Blog cybersécurité

DiagnoPhish, la plate-forme de sensibilisation à la sécurité conçue par Navixia, intègre désormais la nouvelle API "PwnedPassword" V2 de Troy Hunt.

Pour rappel, Troy Hunt est à l'origine du service "Have I Been Pwned", qui collecte des informations sur les vols de données et tient à jour une liste d'adresses e-mail compromises. Chacun peut ainsi vérifier si son compte est apparu dans un vol de données, et le cas échéant, lequel.

En accédant par exemple à ce lien, vous verrez que notre célèbre "collègue" Ector Dulac s'est fait voler son compte et son mot de passe à trois reprises, notamment sur Dropbox en 2012 et sur LinkedIn en 2016.

Pwned1.png

Les entreprises, quant à elles, peuvent s'abonner à un service de notification et recevoir une alerte chaque fois qu'un compte appartenant à leur domaine est ajouté à la base de données.

"Pwned Passwords"

Les bases de données volées contiennent souvent des mots de passe (parfois faiblement hachés, parfois même en clair), ce qui a poussé Troy Hunt à créer en parallèle une liste de mots de passe volés appelée "Pwned Passwords". Un mot de passe qui figurerait dans cette liste peut être considéré comme "brûlé" et ne doit plus être utilisé sur Internet.

Prenons "abc123" par exemple. Lorsque vous suivez le lien vers cette page et tapez "abc123", le service vous indique que ce mot de passe a été vu plus de 2 millions de fois dans des vols de données connus.

Pwned2.png

Mais le défi consiste à vérifier si votre mot de passe a été volé sans pour autant le révéler au service. C'est là que le modèle k-Anonymity intervient. Grâce à lui, vous pouvez entrer votre mot de passe en toute sécurité dans l'URL ci-dessus. Votre navigateur enverra au service un hash des 5 premiers caractères et obtiendra alors une liste de tous les mots de passe commençant par cette séquence. Une recherche locale (faite dans le navigateur) vous indiquera si le mot de passe est connu du service.

DiagnoPhish: contrôle de mot de passe entièrement sécurisé

Jusqu'ici, DiagnoPhish mesurait la solidité des mots de passe récoltés lors des campagnes de sensibilisation en fonction des éléments suivants:

  • une liste des mots de passe les plus fréquents
  • les directives de sécurité NIST concernant les mots de passe.

En fonction du résultat de cette évaluation combinée, un mot de passe pouvait recevoir un score allant de 1 (très faible) à 10 (très fort),

Grâce à l'intégration de l'API "PwnedPassword" dans DiagnoPhish, on peut déterminer si le mot de passe existant d'un utilisateur a déjà été impliqué dans un vol de données. Désormais, chaque fois qu'un mot de passe est capturé lors d'une campagne de sensibilisation, il est comparé avec la liste des mots de passe piratés de Troy. S'il y figure, le résultat "Pwned!" est affiché dans le tableau de bord DiagnoPhish.

pwned3.png

Grâce au modèle k-Anonymity décrit ci-dessus, cette information peut être obtenue sans qu'aucun mot de passe ne soit jamais stocké, divulgué ou transmis en clair.

Pour rappel, toutes les informations recueillies par DiagnoPhish lors d'une campagne de sensibilisation (y compris les mots de passe) sont placées de manière sécurisée sur la plateforme privée de l'entreprise concernée. La valeur du mot de passe est utilisée pour calculer son niveau de complexité, puis pour communiquer avec l'API, avant d'être effacée par défaut. En tant que superviseur de votre compte d'entreprise, vous pouvez également décider de conserver ces données pour une utilisation ultérieure, auquel cas elles sont chiffrées avec une clé dédiée propre à votre organisation.

Plus de mots de passe à risque

Pour les entreprises, il est très important de savoir si les mots de passe actifs de leurs utilisateurs figurent dans des inventaires de données piratées. Dans un tel cas, ils sont en effet susceptibles de faire partie de listes utilisées pour des attaques de force brute et ils menacent sérieusement la sécurité de l'infrastructure IT dans son ensemble.

Désormais, une entreprise qui fait une campagne de sensibilisation sur DiagnoPhish peut détecter les utilisateurs à risque et leur dire de remplacer leur mot de passer par un autre, plus sécurisé. Elle peut aussi saisir cette occasion pour leur donner une formation ciblée sur la sécurité des mots de passe.

Une opération qui en vaut la peine, autant pour les utilisateurs que pour les entreprises, et qui nécessite très peu d'efforts de la part du responsable de la sécurité.

Commentaires

Aucun commentaire pour l'instant. Soyez le premier!

Laissez votre commentaire