Des millions de comptes utilisateurs compromis
Les équipes des SpiderLabs de Trustwave ont mis la main sur une vaste instance de contrôleur du botnet Pony, recélant les données d’environ deux millions de comptes utilisateurs compromis.
C’est une grosse prise. Les chercheurs en sécurité des SpiderLabs de Trustwave indiquent avoir découvert une importante instance d’un contrôleur du botnet Pony. Celle-ci recèlerait les données « d’environ deux millions de comptes [utilisateurs] compromis ». Il faudrait ainsi compter sur près de 1,6 million d’identifiants de sites Web, de plus de 300 000 identifiants de messagerie électronique, de plus de 40 000 identifiants de serveurs FTP ou encore de 6 000 identifiants d’accès distant à des ordinateurs. Dans le lot des accès identifiants de sites Web se trouvent sans surprise ceux de comptes d’utilisateurs de Facebook, Google, ou encore Twitter. Les Pays-Bas semblent particulièrement représentés.
Mais l’ampleur de la découverte ne doit pas cacher sa vraie nature. Le véritable enseignement qu’elle propose concerne en effet la robustesse des mots de passe utilisés, ou plutôt leur absence de robustesse. Le mot de passe 123456 apparaît ainsi près de 16 000 fois, suivi par 123456789, avec près de 5000 occurrences, ou encore 1234, et « password », ou encore 12345, et « admin ». Dans plus d’un millier de cas, le mot de passe n’est même que « 1 » ou encore « 111111 » dans un autre millier d’occurrences…
Statistiquement, les équipes des SpiderLabs relèvent donc que la robustesse des mots de passe n’est excellente - plus de 8 caractères de quatre types différents - que dans 5 % des cas, bonne dans 17 %, et moyenne dans 44 %. Elle s’avère ainsi mauvaise ou exécrable dans 34 % des occurrences.
Et les SpideLabs de dresser un constat préoccupant : « en 2006, les dix mots de passe les plus utilisés comptaient pour 0,9 % du total. Aujourd’hui, en 2013, ils comptent pour 2,4 %. » Une note d’espoir, toutefois : « en 2006, seulement 17 % des utilisateurs avaient un mode de passe de 10 caractères ou plus. En 2013, ils sont 46 % ! » Pour les chercheurs, l’explication est simple et lourde d’enseignements : « les utilisateurs continuent de choisir le confort plutôt que la sécurité. Si vous n’imposez pas une politique de mots de passe, n’attendez pas des utilisateurs qu’ils le fassent à votre place. »