Vos mots de passe sont-ils à vendre sur le dark web?

By Leah Giesbrecht at CPABC
Plus de 24 milliards de noms d’utilisateur et de mots de passe – selon certaines estimations, c’est la quantité de données personnelles sensibles mises en vente sur des marchés cybercriminels comme le dark web. Est-ce que vos mots de passe en font partie?
Pour discuter des façons courantes dont vos renseignements peuvent se retrouver sur le dark web, et comment vous pouvez prévenir cela, nous avons parlé avec Anthony Green, gestionnaire des opérations de sécurité et de la conformité chez CPA Colombie-Britannique (CPABC).
Quelle est l’ampleur du problème au Canada et en Amérique du Nord?
La vente de mots de passe sur le dark web est un problème mondial. L’Amérique du Nord est particulièrement visée, car nous avons été des pionniers dans l’adoption des technologies numériques et utilisons Internet très fréquemment. Cela signifie que nos empreintes numériques sont souvent plus grandes. De plus, plusieurs des plus grandes entreprises Internet sont basées ici. Ce n’est pas que les Nord-Américains sont plus vulnérables, mais plutôt qu’ils sont en ligne depuis plus longtemps et y sont très actifs.
Comment les mots de passe se retrouvent-ils généralement sur le dark web?
L’un des moyens les plus courants est lorsqu’une organisation ayant une cybersécurité déficiente subit une faille de sécurité. Les noms d’utilisateur et mots de passe de cette organisation peuvent alors être volés et publiés sur le dark web. Un autre moyen fréquent est l’attaque directe, comme l’installation d’un logiciel malveillant de type « infostealer » sur votre ordinateur personnel après avoir cliqué sur un site douteux.
Si vous avez de nombreux mots de passe enregistrés dans votre navigateur (comme Google Chrome ou Edge), ces maliciels peuvent récupérer cette information, car elle n’est souvent pas chiffrée, mais stockée en texte clair.
Une fois qu’un pirate détient un de vos noms d’utilisateur et mots de passe, il essaiera d’accéder à d’autres comptes, car beaucoup de gens utilisent le même mot de passe pour plusieurs services. Vos informations peuvent ainsi se retrouver sur le dark web, où n’importe qui peut les acheter pour quelques sous ou quelques dollars, puis se connecter à vos comptes.
Presque tous ceux qui ont utilisé Internet ont probablement eu au moins un compte compromis. Ce n’est pas toujours un gros problème — par exemple, mon compte de récompenses Starbucks n’est pas lié à ma carte de crédit, donc s’il est compromis, quelqu’un saura combien de cafés j’ai achetés. Mais si c’est mon compte de courriel qui est piraté, les attaquants pourraient changer tous mes mots de passe. Et s’il s’agit de mon compte bancaire, ils pourraient voler mon argent.
Comment les entreprises peuvent-elles évaluer si leurs données sont à risque?
Les propriétaires d’entreprise devraient se poser la question suivante : « Si une personne non autorisée (non-employé, non-client, non-membre) accède à notre système, que pourrait-elle faire? » Si la réponse est « Elle pourrait seulement modifier quelques paramètres », il n’y a peut-être pas lieu de s’inquiéter. Mais si la réponse est « Elle pourrait faire beaucoup de choses », l’entreprise doit absolument mettre en place l’authentification multifacteur (AMF).
Un pirate ne pourra pas accéder à votre compte simplement en achetant votre nom d’utilisateur et mot de passe sur le dark web si vous avez activé l’AMF. Il s’agit de réduire les risques, car tout système ou appareil peut être une cible.
Quels conseils spécifiques donneriez-vous aux CPA et à leurs clients?
Beaucoup de CPA et de clients ont leurs propres portails de connexion. Par exemple, un CPA pourrait avoir 15 clients différents, chacun ayant un portail distinct pour la transmission d’information — donc 15 comptes différents. Le pire scénario serait d’utiliser le même mot de passe pour tous ces comptes. Si quelqu’un cible ce CPA, connaît ses clients et découvre un seul mot de passe, il pourrait accéder à tous les comptes.
Cependant, c’est un problème simple à régler. Le client peut activer l’authentification multifacteur. De leur côté, les CPA peuvent utiliser un gestionnaire de mots de passe fiable comme 1Password (une entreprise canadienne) ou Bitwarden pour sauvegarder leurs mots de passe en toute sécurité.
Quelles autres bonnes pratiques peuvent protéger nos mots de passe?
En plus d’utiliser l’authentification multifacteur, un gestionnaire de mots de passe et des mots de passe uniques pour chaque compte, il faut retenir que la longueur est plus efficace que la complexité. Un mot de passe de 15 caractères composé de trois ou quatre mots aléatoires avec un chiffre ou un caractère spécial est beaucoup plus robuste qu’un mot de passe de dix caractères complexes.
Cela constitue un bon test de sécurité des mots de passe.
Quels signes d’alerte indiquent que vos mots de passe sont à risque?
Des courriels indiquant que vous avez modifié des paramètres, des permissions ou des configurations sont des signes d’alerte. Un autre élément à surveiller : les journaux d’activité. La plupart des fournisseurs de courriels comme Gmail et Outlook permettent de voir les connexions et leur localisation. Vérifiez régulièrement l’activité de vos comptes sensibles pour vous assurer que seules des personnes de confiance y ont accédé et qu’aucune connexion suspecte n’a eu lieu depuis un emplacement inconnu.
Si vous remarquez ces signes d’alerte ou si vous êtes piraté, changez immédiatement votre mot de passe, en vous assurant qu’il soit unique et long. Ensuite, activez l’authentification multifacteur et utilisez un gestionnaire de mots de passe. Si vous avez des données sensibles, ajoutez plus de couches de sécurité pour les protéger.
En espérant que ces conseils vous aident à garder vos informations en sécurité et à faire en sorte que de moins en moins de mots de passe se retrouvent sur le dark web.
Publié à l’origine dans la salle de presse de CPA Colombie-Britannique (CPABC).
Avis de non-responsabilité : CPABC ne recommande ni n’endosse aucun des services ou produits mentionnés dans cet article. Il revient au lecteur de faire ses propres recherches et vérifications.