[ad_1]

Lorsque les utilisateurs normaux d’ordinateurs prennent la mauvaise habitude de recycler les mots de passe, il en résulte le plus souvent une sorte de perte financière. Lorsque les cybercriminels développent la même habitude, cela peut éventuellement leur coûter leur liberté.

Nos mots de passe peuvent en dire long sur nous, et une grande partie de ce qu’ils ont à dire est peu flatteur. Dans un monde où toutes les bases de données – y compris les forums de pirates – sont finalement compromises et divulguées en ligne, il peut être difficile pour les cybercriminels de préserver leur anonymat s’ils ont l’habitude de réutiliser les mêmes mots de passe inhabituels sur plusieurs comptes associés à différents adresses mail.

La longue série Breadcrumbs ici suit comment les cybercriminels se font prendre, et c’est principalement par le biais de connexions étranges entre eux en ligne et hors ligne dispersés sur Internet. Fait intéressant, l’une des connexions les plus courantes implique la réutilisation ou le recyclage des mots de passe sur plusieurs comptes.

Et oui, les pirates voient leurs mots de passe compromis au même rythme que le reste d’entre nous. Ce qui signifie que lorsqu’un forum sur la cybercriminalité est piraté et que ses bases de données d’utilisateurs sont mises en ligne, il est souvent possible de revenir en arrière à partir de certains des mots de passe les plus uniques pour chaque compte et de voir où ce mot de passe a été utilisé.

ÉCRASER LA MOUCHE

De toutes les histoires que j’ai écrites ici au cours des 11 dernières années, celle que l’on me demande le plus de raconter est probablement celle sur Sergueï « Fly » Vovnenkoun Ukrainien qui, en 2013, a élaboré et exécuté un plan pour acheter de l’héroïne sur le dark web, l’expédier chez nous, puis usurper un appel à la police d’un de nos voisins disant que nous faisions du trafic de drogue.

Fly était à l’époque l’administrateur d’un forum sur le vol d’identité en langue russe et, en tant que rôdeur secret sur son forum, BreachTrace a vu son plan se dérouler en temps réel. Comme je l’ai décrit dans un article de 2019 sur une interview que Fly a donnée à une publication russe à sa sortie d’une prison américaine, sa propension à réutiliser son mot de passe l’a finalement conduit dans la pire prison d’Italie pendant plus d’un an avant d’être extradé pour faire face à des accusations. en Amérique.

À peu près au même moment, Fly recevait des dons en bitcoins pour un fonds destiné à acheter de l’héroïne en mon nom, il était également fiancé à une jeune femme. Mais Fly ne faisait apparemment pas entièrement confiance à sa future épouse, il avait donc installé un logiciel malveillant sur son système qui lui transmettait des copies de tous les e-mails qu’elle envoyait et recevait.

Mais Fly commettrait au moins deux grosses erreurs de sécurité opérationnelle dans cet effort d’espionnage : premièrement, il faisait transférer les messages de sa fiancée vers un compte de messagerie qu’il avait utilisé pour de nombreuses informations cybercriminelles liées à ses différentes identités « Fly ».

La deuxième erreur était que le mot de passe de son compte de messagerie était le même que celui de son compte d’administrateur du forum sur la cybercriminalité. Et à son insu à l’époque, ce forum a été piraté, avec toutes les adresses e-mail et les mots de passe hachés exposés.

Bientôt, les enquêteurs ont lu le courrier électronique de Fly, y compris les messages transmis depuis le compte de sa femme qui contenaient des détails sur leurs noces à venir, tels que les adresses de livraison pour leurs articles liés au mariage et le nom complet de la fiancée de Fly. Il n’a pas fallu longtemps pour se concentrer sur l’emplacement de Fly à Naples.

MAUVAIS MOTS DE PASSE COMME BON OPSEC ?

Bien qu’il puisse sembler peu probable qu’un type aussi impliqué dans l’espace de la cybercriminalité puisse commettre de telles erreurs de sécurité de débutant, j’ai découvert qu’un grand nombre de cybercriminels ont en fait une sécurité opérationnelle pire que l’internaute moyen.

D’innombrables fois au fil des ans, j’ai rencontré d’énormes tranches de données précieuses et dangereuses – comme un panneau de contrôle de botnet ou des informations d’identification d’administrateur pour des forums de cybercriminalité – qui étaient pleines de mauvais mots de passe, comme password1 ou 123qweasd (un mot de passe de modèle de clavier incroyablement courant).

Je soupçonne que cela peut être dû au fait que la nature des activités illicites en ligne oblige les cybercriminels à créer un grand nombre de comptes à usage unique ou à usage bref, et en tant que tels, ils ont tendance à réutiliser les informations d’identification sur plusieurs sites, ou à choisir des mots de passe très médiocres, même pour ressources critiques.

Indépendamment de leurs raisons ou de leur absence pour choisir de mauvais mots de passe, il est fascinant qu’en termes de maintien de la sécurité opérationnelle, les cybercriminels profitent réellement de l’utilisation de mauvais mots de passe dans de nombreuses situations.

Par exemple, ce sont souvent les habitants de la cybercriminalité clandestine qui choisissent des mots de passe merdiques pour leurs comptes de forum qui finissent par se rendre service lorsque le forum est finalement piraté et que sa base de données d’utilisateurs est mise en ligne.

QUELQUES CONSEILS POUR TOUS

Ça pue vraiment que nous soyons à la mi-2021 et que nous soyons toujours aussi dépendants des mots de passe. Mais tant que c’est le cas, j’espère qu’il est clair que le choix le plus intelligent pour tous les internautes est de choisir des mots de passe uniques pour chaque site. Les principaux navigateurs Web proposeront désormais automatiquement des mots de passe longs, complexes et uniques lorsque les utilisateurs créeront un nouveau compte quelque part en ligne, et c’est évidemment le moyen le plus simple d’atteindre cet objectif.

Les gestionnaires de mots de passe sont idéaux pour les personnes qui ne peuvent pas rompre avec l’habitude de réutiliser les mots de passe, car vous n’avez qu’à vous souvenir d’un mot de passe principal (fort) pour accéder à toutes vos informations d’identification stockées.

Si vous ne faites pas confiance aux gestionnaires de mots de passe et que vous avez du mal à vous souvenir des mots de passe complexes, envisagez plutôt de vous fier à la longueur du mot de passe, qui est un facteur beaucoup plus important pour savoir si un mot de passe donné peut être déchiffré par les outils disponibles dans un délai raisonnablement utile à un attaquant.

Dans cette veine, il est plus sûr et plus sage de se concentrer sur la sélection de phrases secrètes plutôt que sur des mots de passe. Les phrases de passe sont des collections de plusieurs mots (idéalement sans rapport) mélangés ensemble. Les phrases secrètes ne sont pas seulement généralement plus sûres, elles ont également l’avantage supplémentaire d’être plus faciles à mémoriser. Leur principale limitation est que d’innombrables sites vous obligent encore à ajouter des caractères spéciaux et à imposer des limites arbitraires aux possibilités de longueur de mot de passe.

Enfin, il n’y a absolument rien de mal à écrire vos mots de passe, à condition a) que vous ne les stockiez pas dans un fichier sur votre ordinateur ou sur votre ordinateur portable, et b) que votre carnet de mots de passe soit stocké dans un endroit relativement sécurisé, c’est-à-dire pas dans votre sac à main ou une voiture, mais quelque chose comme un tiroir verrouillé ou un coffre-fort.

Lectures complémentaires : Qui se cache derrière le rançongiciel GandCrab ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *