ADRESSES E-MAILS DES DIRIGEANTS D ENTREPRISE : LE DANGER DES FUITES DE MOTS DE PASSE
Introduction Les mots de passe sont devenus le fléau de notre existence numérique. Nous utilisons tant de comptes et de services différents que mémoriser tous nos mots de passe tient désormais du défi. Ce constat est également valable en environnement professionnel : pour mener à bien nos différentes activités, nous sommes contraints de souscrire à de nombreux services. La presse fait régulièrement état de violations de données, qui nous rappellent que ces comptes restent très vulnérables. Nous avons presque tous déjà souscrit à un service, sans savoir qu il subirait plus tard une violation de données... Résultat : nos noms, nos identifiants et peut-être même certains de nos secrets ont fuité et sont désormais accessibles aux pirates. F-Secure a récemment mené une étude sur les dirigeants d entreprise afin de déterminer si leur adresse e-mails professionnelle était associée à des services/sites corrompus. Nous avons utilisé les adresses e-mails connues de plus de 200 CEO de grandes organisations, dans 10 pays différents. Tous travaillaient pour la même entreprise depuis au moins cinq ans. Nous avons ensuite comparé ces adresses à la base de données de F-Secure répertoriant les e-mails divulgués, suite à des violations de données visant des services en lignes. Voici les résultats : Près d un tiers (30%) des CEO ont utilisé leur adresse e-mails professionnelle pour souscrire à un service qui a ensuite fait l objet d une violation de données : les pirates ont ainsi obtenu le mot de passe utilisé pour ce service, ainsi que d autres informations à caractère personnel. Les services ayant déjà subi une violation de données et répertoriant le plus d adresses professionnelles de dirigeants d entreprise sont LinkedIn et Dropbox. 81 % des CEO sont concernés par des violations de données (adresse e-mails et divers renseignements personnels). Ces données ont été divulguées suite à la publication de listes de spams ou de bases de données marketing piratées. Seuls 18 % des CEO possèdent une adresse e-mail n ayant pas encore fait l objet d une fuite de données Ces résultats montrent à quel point il est essentiel d opter pour des mots de passe suffisamment complexes, différents pour chaque compte en ligne. Réutiliser le même mot de passe pour différents services s avère en effet particulièrement risqué. Lorsque des services sont piratés, les mots de passe des utilisateurs peuvent fuiter et être utilisés à tout moment par des hackers, pour tenter d accéder à d autres services. Pour décrire ce phénomène, les anglophones utilisent le verbe Pwn. Pwn (verbe) : dominer son adversaire ; corrompre, contrôler ou obtenir un accès illégal à un appareil, un serveur ou une application. 2
Résultats généraux 30 % Fuites associées à des services piratés (violation de données) 81 % 18 % Divulgation des e-mails des dirigeants d entreprise 30 % des CEO sont concernés par la fuite d un mot de passe, suite à une violation de données. Ce pourcentage est, de fait, plus élevé dans les secteurs recourant davantage aux services en ligne. Les CEO d entreprises informatiques, par exemple, se dirigent plus volontiers vers ce type de services : 63 % d entre eux sont inscrits à au moins un service ayant subi une violation de données. Le service ayant déjà subi une violation de données et répertoriant le plus d adresses professionnelles de dirigeants d entreprise est, sans surprise, le site de réseautage professionnel LinkedIn, suivi par Dropbox, Adobe et Myspace. 53 % 18 % 3 % 3 % 3 % 2 % 2 % 2 % 12 % LinkedIn Dropbox Adobe Myspace AstroPID Disqus Eroticy NetEase Autres* Services piratés (violation de données) pour lesquels les CEO utilisaient comme identifiant leur adresse e-mails. L examen de ces résultats doit toutefois être relativisé : il est nécessaire de prendre en compte la possibilité qu un individu ait pu s inscrire à un service web, en utilisant l adresse e-mail de quelqu un d autre. Tout dépend donc du process de stockage des adresses e-mails non vérifiées, par les services concernés. 3
Résultats par pays Au Danemark (62 %) et aux Pays-Bas (43 %), les dirigeants d entreprises sont particulièrement nombreux à avoir souscrit, avec leur adresse e-mails professionnelle, à un service piraté. À l inverse, au Japon, ils ne sont que 9%. 62 % 40 % 27 % 43 % 27 % 38 % 13 % 10 % 9 % 14 % Danemark Finlande France Allemagne Italie Japon Pays-Bas Suède Gr. Bretagne États-Unis CEO utilisant des services corrompus, par pays Les informations personnelles (adresses physiques, date de naissance, numéros de téléphone) de ces dirigeants sont également susceptibles d apparaître sur des listes de spam ou des bases de données marketing piratées. 81% des dirigeants sont concernés. Cette tendance est particulièrement prononcée au Royaume-Uni, aux États- Unis, aux Pays-Bas et en France. L Italie et le Japon, à l inverse, les chiffres sont moins importants. 86% 91 % 81 % 95 % 77 % 95 % 95 % 65 % 50 % 45 % Danemark Finlande France Allemagne Italie Japon Pays-Bas Suède Gr. Bretagne États-Unis CEO concernés par la publication d informations personnelles (listes de spams et autres), par pays 4
Rares sont les CEO dont l adresse e-mails professionnelle n a encore jamais fait l objet d une fuite de données ou d un piratage : ils ne sont que 18 %. Le Japon apparaît comme le meilleur élève (55 %), suivi par l Italie (41 %). À l inverse, seuls 4 % des CEO français utilisent une adresse e-mail exempte de toute fuite de données. Au Royaume-Uni, aux États-Unis et aux Pays-Bas, ils sont 5%. 55 % 35 % 41 % 14 % 4 % 19 % 23 % 5 % 5 % 5 % Danemark Finlande France Allemagne Italie Japon Pays-Bas Suède Gr. Bretagne États-Unis Adresses e-mails de CEO exemptes de toute fuite de données, par pays 5
