Après avoir analysé tous les comptes d’utilisateurs d’entreprise entre janvier et mars de cette année, l’équipe de recherche sur les menaces de Microsoft a découvert que 44 millions d’utilisateurs réutilisent des noms d’utilisateur et des mots de passe qui ont été divulgués en ligne à la suite d’atteintes à la sécurité d’autres services en ligne.
Le géant du logiciel a expliqué qu’il scannait les comptes d’utilisateurs en utilisant une base de données de plus de trois milliards d’informations d’identification divulguées qu’il obtenait de multiples sources, y compris des bases de données publiques et policières.
En effectuant l’analyse, Microsoft a été en mesure d’identifier les utilisateurs qui avaient réutilisé les mêmes noms d’utilisateur et mots de passe dans plusieurs services en ligne. L’entreprise a expliqué ce qu’elle a fait après avoir découvert que les utilisateurs avaient réutilisé des noms d’utilisateur et des mots de passe, en mentionnant :
Pour les informations d’identification divulguées pour lesquelles nous avons trouvé une correspondance, nous forçons la réinitialisation du mot de passe. Aucune action supplémentaire n’est requise de la part des consommateurs. Du côté entreprise, Microsoft élèvera le risque utilisateur et alertera l’administrateur pour qu’une réinitialisation des informations d’identification puisse être appliquée.
Microsoft et d’autres géants de la technologie mettent généralement en garde les utilisateurs contre l’utilisation de mots de passe faibles ou simples lors de la création d’un compte, mais malheureusement ces avertissements ne s’appliquent pas lorsqu’une personne réutilise les identifiants d’un autre service.
En outre, le géant de la technologie a été un ardent défenseur et promoteur des solutions d’authentification multifactorielle (MFA). Plus tôt cet été, l’entreprise a déclaré que l’activation d’une mesure de sécurité MFA pour un compte Microsoft bloque 99,9 % de toutes les attaques et que les tentatives de contournement MFA sont si rares que son équipe de sécurité ne dispose même pas de statistiques sur ce type de menace.
Un mot de passe = un compte utilisateur
Bien que Microsoft s’assure que ses utilisateurs utilisent des mots de passe complexes, il n’y a aucun moyen pour l’entreprise de savoir si un utilisateur a réutilisé ce mot de passe pour d’autres services. Lorsqu’un service tiers est victime d’une brèche de sécurité qui entraîne une fuite des informations d’identification de l’utilisateur en ligne, le compte Microsoft de l’utilisateur est également mis en danger, même s’il a utilisé un mot de passe robuste.
Afin d’empêcher les hackers et d’autres acteurs malveillants de s’emparer de vos comptes après une violation de données, il est fortement recommandé d’utiliser un mot de passe unique pour chaque service en ligne que vous utilisez.