Agence web » Actualités du digital » 99,9% des comptes Microsoft piratés n'utilisent pas 2FA

99,9% des comptes Microsoft piratés n'utilisent pas 2FA

ParTremplin Numérique Publié le

L'authentification à deux facteurs (2FA) est la méthode la plus efficace pour empêcher l'accès non autorisé à un compte en ligne. Besoin de convaincre? Jetez un œil à ces chiffres à couper le souffle de Microsoft.

Les chiffres difficiles

En février 2020, Microsoft a fait une présentation à la conférence RSA intitulée «Breaking Password Dependencies: Challenges in the Final Mile at Microsoft». L'ensemble de la présentation était fascinant si vous souhaitez savoir comment sécuriser les comptes d'utilisateurs. Même si cette pensée engourdit votre esprit, les statistiques et les chiffres présentés étaient incroyables.

Microsoft suit chaque mois plus d’un milliard de comptes actifs, soit près d’un huitième de la population mondiale. Ceux-ci génèrent plus de 30 milliards d'événements de connexion mensuels. Chaque connexion à un compte d'entreprise O365 peut générer plusieurs entrées de connexion sur plusieurs applications, ainsi que des événements supplémentaires pour d'autres applications qui utilisent O365 pour la connexion unique.

Si ce nombre semble important, gardez à l'esprit que Microsoft arrête chaque jour 300 millions de tentatives de connexion frauduleuses. Encore une fois, ce n’est pas par an ou par mois, mais par 300 millions par jour.

En janvier 2020, 480 000 comptes Microsoft, soit 0,048% de tous les comptes Microsoft, ont été compromis par des attaques par pulvérisation. C'est quand un attaquant exécute un mot de passe commun (comme «Spring2020!») Contre des listes de milliers de comptes, dans l'espoir que certains d'entre eux auront utilisé ce mot de passe commun.

Les sprays ne sont qu'une forme d'attaque; des centaines et des milliers d'autres ont été causés par le bourrage d'informations d'identification. Pour les perpétuer, l'attaquant achète des noms d'utilisateur et des mots de passe sur le dark web et les essaie sur d'autres systèmes.

Ensuite, il y a le phishing, c'est-à-dire lorsqu'un pirate vous convainc de vous connecter à un faux site Web pour obtenir votre mot de passe. Ces méthodes sont la façon dont les comptes en ligne sont généralement «piratés», dans le langage courant.

Au total, plus d'un million de comptes Microsoft ont été violés en janvier. Cela représente un peu plus de 32 000 comptes compromis par jour, ce qui semble mauvais tant que vous ne vous souvenez pas des 300 millions de tentatives de connexion frauduleuses arrêtées par jour.

Mais le chiffre le plus important de tous est que 99,9% de toutes les violations de compte Microsoft auraient été arrêtées si les comptes avaient activé l'authentification à deux facteurs.

Qu'est-ce que l'authentification à deux facteurs?

Pour rappel, l'authentification à deux facteurs (2FA) nécessite une méthode supplémentaire pour authentifier votre compte plutôt qu'un simple nom d'utilisateur et mot de passe. Cette méthode supplémentaire est souvent un code à six chiffres envoyé sur votre téléphone par SMS ou généré par une application. Vous saisissez ensuite ce code à six chiffres dans le cadre de la procédure de connexion de votre compte.

L'authentification à deux facteurs est un type d'authentification multifacteur (MFA). Il existe également d'autres méthodes MFA, notamment les jetons USB physiques que vous branchez sur votre appareil ou des analyses biométriques de votre empreinte digitale ou de votre œil. Cependant, un code envoyé à votre téléphone est de loin le plus courant.

Cependant, l'authentification multifactorielle est un terme large – un compte très sécurisé peut nécessiter trois facteurs au lieu de deux, par exemple.

Est-ce que 2FA aurait stoppé les violations?

Dans les attaques par pulvérisation et le bourrage d'informations d'identification, les attaquants ont déjà un mot de passe – il leur suffit de trouver les comptes qui l'utilisent. Avec le phishing, les attaquants ont à la fois votre mot de passe et votre nom de compte, ce qui est encore pire.

Si l'authentification multifacteur avait été activée pour les comptes Microsoft qui ont été violés en janvier, le simple fait d'avoir le mot de passe n'aurait pas été suffisant. Le pirate informatique aurait également eu besoin d'accéder aux téléphones de ses victimes pour obtenir le code MFA avant de pouvoir se connecter à ces comptes. Sans le téléphone, l'attaquant n'aurait pas été en mesure d'accéder à ces comptes et ils n'auraient pas été violés.

Si vous pensez que votre mot de passe est impossible à deviner et que vous ne serez jamais victime d’une attaque de phishing, plongeons dans les faits. Selon Alex Weinart, architecte principal chez Microsoft, votre mot de passe n'a pas vraiment d'importance lorsqu'il s'agit de sécuriser votre compte.

Cela ne s'applique pas uniquement aux comptes Microsoft: chaque compte en ligne est tout aussi vulnérable s'il n'utilise pas l'authentification multifacteur. Selon Google, MFA a arrêté 100% des attaques de robots automatisées (attaques par pulvérisation, bourrage d'informations d'identification et méthodes automatisées similaires).

Si vous regardez en bas à gauche du tableau de recherche de Google, la méthode "Clé de sécurité" a été efficace à 100% pour arrêter les bot automatisés, le phishing et les attaques ciblées.

Alors, quelle est la méthode «Security Key»? Il utilise une application sur votre téléphone pour générer un code MFA.

Bien que la méthode "SMS Code" soit également très efficace – et c'est absolument mieux que de ne pas avoir d'authentification multifacteur du tout – une application est encore meilleure. Nous recommandons Authy, car il est gratuit, facile à utiliser et puissant.

Comment activer 2FA pour tous vos comptes

Vous pouvez activer 2FA ou un autre type de MFA pour la plupart des comptes en ligne. Vous trouverez le paramètre à différents endroits pour différents comptes. En général, cependant, il se trouve dans le menu des paramètres du compte sous "Compte" ou "Sécurité".

Heureusement, nous avons des guides qui expliquent comment activer l'authentification multifacteur pour certains des sites Web et des applications les plus populaires:

MFA est le moyen le plus efficace de sécuriser vos comptes en ligne. Si vous ne l'avez pas encore fait, prenez le temps de l'activer dès que possible, en particulier pour les comptes critiques, comme les e-mails et les services bancaires.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.