C’est un signal d’alarme que pousse l’équipe de recherche de Specops, société de cybersécurité. Les experts ont en effet pu constater dans une étude que 2 151 523 mots de passe VPN ont été compromis par des logiciels malveillants cette année. De quoi exposer les utilisateurs à un danger. Faisons le point.
Comment les pirates accèdent-ils aux mots de passe ?
Certains hackers peuvent recourir à des attaques par force brute pour récupérer ces identifiants. Ils utilisent alors des outils automatisés pour tester un grand nombre de combinaisons et obtenir un accès non autorisé.
L’utilisation de campagnes de phishing est aussi monnaie courante. Ici, l’idée est de pousser l’internaute vers un site frauduleux qui va imiter une organisation de manière plus ou moins convaincante. Ce dernier va alors fournir ses noms d’utilisateurs et mots de passe et le piège se referme.
Enfin, certains logiciels malveillants présents sur l’appareil de l’utilisateur, notamment les enregistreurs de frappe, peuvent capturer les mots de passe VPN sans que vous en ayez confiance.
Cité dans le rapport, Darren James, Senior Product Manager chez Specops Software, commente ainsi :
Les VPN permettent aux services informatiques de contrôler et de gérer l’accès aux ressources au sein du réseau de l’entreprise. Cela comprend l’application des politiques de sécurité, la gestion de la bande passante et la surveillance du trafic réseau, ce qui contribue à maintenir la santé et la sécurité globale du réseau. Ils aident également à se conformer à ces réglementations en sécurisant la transmission des données et en fournissant des contrôles d’accès et des pistes d’audit.
Il ajoute : « Mais si les mots de passe VPN sont compromis, ces bénéfices importants en matière de cybersécurité peuvent être réduits à néant et offrir aux attaquants une voie d’accès à votre organisation. »
Comment se protéger ?
On l’aura compris, la vigilance est plus que jamais de mise, d’autant que les utilisateurs ont tendance à utiliser des mots passe beaucoup trop simple à deviner par acteurs malveillants : 123456, qwerty… L’utilisation de l’authentification multifcateurs est également recommandée et elle vous permet d’ajouter une couche de protection supplémentaire.
Pour savoir si votre mot de passe est compromis, on vous invite à vous rendre sur des sites spécialisés comme Have I Been Pwned. Vous rentrerez alors votre e-mail pour vérifier s’il figure dans une base de données répertoriant les fuites connues. Vous pouvez aussi vous connecter sur le compte de votre VPN afin de voir si vous voyez des connexions suspectes.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
L’article [SOURCE] rappelle que “Si une organisation n’applique pas une politique stricte en matière de mots de passe pour l’accès VPN, les utilisateurs peuvent choisir des mots de passe faibles ou faciles à deviner (…)”. Ma foi, vu le degré d’irresponsabilité de bien trop d’utilisateurs, c’est aux organisations de requérir un mot de passe digne de ce nom (minimum de 12 caractères alpha-numériques & spéciaux) pour valider une inscription. C’est aisément faisable mais on peut supposer qu’imposer à l’utilisateur quoi que ce soit qui risque de le mécontenter ne prime pas sur sa sécurité “malgré lui”.
–
Là où l’irresponsabilité de l’utilisateur ne peut être palliée par quoi, par qui que ce soit c’est bien pour ce qui est de la réutilisation d’un mot de passe.
Mot de passe complexe + unique est l’équation de base, nécessaire, indispensable même si pas “bullet-proof” à savoir suffisante pour garantir une sécurité absolue sinon maximale. L’authentification multifcateurs est un plus non négligeable même s’il est avéré que que sa fiabilité n’est pas absolue et qu’en tout état de cause l’utilisateur ne peut y recourir que lorsqu’elle est disponible, à fortiori imposée.
–
Ne jamais oublier qu’à malin, malin-et-demi, et que cette demie supplémentaire c’est celle du mauvais p’tit gars qui tente de s’en prendre à notre vie numérique. Le pire c’est toujours de croire qu’on est le plus fort : humilité et vigilance 🙂
N’y a-t-il personne pour relire ?