Flexible Security for Your Peace of Mind

Ces entreprises du Fortune 500 dont les noms apparaissent dans les données compromises relatives aux mots de passe

L’équipe de recherche de Specops partage aujourd’hui les résultats de ses dernières découvertes sur l’utilisation de noms d’entreprises du classement Fortune 500 dans les mots de passe compromis. La publication de ces résultats coïncide avec l’ajout de plus de 33,9 millions de mots de passe compromis au service Specops Breached Password Protection, qui aide les organisations à bloquer l’utilisation de plus de 3 milliards de mots de passe compromis uniques dans Active Directory.

Notre équipe a analysé un sous-ensemble de 800 millions de mots de passe à partir de la base de données plus large Breached Password Protection pour trouver les noms des 500 premières entreprises du classement Fortune dans les données de mots de passe compromises.

« Les raisons pour lesquelles un nom de société peut apparaître dans un mot de passe compromis sont nombreuses », déclare Darren James, chef de produit senior chez Specops Software. « Que ce soit parce que le nom de l’entreprise chevauche un autre mot ou parce que l’utilisateur est un grand fan, le fait est que ces noms apparaissent dans les mots de passe des listes de mots que les attaquants utilisent pour s’en prendre aux réseaux. Les organisations seraient bien avisées de bloquer systématiquement le recours au nom de leur propre organisation dans les mots de passe de leurs utilisateurs à l’aide d’un dictionnaire personnalisé. »

Méthodologie

L’équipe de recherche Specops a pris la liste des entreprises du Fortune 500 et a vérifié leurs noms et leurs variations à la recherche d’occurrences correpondantes dans le sous-ensemble de données de 800 millions de mots de passe compromis.

Les noms d’entreprise courts ont naturellement plus de correspondances en raison de la courte chaîne de lettres correspondant à d’autres mots (par exemple, si « GE », abbréviation de General Electrics, est bien une entreprise du Fortune 500, la recherche de « ge » dans des données de mots de passe compromis correspondrait à de nombreuses phrases sans rapport comme « genXpassword » ou « page1234 », etc. C’est pourquoi notre équipe a filtré les résultats pour n’afficher que les noms d’entreprise et leurs variations contenant minimum 8 caractères.

Le fait que ces entreprises apparaissent dans notre liste de résultats ne signifie en aucun cas qu’elles aient subi une violation ou que leurs mots de passe aient été divulgués. Le fait qu’une entreprise apparaisse dans nos résultats signifie simplement que quelque part dans le monde quelqu’un a utilisé leur nom dans l’un de ses mots de passe et que ce mot de passe s’est retrouvé, à un moment ou à un autre, dans des données de mots de passe compromis.

Résultats

Des noms de sociétés figurant au palmarès Fortune 500 ont été trouvés dans des données de mots de passe compromis

La liste ci-dessous recense les noms d’entreprises du Fortune 500 (ou leurs variantes) que l’on retrouve le plus fréquemment dans les données de mots de passe compromises (recherche de noms ou variantes de 8 caractères ou plus.

  1. Sherwin Williams et/ou Williams Sonoma (« Williams » apparaît plus de 72 000 fois)
  2. Norfolk Southern (« Southern » apparaît plus de 22 000 fois)
  3. Conoco Phillips et Phillips 66 (« Phillips » apparaît plus de 16 760 fois)
  4. Coca-Cola (« CocaCola » avec ou sans trait d’union apparaît plus de 16 710 fois)
  5. Microsoft (« Microsoft » apparaît plus de 8 000 fois)
  6. Marathon Petroleum (« Marathon » apparaît plus de 6 000 fois)
  7. Starbucks (« Starbucks » apparaît plus de 3 800 fois)
  8. Alphabet (« Alphabet » apparaît plus de 3 700 fois)
  9. Bank of America (« BankofAmerica » avec ou sans espaces apparaît plus de 2 800 fois)
  10. McDonald’s (« McDonald’s » avec ou sans apostrophe apparaît plus de 2 270 fois)

« Les entreprises figurant sur cette liste devraient, si elles ne le font pas déjà, empêcher l’utilisation de leur nom dans leurs mots de passe à l’aide d’un dictionnaire personnalisé », déclare M. James. « Mais c’est un conseil que nous donnons à toutes les organisations, qu’elles figurent ou non sur la liste Fortune 500. Pourquoi ? Parce que les attaquants qui cherchent à pénétrer dans votre organisation vont systématiquement tenter d’adopter un comportement d’utilisateur courant, comme le fait d’utiliser le nom de la société pour laquelle vous travaillez dans votre mot de passe. Une politique de sécurité des mots de passe efficace empêche les attaquants de recourir à ce type de comportement en empêchant les utilisateurs de faire ces (mauvais) choix en premier lieu. »

Le dictionnaire personnalisé reste une pratique exemplaire que les organisations devraient mettre en œuvre

Bien que la présence d’une entreprise sur cette liste ne puisse indiquer qu’elle ne bloque pas déjà l’utilisation de son nom dans ses mots de passe interne, notre équipe a déjà pu identifier ce type de schéma.

L’analyse de la fuite de données ayant affecté la société Nvidia, mise en évidence dans le rapport 2023 Weak Password, a montré que « nvidia » était la première base des mots de passe au sein de cet ensemble de données compromises et révélées en février 2022. La présence du nom de l’entreprise dans les mots de passe compromis révèle qu’au moment de l’attaque, la société n’avait pas mis en place de dictionnaire personnalisé. Cependant, le point d’entrée de l’attaque restant à ce jour encore inconnu, nous ne pouvons pas en conclure que cela a contribué à l’attaque de février 2022.

Note de l’auteur : Nvidia est une entreprise du Fortune 500 dont le nom apparaît dans les données de mots de passe compromis comme le souligne le rapport 2023 Weak Password ; cependant, le filtre de 8 caractères ou plus appliqué par notre équipe l’a empêché de figurer dans la liste ci-dessus.

Comment identifier les mots de passe compromis comme ceux-ci dans votre réseau ?

La mise à jour d’aujourd’hui du service Breached Password Protection comprend l’ajout de plus de 8,7 millions de mots de passe compromis à la liste utilisée par Specops Password Auditor.

Vous pouvez savoir combien de vos mots de passe sont compromis ou identiques grâce à un scan de Specops Password Auditor. Specops Password Auditor ne stocke pas les données d’Active Directory et n’apporte aucune modification à Active Directory.

Diminuez le risque de réutilisation de vos mots de passe en bloquant leur utilisation initiale

Avec Specops Password Policy et Breached Password Protection, les organisations peuvent empêcher l’utilisation de mots de passe comme ceux-ci et plus de 3 milliards d’autres mots de passe compromis connus. Ces mots de passe compromis comprennent ceux qui sont utilisés dans des attaques réelles en cours ou qui figurent sur des listes de mots de passe compromis connus, ce qui facilite la conformité avec les réglementations de l’industrie comme celles du NIST ou NCSC.

Les systèmes de collecte de données de surveillance des attaques de notre équipe de recherche mettent le service à jour quotidiennement et garantissent que les réseaux sont protégés contre les attaques par mot de passe qui se produisent en ce moment même dans le monde. Le service Breached Password Protection bloque ces mots de passe interdits dans Active Directory avec des messages personnalisables à l’intention des utilisateurs finaux, ce qui permet de réduire les appels au service d’assistance.

Découvrez comment avec une démo ou un essai gratuit.

(Dernière mise à jour le 21/03/2023)

Revenir sur le blog

© 2024 Specops Software. All rights reserved.

Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.

Politique de confidentialité

OK