Les gestionnaires de mots de passe sont les nouvelles cibles des hackers ....

[chtimi054]

Les gestionnaires de mots de passe sont les nouvelles cibles des hackers : 25 % des logiciels malveillants ciblent désormais ces magasins de mots de passe
Selon une nouvelle étude de Picus Security

Selon une récente étude, les gestionnaires de mots de passe tels que 1Password sont les nouvelles cibles des pirates informatiques. Les dernières recherches de Picus Security révèlent notamment que 25 % des logiciels malveillants ciblent désormais ces outils de gestion de mots de passe.

Ces révélations interviennent à un moment où de nombreux utilisateurs ont encore du mal à gérer leurs mots de passe. En effet, selon les résultats d'une enquête réalisée par Keeper Security en 2024, 62 % des personnes interrogées s'inquiètent de devoir gérer un trop grand nombre de mots de passe, 26 % d'entre elles se fiant à leur mémoire, 24 % les écrivent et 19 % les stockent dans un navigateur ou une application de notes sur leur téléphone.

La plupart des gestionnaires de mots de passe disponibles actuellement requièrent une forme de sécurité supplémentaire avant de permettre l'accès. Par exemple, sur iPhone, le navigateur web Firefox demande l'identification par reconnaissance faciale (Face ID) avant de déverrouiller son gestionnaire de mots de passe intégré. Cependant, sur PC, ce dernier n'est pas protégé si vous êtes connecté, ce qui en fait une cible potentielle.

Alors que d'autres applications laissent également l'utilisateur sans protection une fois connecté, Picus Security a révélé que les logiciels malveillants découverts dans le cadre de l'étude parviennent à s'infiltrer dans les systèmes d'exploitation tels que Windows.

Selon le Dr Suleyman Ozarslan, vice-président de Picus Labs, les acteurs malveillants programment des logiciels malveillants pour mener toutes sortes d'attaques. « Les acteurs de la menace utilisent des méthodes d'extraction sophistiquées, y compris le scraping de la mémoire, la collecte du registre et la compromission des magasins de mots de passe locaux et basés sur le cloud, pour obtenir des informations d'identification qui donnent aux attaquants les clés du royaume. », a déclaré Suleyman Ozarslan dans un communiqué.
Les applications telles que 1Password disposent d'un « mot de passe principal » qui, une fois acquis, peut causer des dommages importants. Toutefois, la récente découverte de Picus Security pourrait ne pas ralentir l'adoption du logiciel.

Comme indiqué plus haut, les navigateurs sont désormais dotés de leurs propres gestionnaires de mots de passe intégrés. Des applications telles que LastPass et NordPass sont de plus en plus populaires en raison de la nécessité croissante d'utiliser des mots de passe complexes, dont même l'utilisateur aura du mal à se souvenir.

Comment lutter contre les pirates des gestionnaires de mots de passe

L'authentification à deux facteurs (2FA) est recommandée pour tous les comptes importants. Pour ce faire, vous pouvez utiliser l'authentificateur de Google, qui génère une série de chiffres à saisir avant de pouvoir accéder à votre compte. Au niveau le plus élémentaire, l'authentification à deux facteurs par messagerie texte devrait être envisagée.

Alors que les mots de passe sont constamment soumis à des risques, des entreprises comme Microsoft et Apple tentent progressivement d'en débarrasser les utilisateurs en proposant des alternatives de plus en plus répandues comme les Passkeys ou les identifiants biométriques. En 2024, Microsoft a supprimé les mots de passe d'un milliard d'utilisateurs, mais le géant de Seattle dispose également d'une liste de mots de passe interdits sur son service de cloud Azure.

Les chercheurs en sécurité de Picus Labs ont évalué et traité 1 094 744 logiciels malveillants en 2024 et ont ainsi découvert plus de 14 millions d'« actions malveillantes ». Il est intéressant de noter que selon l'étude, il n'y a pas eu « d'augmentation significative » des « logiciels malveillants pilotés par l'IA » en 2024.

Malgré les inquiétudes liées à l'IA et à la cybersécurité, les experts estiment que les failles de sécurité traditionnelles demeurent un risque important, en particulier pour les gestionnaires de mots de passe. LastPass a par exemple été très critiqué pour ses failles de sécurité répétées, après avoir révélé qu'un cyberincident survenu en août 2022 avait été bien pire qu'ils ne l'avaient admis.

Alors que les hackers ciblent désormais davantage les gestionnaires de mots de passe, les experts en cybersécurité conseillent aux utilisateurs d'abandonner Lastpass pour des solutions comme Bitwarden ou 1Password, reprochant à l'outil « sa longue histoire d'incompétence et de négligence ».

merci à Developpez.com

[Paletta]

Stratégie évidente, autant s'attaquer aux coffres-forts qui contient le "Sésame ouvre-toi !" de tous les comptes.
Perso, je n'ai jamais fais confiance à ces gestionnaire de MdP.
Je préfère un fichier texte local que je conserve sur une partition chiffrée avec Veracrypt.

[gege68]

Dans un petit carnet.

[foxthefox]

à l'ancienne.
Dans un carnet aussi

[MyPOV]

Dans le principe, pareil que vous :

- Pour les logins, une poignée sans conséquence sont enregistrés dans le navigateur. Les autres sont dans un fichier texte mais avec une extension farfelue. Cependant, aucun en rapport avec l'argent ; j'utilise le document papier afférent. Avec sauvegarde sur un second disque en local et une clef USB qui ne sert qu'à ça.
- Pour tout ce qui est sensible comme la finalisation des achats, l'argent, la santé, j'utilise toujours une double authentification qui est généralement un code par SMS.
- Et rien sur smartphone

Je ne m'aventurerai pas à dire que c'est la bonne méthode