Flexible Security for Your Peace of Mind

[Nouvelle étude] Le golf remporte l’or : le terme apparaît dans plus de 40 000 mots de passe compromis relatifs aux sports olympiques 

Auteur: Marcus White

L’équipe de recherche de Specops publie aujourd’hui de nouvelles données sur les utilisateurs finaux qui choisissent leurs loisirs sportifs comme mots de passe. Inspirés par les Jeux olympiques de Paris 2024, nous avons examiné les mots de passe frauduleux qui contiennent des termes relatifs aux sports de cet événement sportif mondial. Cette initiative fait suite à l’analyse de la surface d’attaque de l’infrastructure en ligne des Jeux olympiques de Paris réalisée par Outpost24, la société mère de Specops.

Cette étude coïncide également avec l’ajout récent de plus de 122 millions de mots de passe compromis au service Specops Breached Password Protection.

Au total, notre équipe de recherche a détecté 157 048 mots de passe relatifs au sport ayant été volés par des logiciels malveillants sur le site au cours des 12 derniers mois. Il s’agit là de mots de passe réellement choisis par des utilisateurs finaux au sein d’organisations existantes. Tous représentent une opportunité pour un pirate d’obtenir un accès non autorisé à un système d’entreprise.

Darren James, Senior Product Manager chez Specops Software, déclare à propos des résultats : « On pourrait penser que peu de gens utilisent leur sport favori comme mot de passe, mais ces données montrent le contraire. La plupart des utilisateurs finaux savent qu’ils ne doivent pas utiliser leur anniversaire, le nom de leurs enfants ou même celui de leur animal de compagnie comme mot de passe, car il est facile pour les pirates de prendre connaissance de ces informations. Cependant, ils se tourneront souvent vers quelque chose de familier et de facilement mémorisable. L’utilisation d’un passe-temps, d’un titre de film ou du nom de votre musicien favori comme mot de passe comporte également des risques. »

Les termes golf et football se retrouvent dans les mots de passe liés au sport les plus compromis

Au total, nous avons trouvé 157 048 mots de passe volés utilisant des termes relatifs aux 32 sports pratiqués lors des Jeux olympiques de cet été. Le mot golf est celui qui caracole en tête dans les mots de passe les plus compromis, avec un total de 40 294 occurrences. Ce chiffre est presque deux fois plus élevé que celui du terme football, qui arrive en deuxième position avec un total de 20 550 mots de passe compromis. Tous les mots de passe étudiés étaient déjà compromis, de sorte que les organisations risquent une violation si des pirates parviennent à relier les mots de passe à un utilisateur final et à son lieu de travail.

Il est également courant que les utilisateurs finaux réutilisent leurs mots de passe, il y a donc de fortes chances que ces mots de passe compromis soient utilisés dans plusieurs applications. Nombre d’entre eux seront probablement utilisés comme mots de passe Active Directory, ce qui représente un risque sérieux. Tous les mots de passe compromis découverts dans le cadre de cette études seront ajoutés à la base de données de Specops, qui contient plus de 4 milliards de mots de passe compromis connus, que nous vérifions dans les environnements Active Directory de nos clients.

Terme sportif de baseNombre de mots de passe volés
Golf40,294
Football20,550
Hockey9,647
Basketball8,062
Tennis7,739
Rugby6,193
Boxe2,945
Surf2,056
Badminton1,783
Natation1,594

Voici quelques exemples de mots de passe sur le thème du golf apparus comme ayant été compromis. Vous pouvez constater que, dans de nombreux cas, les personnes ont ajouté des chiffres ou des lettres majuscules pour satisfaire aux exigences minimales en matière de sécurité des mots de passe, et qu’elles suivent le schéma prévisible d’une seule majuscule, d’un terme de base assez commun (dans ce cas, le golf), puis d’un chiffre ou d’un caractère spécial. Ces mots de passe sont très faciles à déchiffrer. Si vous disposez d’une liste de blocage, vous pouvez envisager d’y ajouter ces mots de passe.

Exemples de mots de passe compromis relatifs au domaine du golf
golf1332golfer559
1Amgolfergolfonline99
Ilovegolf4Golfer1234
Golf123Golferboy1
Ggolfing55golflove1
golfinho1!Golfpro1
golf3434123golfgolf

Détectez plus de mots de passe compromis sur votre réseau

La mise à jour d’aujourd’hui du service de notre Breached Password Protection comprend l’ajout de plus de 30 millions de mots de passe compromis connus à la liste utilisée par Specops Password Auditor. Vous pouvez découvrir combien de ces mots de passe compromis sont actuellement utilisés par vos utilisateurs finaux grâce à un scan rapide de votre Active Directory avec notre outil d’audit gratuit : Specops Password Auditor.

Specops Password Auditor fonctionne en lecture seule et ne stocke pas les données d’Active Directory. Il n’apporte pas non plus de modification à Active Directory. Vous obtiendrez un rapport exportable, facile à comprendre, détaillant les vulnérabilités liées aux mots de passe qui pourraient être utilisées comme points d’entrée par les attaquants. Téléchargez Specops Password Auditor gratuitement ici.

Aider les utilisateurs finaux à créer des mots de passe plus forts

Les mots de passe faibles et faciles à deviner, qui s’appuient sur des termes tels que le sport préféré d’une personne, sont très vulnérables aux attaques par force brute et par dictionnaire hybride. Les pirates utilisent des termes de base courants pour accélérer considérablement leur processus de découverte des mots de passe faibles. Lorsqu’ils ciblent une personne en particulier, ils peuvent également utiliser les réseaux sociaux pour réduire le nombre de mots de passe potentiels. Dans le cas qui nous intéresse ici, ils peuvent facilement y découvrir qu’une personne est un golfeur passionné. Consultez notre guide pour aider les utilisateurs finaux à créer une passphrase forte ici

Recherche permanente de mots de passe faibles ou compromis

Il va de soi que les entreprises souhaitent que tous leurs mots de passe Active Directory soient robustes. Cependant, il est également important de garder à l’esprit que les mots de passe étudiés ont été volés par des logiciels malveillants. Même les mots de passe forts peuvent être volés. Cela souligne l’importance de pouvoir scanner en permanence votre Active Directory pour détecter les menaces de compromission de mots de passe.

Specops Password Policy avec Breached Password Protection protège vos utilisateurs finaux contre l’utilisation de plus de 4 milliards de mots de passe uniques compromis, incluant des données provenant de fuites connues ainsi que de notre propre système honeypot qui collecte les mots de passe utilisés dans des attaques par pulvérisation de mots de passe réels. Notre fonction de scan continu vérifie une fois par jour parmi tous les mots de passe d’Active Directory si certains sont compromis en les confrontant à l’API Breached Password Protection – l’API est mise à jour quotidiennement avec les mots de passe compromis récemment découverts grâce à notre système honeypot de mots de passe, ainsi qu’avec les fuites de mots de passe nouvellement découvertes lorsqu’elles se produisent.

Vous souhaitez découvrir comment Specops Password Policy pourrait s’adapter à votre organisation ? Vous avez des questions sur la manière cette méthode pourrait répondre à vos besoins ? Contactez-nous et découvrez comment elle fonctionne à l’aide d’une démo ou d’un essai gratuit.

(Dernière mise à jour le 23/10/2024)

Revenir sur le blog