Attaque des mots de passe très sophistiquée chez GoToMyPC
En voici la raison : les services Citrix d’accès à distance pour vos portables et PCs ont été piratés, et les utilisateurs ont été invités à changer leurs mots de passe.
Selon un rapport d’incident posté par Citrix le samedi 18 Juin, qui a depuis été mis à jour :
Malheureusement, le service GoToMyPC a été la cible d’une attaque des mots de passe très sophistiquée. Afin de vous protéger, l’équipe sécurité nous a fortement recommandé fortement de réinitialiser tous les mots de passe de nos clients immédiatement.
Aucun détail n’a été transmis, ainsi nous devons croire Citrix sur parole lorsqu’il précise que cette attaque a été “très sophistiquée”.
Citrix n’a pas immédiatement signalé cette attaque : tout d’abord les clients ont reçu un avertissement disant qu’ils ne pouvaient plus se connecter et étaient, à la place, forcer de changer leurs mots de passe. Après quelques heures, l’entreprise a enfin alerté ses clients au sujet de cette attaque.
Les utilisateurs doivent changer leurs mots de passe réellement immédiatement. Voici la procédure à suive : utiliser le lien “mot de passe oublié“, situé sous l’espace de connexion à votre compte GoToMyPC.
Assurez-vous qu’il soit robuste, a déclaré GoToMyPC, en fournissant des astuces pour vous aider à la création de ce dernier :
Ce leet speak nécessite tout de même des précisions. Comme l’a souligné NakedSecurity auparavant, les hackers ne sont pas impressionnés par un internaute qui remplace un @ par un A !
Craquer de mots de passe est souvent un processus automatisé et sans effort. Les cybercriminels plutôt que de rester assis à essayer de deviner votre mot de passe, délègue cette tâche tout simplement à un programme informatique.
Ces programmes pour craquer les mots de passe, connaissent tous les mots de passe les plus utilisés (et le niveau de popularité de chacun), et détiennent des listes énormes de mots du dictionnaire qu’ils peuvent consulter, et savent bien évidement reconnaître les substitutions du leet speak, que les gens utilisent pour ajouter des c@ract3r3s amusants.
De telles attaques sont faciles à mener et très répandues.
En plus de ces conseils, GoToMyPC vous recommande également d’utiliser le two-factor authentification.
Voici comment paramétrer le .
Cependant rappelez-vous que les mots de passe robustes et complexes ne sont pas inattaquables : il existe de nombreuses failles de sécurité qui impliquent des logins dérobés auprès de tierces parties. Les keyloggers peuvent aussi capturer même le plus compliqué et robuste des mots de passe.
Nous vivons à l’époque des mégas fuite de données, avec la plupart d’entre elles mises en vente en ligne, comme par exemple les identifiants des utilisateurs de LinkedIn, Twitter, Tumblr ou MySpace.
Les personnes qui ont réutilisés leurs mots de passe se mettent eux-mêmes en danger de voir tous leurs autres comptes piratés, ou encore dévalisés dans le cas de comptes bancaires en ligne. Alors ne le faites pas !
Gardez en mémoire que le même le 2FA n’est pas infaillible non plus, comme nous l’avons appris récemment lorsque le compte Twitter de l’activiste et politicien DeRay Mckesson du mouvement Black Lives Matter a été piraté, malgré la présence d’une couche de sécurité supplémentaire.
Follow @SophosFrance
//
Partagez Attaque des mots de passe très sophistiquée chez GoToMyPC avec : http://wp.me/p2YJS1-2LW
Billet inspiré de GoToMyPC suffers ‘very sophisticated’ password attack par Lisa Vaas, Sophos nakedsecurity.