Conclusions Est-il recommandé aux dirigeants d entreprises de se connecter à des services tels que LinkedIn et Dropbox, à partir de leur adresse e-mails professionnelle? Erka Koivunen, Chief Information Security Officer chez F-Secure, affirme que, du point de vue de la cyber sécurité, cette pratique peut s avérer légitime, mais seulement lorsque le service en question est utilisé pour représenter l entreprise, ou à des fins commerciales. D après Koivunen, l utilisation d une adresse e-mails privée, inconnue du public, peut s avérer dans un premier temps stratégique, lorsque le pirate est en phase de reconnaissance. En effet, les hackers les plus opportunistes ne prendront pas la peine de s intéresser aux comptes personnels. Mais ce type de stratégie n arrêtera pas les pirates plus déterminés. «Lorsqu un CEO utilise une adresse e-mails personnelle, un numéro de téléphone privé ou l adresse de son domicile pour s inscrire à un service qu il utilise dans le cadre de ses fonctions, il dénie aux différents services de son entreprise (informatique, communication, juridique, sécurité) la possibilité de protéger ces identifiants, et donc d empêcher une utilisation abusive», explique-t-il. «Pour un pirate, un dirigeant d entreprise qui utilise son adresse e-mails personnelle pour s inscrire à un service qu il utilise à titre officiel, c est un solitaire - quelqu un qui agit seul et ne se donne pas la peine de compter sur son personnel pour assurer sa protection.» Si un dirigeant perd le contrôle de ses comptes LinkedIn et Twitter suite à une violation de données, le pirate pourra modifier immédiatement les mots de passe et empêcher le professionnel d accéder à ces services. «Si le dirigeant en question a utilisé, lors de son inscription, une adresse Gmail privée, il aura peut-être de la difficulté à convaincre LinkedIn, Twitter ou Google qu il est vraiment le propriétaire légitime de ces comptes», explique Koivunen. «À l inverse, s il s agit d une adresse e-mail professionnelle, il n aura qu à demander à l assistance informatique de réinitialiser le mot de passe.» Lorsqu elles sont exploitées par un pirate particulièrement déterminé, certaines informations personnelles anecdotiques peuvent créer des affaires d une ampleur inattendue. Le piratage du compte Gmail de l ancien secrétaire d État américain Colin Powell, l an dernier, est là pour en témoigner. Après ce piratage, le public a pris connaissance du point de vue de Colin Powell - point de vue défendu en privé - sur plusieurs questions et personnalités politiques. Cette affaire a causé de nombreux remous durant la campagne présidentielle américaine de 2016. D après les chercheurs, il se peut que ce piratage ait fait suite à une négligence de Colin Powell, qui aurait utilisé le même mot de passe pour protéger son compte Gmail et son compte Dropbox. Les 68 millions d identifiants Dropbox ont été l objet d une violation de données en 2012. Ces données piratées ont été publiées en août 2016... soit quelques semaines avant l affaire Colin Powell. 6
Quelques conseils d un hacker éthique pour des mots de passe efficaces Tom Van de Wiele, Principal Security Consultant chez F-Secure, est hacker éthique : il est expert dans l art de violer l accès à des comptes pourtant protégés par des mots de passe. Voici ses conseils pour tenir les pirates à distance : Utilisez un mot de passe suffisamment complexe, et différent pour chaque service. La longueur l emporte toujours : un minimum de 14 caractères est recommandé. N inventez jamais de logique de mots de passe pouvant être utilisée contre vous. «Les pirates ne sont pas voyants, mais après capuccino16 et macchiato17, pas besoin d être un génie ou une intelligence artificielle pour deviner le mot de passe suivant.» Utilisez l authentification à deux facteurs. Si le service que vous utilisez offre cette possibilité, n hésitez pas. Évitez, dans la mesure du possible, l utilisation des codes SMS. Les authentificateurs hors-ligne ou les jetons matériels constituent une meilleure option. Prenez connaissance des options de verrouillage et de récupération des mots de passe pour tous les services que vous utilisez : c est par là que tentent de passer la majorité des pirates. La récupération de votre mot de passe ne doit jamais reposer sur des questions évidentes comme le nom de votre animal de compagnie ou le modèle de votre première voiture. (Les pirates, lorsqu ils vous ciblent spécifiquement, ont les réponses à ces questions). Attention à l authentification unique (Single Sign-On - SSO) qui vous permet de vous connecter à un service tiers en utilisant les informations d identification issues d un réseau social (exemple : «Se connecter avec LinkedIn»). L authentification unique peut s avérer utile, mais elle n est pas conseillée lorsque vous recevez des e-mails de nombreux services en ligne. Un jour, l un des courriers reçus sera un e-mail de phishing. Si vous tombez dans le piège, le pirate pourra accéder à tous les services liés par l authentification unique», explique Van de Wiele. Utilisez un gestionnaire de mots de passe. Préférez un gestionnaire dont vous êtes le seul à connaître le mot de passe principal (pour que même la société éditrice du logiciel n y ait pas accès). Méfiez-vous des gestionnaires de mots de passe via le cloud : s ils n ont pas besoin de se connecter directement à votre appareil, ils peuvent être exploités à distance par des attaquants pour accéder à tous vos mots de passe. 7