Technologies

Les comptes zombies, cette menace sur la sécurité trop souvent négligée

En multipliant le nombre de ses comptes inactifs, un consommateur ouvre une brèche aux cybercriminels, car ces identités oubliées sont en moyenne moins bien protégées que les comptes actifs. (Crédit : Firmbee/Pixabay)

Pour accéder à une multitude de services en ligne, les consommateurs créent de multiples comptes. La plupart sont délaissés, puis oubliés. Et constituent une aubaine pour les cybercriminels.

PublicitéLes comptes dormants, une aubaine pour les cybercriminels ? Ces accès oubliés, correspondant à des consommateurs qui ne sont plus en relation avec l'entreprise, posent des risques de sécurité importants. Ce dont sont bien conscients les cybercriminels, capables d'utiliser des informations volées sur des comptes oubliés pour exploiter des comptes actifs. C'est ce qui ressort de la première étude Customer Identity Trends Report d'Okta qui a interrogé plus de 20 000 consommateurs dans 14 pays sur leurs expériences en ligne et leurs attitudes à l'égard de la sécurité et de l'identité numériques.

Ce rapport révèle que la prolifération des identités peut déclencher des risques de sécurité importants liés à la prise de contrôle de comptes (ATO) en raison des comptes dormants, en particulier si les clients réutilisent (ou ne modifient que légèrement) leurs mots de passe ou ne procèdent pas à des vérifications de sécurité, comme celles qu'offre l'authentification multi-facteurs. Pour un acteur malveillant, une faille dans n'importe quel service en ligne ouvre alors la voie à la récupération d'un volume considérable d'informations d'identification et de données personnelles associées. Les attaquants étant capables de se servir de ces informations à grande échelle pour compromettre des comptes actifs, y compris des comptes et des réseaux professionnels importants.

Cette enquête a été publiée après l'annonce de Google visant à mettre à jour sa politique d'inactivité sur les comptes en la portant à deux ans, ce qui signifie que si un compte personnel n'a pas été utilisé ou n'a pas fait l'objet d'une connexion pendant au moins deux ans, le compte et son contenu peuvent être supprimés. Cela inclut le contenu de Workspace (Gmail, Docs, Drive, Meet, Calendar) et de Photos. Les nouvelles règles entreront en vigueur au plus tôt en décembre 2023, a précisé l'entreprise.

Prolifération de comptes zombies : toutes les classes d'âge concernées

Le volume considérable de nouveaux comptes créés débouche sur un phénomène notable d'attrition se caractérisant par un empilement de comptes inactifs pour un même utilisateur. Les plus anciens ne sont pas supprimés, mais deviennent souvent inutilisés et oubliés, parfois pendant des années. Selon le rapport d'Okta, si cette prolifération de comptes zombies est plus fréquente chez les jeunes utilisateurs, elle est significative dans la plupart des classes d'âge. Le nombre estimé de nouveaux comptes en ligne enregistrés au cours des trois derniers mois pour les 18-29 ans est légèrement supérieur à 40, contre 35 pour les 30-39 ans et 34 pour les 40 à 49 ans. Les 60 ans et plus ne sont pas en reste et en auraient créé environ 20 au cours des trois derniers mois.

PublicitéL'un des principaux défis liés à cet empilement de comptes ? Les individus peinent à gérer et à maintenir en toute sécurité leurs empreintes numériques correspondant à autant de services différents. Le rapport d'Okta révèle que 71 % des personnes interrogées sont conscientes que leurs activités en ligne laissent des traces, mais que seulement 44 % d'entre elles prennent des mesures pour les atténuer. La gestion des mots de passe semble être un point d'achoppement particulier, 63% des personnes interrogées déclarant qu'elles sont incapables de se connecter à un compte parce qu'elles ont oublié leur nom d'utilisateur ou leur mot de passe au moins une fois par mois, selon le rapport. Bien que la réinitialisation des mots de passe soit généralement possible, les utilisateurs peuvent décider que le processus n'en vaut tout simplement pas la peine, ce qui entraîne l'inactivité des comptes ainsi mis de côté. Seuls 52 % des répondants ont déclaré avoir toujours accès à tous leurs comptes, tandis que 42 % des utilisateurs seulement utilisent des mots de passe différents pour chaque compte et que 29 % d'entre eux vérifient ou modifient régulièrement les paramètres de confidentialité de leurs comptes.

Pour les cybercriminels, une façon de contourner la sécurité

Selon Google, les comptes inactifs qui n'ont pas été consultés pendant de longues périodes sont plus susceptibles d'être compromis. « Cela s'explique par le fait que les comptes oubliés ou non surveillés reposent souvent sur des mots de passe anciens ou réutilisés qui peuvent avoir été compromis, mais aussi par le fait que l'authentification à deux facteurs (2FA) n'a pas été mise en place et que l'utilisateur effectue moins de contrôles de sécurité », note l'entreprise. En fait, les comptes abandonnés ont au moins dix fois moins de chances que les comptes actifs d'être dotés d'une authentification à double facteur, selon l'éditeur. Ils sont donc particulièrement vulnérables et, une fois compromis, ils peuvent être utilisés à des fins diverses, depuis l'usurpation d'identité jusqu'à la diffusion de contenus indésirables, voire malveillants, tels que des spams.

Selon l'enquête Verizon 2022 Data Breach Investigations Report, plus de 80 % des failles impliquant des attaques contre des applications web peuvent être attribuées à des identifiants volés. Les cybercriminels privilégient le vol d'informations d'identification pour renforcer leurs attaques et contourner les mesures de sécurité, et se montrent même prêts à délaisser les logiciels malveillants au profit de l'abus d'informations d'identification pour faciliter l'accès aux environnements des victimes et la persistance de celui-ci. Cette tendance a également créé une forte demande pour les services malveillants opérés par des tiers via des réseaux de cybergangs qui vendent des identifiants d'accès volés. Selon le CrowdStrike 2023 Global Threat Report, le nombre de publicités pour des services de courtage d'accès malveillants a augmenté de 112 % sur un an. Environ 2 500 publicités de ce type ont ainsi été dénombrées.