Plus de 24 milliards de noms d’utilisateur et de mots de passe sont en vente sur des marketplaces criminelles, et le nombre d’identifiants volés ne cesse d’augmenter.
Une situation dont profitent les cybercriminels, qui surfent sur l’attachement du grand public à utiliser et réutiliser des mots de passe faibles.
Selon une étude réalisée par la société de cybersécurité Digital Shadows, le nombre de pseudonymes et les mots de passe vendus, échangés ou publiés sur les forums et les places de marché clandestines ont enregistré une hausse de 65 % en 2021.
« 123456 » est le mot de passe le plus utilisé
Parmi les noms d’utilisateur et les mots de passe disponibles sur des centaines de marketplaces clandestines, 6,7 milliards étaient uniques, soit une augmentation d’un tiers par rapport à 2020, ce qui indique que de nombreux noms d’utilisateur et mots de passe sont consultés et volés plusieurs fois, probablement sans que la victime en soit consciente.
L’une des raisons de cette tendance est que de nombreux comptes utilisent des mots de passe communs ou faibles, ce qui les rend faciles à voler pour les cybercriminels en devinant simplement les mots de passe.
Selon le document, le mot de passe le plus fréquemment divulgué, trouvé plus de 30 millions de fois – et représentant 0,46 % de tous les mots de passe uniques, soit près d’un sur 20 – est « 123456 », qui est l’un des mots de passe les plus simples qui soient. Il existe également des millions d’exemples d’autres mots de passe simples, dont plus de 17 millions de cas de « 123456789 », plus de 10 millions de mots de passe « qwerty », 10 millions de mots de passe « 12345 » et près de 9 millions d’autres mots de passe simples.
Des mots de passe bien connus
Selon l’étude de Digital Shadows, qui englobe l’ensemble du monde, les 10 mots de passe les plus courants trouvés dans les données sont les suivants :
- 123456
- 123456789
- Qwerty
- 12345
- Password
- Qwerty123
- 1q2w3e
- 12345678
- DEFAULT
- 111111
Sur les 50 mots de passe les plus utilisés, 49 peuvent être craqués en moins d’une seconde grâce à des outils faciles à utiliser, souvent gratuits ou en vente pour de petites sommes, disponibles sur des forums criminels, rapportent les chercheurs de la société de cybersécurité. Cela signifie que si quelqu’un utilise l’un de ces mots de passe et qu’il n’a pas encore été piraté, il ne sera pas difficile pour les cybercriminels de le faire. « Le top 50 est un mélange de ce à quoi on peut s’attendre : presque tous sont incroyablement faibles, facilement devinables, et liés à quelque chose que l’utilisateur pourrait facilement se rappeler », fait-on savoir du côté de Digital Shadows.
« Nous avons vu des chaînes de chiffres faciles à retenir, comme 123456. Il est douloureux d’admettre qu’il s’agissait des mots de passe les plus courants. Ces mots de passe représentaient en fait 0,46 % du nombre total de nos 6,7 milliards d’identifiants uniques. » Les chercheurs relèvent que, bien qu’une grande partie de ces mots de passe aient été utilisés pour des comptes banals, tels qu’un téléviseur ou un thermostat intelligent, ils sont également susceptibles d’être largement utilisés pour des comptes plus sensibles.
Blinder son authentification
L’un des conseils les plus courants en matière de cybersécurité consiste à recommander aux utilisateurs d’utiliser des mots de passe forts et uniques, mais vu le grand nombre de mots de passe courants et faibles publiés sur les marchés clandestins, il semble que le message ne passe pas. Pourquoi en est-il ainsi ? Les mots de passe sont compliqués, et s’en souvenir peut vite relever de la gageure. « Nous ne sommes pas programmés de cette manière – notre cerveau ne fonctionne pas de cette façon – et c’est donc une tâche difficile et complexe pour nous », explique Stefano De Blasi, analyste des cybermenaces chez Digital Shadows, interrogé par ZDNet.
Le nombre de comptes différents est également un problème, car une bonne hygiène de cybersécurité consiste surtout à utiliser un mot de passe différent pour chacun de ces comptes. Mais comme il est difficile de se souvenir de nombreux mots de passe différents, beaucoup de gens préfèrent la commodité à la sécurité et utilisent les mêmes mots de passe à plusieurs reprises. « La cybersécurité devrait être importante pour tout le monde, mais tout le monde ne se sent pas concerné », explique le chercheur.
Il est difficile de se souvenir des mots de passe, mais l’utilisation d’un mot de passe unique pour chaque compte peut grandement contribuer à la sécurité en ligne. L’une des façons les plus simples de le faire est d’utiliser un gestionnaire de mots de passe, qui peut générer et stocker des mots de passe complexes pour vous. « Utiliser des gestionnaires de mots de passe, c’est la première étape. Ils sont très faciles à configurer. Il suffit d’une seconde pour qu’ils génèrent un mot de passe sécurisé et l’utilisent », rappelle ainsi Stefano De Blasi.
N’hésitez pas non plus à mettre en place un mécanisme d’authentification multifactorielle sur tous les comptes qui le permettent, ce qui constitue une barrière supplémentaire contre les attaques visant à exploiter les mots de passe exposés. Et en cas d’exposition ou de vol d’un mot de passe, le plus important est de le changer dès que possible pour empêcher les cybercriminels d’y avoir accès.
Source : ZDNet.com
