Flexible Security for Your Peace of Mind

L’Agence Nationale contre le Crime (NCA) du Royaume-Uni découvre 585 millions de mots de passe compromis sur un serveur de stockage dans le cloud

Specops Software a annoncé aujourd’hui l’ajout de plus de 230 millions de mots de passe compromis à sa base de données Breached Password Protection. Ces nouvelles données proviennent à la fois de ses propres systèmes internes de surveillance des attaques et de centaines de millions de mots de passe compromis récemment découverts par l’Agence Nationale contre le Crime (NCA) du Royaume-Uni.

La NCA a annoncé en décembre qu’elle avait trouvé 585 millions de mots de passe compromis dans un serveur de stockage en cloud au Royaume-Uni. Comme aucune des données ne pouvait être attribuée à une seule entreprise ou plateforme, l’agence a fait appel à Have I Been Pwned (HIBP) afin de rendre publiques les données compromises. Sur ces 585 millions de mots de passe, environ 225 millions étaient nouveaux pour la base de données HIBP.

« Cette mise à jour est un événement majeur » a déclaré Darren James, spécialiste Produits chez Specops Software. « Cela montre que les entités gouvernementales sont de plus en plus nombreuses à comprendre le danger d’informations d’identification corrompues et le risque qu’elles représentent pour les particuliers et les entreprises. »

La NCA a déclaré ceci au sujet de l’ensemble de données découvert :

«Au cours d’une récente activité opérationnelle de la NCA, l’équipe Mitigation@Scale de la NCCU a pu identifier une énorme quantité d’informations d’identification potentiellement compromises (e-mails et mots de passe associés) dans une installation de stockage en cloud compromise. L’analyse a montré que ces informations d’identification étaient une accumulation d’ensembles de données connus et inconnus ayant fait l’objet de violations.

Les informations d’identification ne pouvant être attribuées à aucune entreprise ou plateforme, la NCCU s’est adressée à Troy Hunt, PDG et créateur du site web « Have I Been Pwned » (HIBP). L’équipe Mitigation@Scale de la NCCU a comparé les données compromises au référentiel de mots de passe du HIBP afin d’identifier tous les mots de passe inédits se trouvant désormais dans le domaine public.

Grâce à cela, plus de 225 millions de mots de passe compromis, jusque-là inconnus par HIBP, ont été fournis par la NCA à HIBP pour qu’il les intègre dans sa base de données de mots de passe, permettant aux particuliers et aux entreprises du monde entier de vérifier le risque de sécurité d’un mot de passe avant de l’utiliser, soutenant ainsi la mission de la NCA de protéger le public de la cybercriminalité. »  (troyhunt.com)

L’équipe de Specops a analysé l’ensemble de données contenant environ 225 millions de mots de passe, caractérisés par les aspects suivants :

Les phrases secrètes ou phrases de passe ne sont pas les plus répandues. Notre équipe a comparé les occurrences de « 3 mots aléatoires (minimum) » trouvées dans les données de mots de passe et a constaté que 0,00048 % des données de mots de passe britanniques répondaient à notre critère de « phrase de passe », contre 0,03987 % pour l’ensemble de la base de données HIBP.

74 % des mots de passe ont 12 caractères ou moins. Exiger des mots de passe de plus de 12 caractères permettrait de protéger la majorité de cet ensemble de données, ce que notre équipe avait déjà constaté a l’occasion d’études antérieures.

Plus de 80 % des mots de passe figurant dans ces données ne comportent aucun caractère spécial, ce qui correspond à la tendance de la disparition de la complexité des mots de passe comme impératif lors de leur création.

L’équipe a également examiné les mots de passe les plus courants parmi ceux trouvés dans l’ensemble de données.

Les 10 premiers mots de passe dans les données NCA sont les suivants :

  1. xiaonei
  2. alex
  3. qwerty
  4. dima
  5. qwer
  6. anna
  7. mama
  8. love
  9. sasha
  10. vlad

«Xiaoeni» a été trouvé plus de 498 000 fois comme mot de passe de base dans l’ensemble de données NCA. Cet ensemble de mots de base est différent de l’analyse précédente des mots de base que notre équipe a effectuée sur d’autres fuites de données, mais indique qu’au moins une partie de cet ensemble de données pourrait être liée au réseau social chinois désormais connu sous le nom de Renren.

« Nous constatons que les pirates contournent à nouveau les exigences de complexité ou de longueur en s’attaquant à des mots de passe dont ils savent qu’ils pourraient être réutilisés sur votre réseau », a déclaré Darren James. « Un mot de passe long ou complexe, une fois violé, ne donne aucune protection supplémentaire par rapport à la simple utilisation de « password ». C’est pourquoi il est si important pour les organisations de se protéger contre la réutilisation des mots de passe corrompus. »

Vous pouvez savoir combien de vos utilisateurs Active Directory utilisent des mots de passe compromis en exécutant une analyse gratuite en lecture seule avec Specops Password Auditor.

Pour en savoir plus et le télécharger, cliquez ici.

Avec Specops Password Policy et Breached Password Protection, les entreprises peuvent bloquer plus de 3 milliards de mots de passe compromis dans Active Directory. Les mots de passe compromis comprennent ceux qui sont utilisés dans des attaques réelles en cours ou qui figurent sur des listes de mots de passe corrompus connues – comme la base de données complète des mots de passe HIBP – ce qui permet de se conformer facilement aux réglementations du secteur telles que le NIST ou le NCSC.

Les systèmes de surveillance des attaques de notre équipe de recherche mettent le service à jour quotidiennement et garantissent que les réseaux sont protégés contre les attaques par mot de passe du monde réel qui se produisent en ce moment même. Le service Breached Password Protection bloque ces mots de passe interdits dans Active Directory et envoie un message personnalisable pour l’utilisateur final qui permet de réduire les appels au helpdesk.

(Dernière mise à jour le 25/05/2022)

Revenir sur le blog