voire même une authentification sans mot de passe. »