Passer au contenu

Norton : des milliers de comptes piratés, les mots de passe dans la nature

Norton, l’entreprise derrière le célèbre antivirus, a annoncé à ses clients que leur compte a été compromis au cours des dernières semaines. Une faille de sécurité qui a également permis aux pirates d’accéder au gestionnaire de mot de passe proposé par la marque.

Dans un message adressé à ses clients, Gen Digital, la société mère de Norton LifeLock, a déclaré avoir été la cible d’une attaque de « credential stuffing ». Les comptes Norton ainsi que les gestionnaires de mot de passe ont ainsi été compromis.

Un simple « bourrage d’identifiants »

Plutôt que de s’attaquer aux systèmes de l’entreprise, les pirates ont tout simplement utilisé la méthode du « credential stuffing », ou « bourrage d’identifiants ». Une technique simple qui consiste à utiliser des informations d’identification précédemment volées, sur le Dark Web par exemple, pour pénétrer dans d’autres comptes utilisant les mêmes mots de passe.

Un procédé qui fonctionne toujours dans la mesure où les utilisateurs sont nombreux à avoir un seul mot de passe, y compris ceux qui ont un gestionnaire de mot de passe comme celui de Norton. Malheureusement, les pirates peuvent trouver facilement le mot de passe principal, qui est potentiellement réutilisé partout.

« Nous ne pouvons pas exclure que le tiers non autorisé ait également obtenu des détails stockés [dans Norton Password Manager], en particulier si votre clé Password Manager est identique ou très similaire au mot de passe de votre compte Norton. » – Gen Digital / Norton

C’est à ce moment-là que l’authentification double facteur entre en jeu. En effet, elle empêche des attaquants d’accéder aux comptes de quelqu’un avec uniquement son mot de passe.

Le 12 décembre dernier, les systèmes de l’entreprise ont détecté un nombre anormalement élevé d’échecs de connexion, sonnant l’alerte de tentatives d’effraction par des personnes tierces qui auraient compromis certains comptes depuis le 1er décembre. Dans sa notice d’information envoyée à environ 6450 clients, Gen Digital précise :

« En accédant à votre compte avec votre nom d’utilisateur et votre mot de passe, le tiers non autorisé peut avoir vu votre prénom, votre nom, votre numéro de téléphone et votre adresse postale. »

A la fin 2022, c’est le géant du gestionnaire de mot de passe Lastpass qui a confirmé avoir été victime d’un hack, laissant échapper les données personnelles de ses utilisateurs.

Encore et toujours les mots de passe…

Comme nous l’avons rapporté à plusieurs reprises, les mots de passe les plus utilisés sont toujours trop faibles. Ajoutez à cela le fait que tous les utilisateurs n’activent pas la double authentification, et vous avez des comptes auxquels les pirates peuvent accéder avec une facilité déconcertante. Utiliser un bon gestionnaire de mot de passe est toujours recommandé par les experts en sécurité, mais à condition de configurer un mot de passe principal fort qui n’est réutilisé sur aucun autre compte.

Roger Grimes, évangéliste de la défense des données chez KnowBe4, résume parfaitement la situation :

« Les gestionnaires de mots de passe créent des mots de passe forts et parfaitement aléatoires qui sont quasiment impossibles à deviner et à déchiffrer. L’attaque ici semble être que les utilisateurs ont eux-mêmes créé et utilisé des mots de passe faibles pour protéger leur compte de connexion Norton qui protégeait également leur gestionnaire de mots de passe Norton. »

La sécurité des utilisateurs ne viendra peut-être pas d’une prise de conscience générale, mais de la fin des mots de passe qui pourraient être remplacés par des « clés d’accès ».

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Dark Reading


Votre opinion
  1. Moi je veux bien un mot de passe “fort”. Mais j’en fais quoi ? Noté sur un post-it collé sur le coté de l’écran ? Dans le porte feuille sur le papier où il a le code de la Carte Bleue ?

    1. Un mot de passe fort facile à retenir, tu construit une phrase, genre :

      J@imeLeSaucisson2Porc+DuBeurre

      Une fois apprise et répétée, ca se retient bien 🙂

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *