in

99,9% des comptes Microsoft piratés n’utilisent pas 2FA

Photos VDB / Shutterstock

L’authentification à deux facteurs (2FA) est la méthode la plus efficace pour empêcher l’accès non autorisé à un compte en ligne. Besoin de convaincre encore? Jetez un œil à ces chiffres époustouflants de Microsoft.

Les chiffres difficiles

En février 2020, Microsoft a donné une présentation au Conférence RSA intitulé «Rompre les dépendances des mots de passe: les défis du dernier kilomètre chez Microsoft». Toute la présentation était fascinante si vous souhaitez savoir comment sécuriser les comptes d’utilisateurs. Même si cette pensée engourdit votre esprit, les statistiques et les chiffres présentés étaient incroyables.

Microsoft suit chaque mois plus d’un milliard de comptes actifs, ce qui près d’un huitième de la population mondiale. Ceux-ci génèrent plus de 30 milliards d’événements de connexion mensuels. Chaque connexion à un compte d’entreprise O365 peut générer plusieurs entrées de connexion sur plusieurs applications, ainsi que des événements supplémentaires pour d’autres applications qui utilisent O365 pour la connexion unique.

Si ce nombre semble grand, gardez à l’esprit que Microsoft arrête chaque jour 300 millions de tentatives de connexion frauduleuses. Encore une fois, ce n’est pas par an ou par mois, mais par 300 millions.

En janvier 2020, 480 000 comptes Microsoft, soit 0,048% de tous les comptes Microsoft, ont été compromis par des attaques par pulvérisation. C’est à ce moment qu’un attaquant exécute un mot de passe commun (comme «Spring2020!») Contre des listes de milliers de comptes, dans l’espoir que certains d’entre eux auront utilisé ce mot de passe commun.

Les sprays ne sont qu’une forme d’attaque; des centaines et des milliers d’autres ont été causés par le bourrage d’informations d’identification. Pour les perpétuer, l’attaquant achète des noms d’utilisateur et des mots de passe sur le dark web et les essaie sur d’autres systèmes.

Ensuite, il y a le phishing, c’est-à-dire lorsqu’un attaquant vous convainc de vous connecter à un faux site Web pour obtenir votre mot de passe. Ces méthodes sont la façon dont les comptes en ligne sont généralement «piratés», dans le langage courant.

Au total, plus d’un million de comptes Microsoft ont été violés en janvier. Cela représente un peu plus de 32 000 comptes compromis par jour, ce qui semble mauvais jusqu’à ce que vous vous souveniez des 300 millions de tentatives de connexion frauduleuses arrêtées par jour.

Mais le chiffre le plus important de tous est que 99,9% de toutes les violations de compte Microsoft auraient été arrêtées si les comptes avaient une authentification à deux facteurs activée.

Qu’est-ce que l’authentification à deux facteurs?

Pour rappel, l’authentification à deux facteurs (2FA) nécessite une méthode supplémentaire pour authentifier votre compte plutôt qu’un simple nom d’utilisateur et mot de passe. Cette méthode supplémentaire est souvent un code à six chiffres envoyé sur votre téléphone par SMS ou généré par une application. Vous tapez ensuite ce code à six chiffres dans le cadre de la procédure de connexion de votre compte.

L’authentification à deux facteurs est un type d’authentification multifacteur (MFA). Il existe également d’autres méthodes MFA, notamment les jetons USB physiques que vous connectez à votre appareil ou des analyses biométriques de votre empreinte digitale ou de votre œil. Cependant, un code envoyé à votre téléphone est de loin le plus courant.

Cependant, l’authentification multifactorielle est un terme large – un compte très sécurisé peut nécessiter trois facteurs au lieu de deux, par exemple.

Est-ce que 2FA aurait stoppé les violations?

Dans les attaques par pulvérisation et le bourrage d’informations d’identification, les attaquants ont déjà un mot de passe – il leur suffit de trouver les comptes qui l’utilisent. Avec le phishing, les attaquants ont à la fois votre mot de passe et votre nom de compte, ce qui est encore pire.

Si l’authentification multifacteur avait été activée sur les comptes Microsoft qui ont été violés en janvier, le simple fait d’avoir le mot de passe n’aurait pas suffi. Le pirate informatique aurait également eu besoin d’accéder aux téléphones de ses victimes pour obtenir le code MFA avant de pouvoir se connecter à ces comptes. Sans le téléphone, l’attaquant n’aurait pas pu accéder à ces comptes et ils n’auraient pas été violés.

Si vous pensez que votre mot de passe est impossible à deviner et que vous ne serez jamais victime d’une attaque de phishing, plongeons-nous dans les faits. Selon Alex Weinart, architecte principal chez Microsoft, votre mot de passe réellement n’a pas tellement d’importance lorsqu’il s’agit de sécuriser votre compte.

Cela ne s’applique pas uniquement aux comptes Microsoft: chaque compte en ligne est tout aussi vulnérable s’il n’utilise pas l’authentification multifacteur. Selon Google, MFA s’est arrêté à 100% d’attaques automatisées de robots (attaques par pulvérisation, bourrage d’informations d’identification et méthodes automatisées similaires).

Si vous regardez en bas à gauche du tableau de recherche de Google, la méthode «Clé de sécurité» était efficace à 100% pour arrêter les bot automatisés, le phishing et les attaques ciblées.

"Taux de prévention de la reprise de compte par type de défi."Google

Alors, quelle est la méthode «Security Key»? Il utilise une application sur votre téléphone pour générer un code MFA.

Bien que la méthode «SMS Code» soit également très efficace – et c’est absolument mieux que de ne pas avoir de MFA du tout – une application est encore meilleure. Nous recommandons Authy, car il est gratuit, facile à utiliser et puissant.

Comment activer 2FA pour tous vos comptes

Vous pouvez activer 2FA ou un autre type de MFA pour la plupart des comptes en ligne. Vous trouverez le paramètre à différents endroits pour différents comptes. En règle générale, cependant, il se trouve dans le menu des paramètres du compte sous « Compte » ou « Sécurité ».

Heureusement, nous avons des guides qui expliquent comment activer l’authentification multifacteur pour certains des sites Web et des applications les plus populaires:

MFA est le moyen le plus efficace de sécuriser vos comptes en ligne. Si vous ne l’avez pas encore fait, prenez le temps de l’activer dès que possible, en particulier pour les comptes critiques, comme les e-mails et les services bancaires.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Comment réparer les 10 plus gros désagréments de Windows

Comment réparer les 10 plus gros désagréments de Windows

L’écran de mon iPhone ou de mon iPad ne pivote pas. Comment je le répare?