“Les humains sont très vulnérables.” C’est ce qu’affirme Yuliya Novikova, responsable du renseignement sur les empreintes digitales de la société de cybersécurité Kaspersky, après une étude exhaustive de 193 millions de mots de passe qui a montré que seuls deux sur dix sont sécurisés. La plupart peuvent être découverts en une heure et la plupart en une minute seulement. Et le coût est minime, les chaînes du Web sombre (le réseau caché des moteurs de recherche conventionnels) et Telegram où sont vendues les armes de la cybercriminalité, ils proposent des forfaits « tout compris » : programmes, serveurs cloud et données sur les victimes potentielles pour seulement 80 euros par semaine.
« Nos données sont comme nos maisons. Laisseriez-vous l’entrée ouverte à tous ? », demande Lilian Balatsou, experte en linguistique de l’intelligence artificielle et docteur en neurosciences cognitives de l’université de Bangor, lors d’une réunion du cabinet de cybersécurité à Athènes. La réponse, d’après l’étude de Kaspersky, est oui, nous laissons la maison ouverte la moitié du temps.
Novikova explique que 40 % des attaques (un tiers d’entre elles suivies d’enlèvements et d’extorsions) commencent par un compte compromis. Les employés et les fournisseurs des entreprises disposant d’un nom d’utilisateur et d’un mot de passe pour fonctionner reconnaissent qu’ils violent les règles de sécurité de l’entreprise, par ennui ou en accomplissant leurs tâches sans complications supplémentaires.
Ainsi, ces détenteurs de clés de maison en abusent et laissent la serrure déverrouillée ou se laissent copier, plus d’une fois dans 21 % des cas. “L’erreur humaine est la principale cause d’incidents”, prévient Novikova, qui détaille que 10 millions de systèmes ont été infectés l’an dernier, soit 32 % de plus qu’au début de la décennie.
Selon les données de Kaspersky, 45 % des mots de passe sont compromis en moins d’une minute, 14 % en moins d’une heure et 14 % de plus en une journée ou en moins d’un mois. De cette manière, seulement un peu plus de deux clés d’accès aux systèmes critiques sur dix sont robustes.
Les autres utilisent des noms, des mots courants ou des termes de dictionnaire qui, même s’ils sont modifiés par des chiffres ou des signes remplaçant les lettres, sont facilement vulnérables. Il n’y a pas de pirate derrière (pirate) passent leur temps à les déchiffrer. “Les cybercriminels sont très créatifs, mais aussi paresseux”, explique l’expert de la société de sécurité, soulignant que les canaux de vente d’armes de cyberattaque proposent déjà, pour 80 euros par semaine, des formules d’abonnement qui incluent non seulement les bases de données des victimes vulnérables, mais également les programmes et les serveurs pour pouvoir les exécuter sans leur propre infrastructure. Ces systèmes sont capables de violer même les protocoles d’authentification multifacteur, qui ne facilitent l’accès d’un utilisateur que lorsqu’il fournit deux ou plusieurs preuves différentes de son identité.
Solutions
Marco Preuss, directeur adjoint de l’équipe mondiale de recherche et d’analyse (GReAT) et directeur du centre de recherche Kaspersky Europe, se méfie même des systèmes d’identification biométriques, qui, selon lui, impliquent également l’utilisation d’informations personnelles.
De cette manière, les experts qui ont participé à la réunion d’Athènes optent pour la généralisation des gestionnaires de mots de passe, des programmes capables de stocker en toute sécurité des utilisateurs uniques et des codes d’accès et même de les générer de manière robuste pour chaque utilisation.
En plus de cela, les tactiques les plus efficaces sont : utiliser un mot de passe différent pour chaque service afin qu’en cas de vol, un seul compte soit compromis, utiliser des mots inhabituels ou les mélanger, vérifier la robustesse de celui choisi en ligne. services, les empêchent de répondre aux données personnelles auxquelles les pirates peuvent avoir accès (telles que les noms personnels et les dates accessibles via les réseaux sociaux) et permettent l’authentification à deux facteurs (2FA).
Rafael Conde del Pozo, directeur de l’innovation chez Softtek, ajoute un élément de risque supplémentaire : les téléphones. Comme il l’explique, « les appareils mobiles sont devenus des extensions de nous-mêmes et nécessitent une protection complète contre les vulnérabilités émergentes ».
En ce sens, il propose de leur fournir des systèmes avancés d’authentification biométrique, populaires dans le paiement mobile ; comportemental, qui analyse les modèles qui ne correspondent pas à l’utilisateur ; et l’intelligence artificielle pour identifier les anomalies, chiffrer les données et restreindre l’accès.
Concernant les vulnérabilités mobiles, la division Threat Intelligence de Check Point a identifié plusieurs campagnes qui tirent parti de Rafel RAT, un outil open source pour les appareils Android développé pour les campagnes de sécurité. Hameçonnage (tromperie) à travers des messages et des conversations afin que l’utilisateur installe des applications malveillantes déguisées sous un faux nom et une fausse icône. Ils demandent des autorisations étendues, affichent des pages Web légitimes ou les imitent, puis suivent secrètement l’appareil pour exfiltrer les données.
Les mesures de sécurité concernent tous les types de programmes, y compris les applications de réseaux sociaux. La même société de sécurité, après avoir détecté un accès illégal via des messages directs sur TikTok, recommande d’établir des mots de passe forts, de configurer une authentification à deux facteurs via la page de sécurité du réseau pour activer la fonction « connexion avec vérification » et signaler toute activité étrange. Une vulnérabilité de ce réseau a récemment affecté des comptes médiatiques et des personnalités populaires.
Vous pouvez suivre Technologie EL PAÍS dans Facebook et X ou inscrivez-vous ici pour recevoir notre bulletin hebdomadaire.
