Sur internet ; Un tiers d'utilisateurs changent généralement leur mot de passe après l'annonce d'une violation de données
Selon une étude, seul un tiers des utilisateurs ont changé leur mot de passe à la suite d'une violation de données, et pas forcément en utilisant un mot de passe sécurisé.
Seulement un tiers environ d'utilisateurs changent généralement leur mot de passe après l'annonce d'une violation de données, selon une étude récente publiée par les universitaires de l'Institut de la sécurité et de la vie privée (CyLab) de l'université Carnegie Mellon.
Présentée au début du mois lors de l'atelier IEEE 2020 sur la technologie et la protection des consommateurs, elle n'était pas basée sur les résultats d'une enquête, mais sur le trafic réel des navigateurs.
Les universitaires ont analysé les données réelles du trafic web, collectées à l'aide du Security Behavior Observatory (SBO) de l'université, un groupe de recherche opt-in où les utilisateurs s'inscrivent et partagent leur historique complet de navigation dans un seul but de recherche universitaire.
Les données analysées par l'équipe de recherche comprenait des informations recueillies à partir des ordinateurs personnels de 249 participants.
Elles ont été collectées entre janvier 2017 et décembre 2018 et comprenaient non seulement le trafic web, mais aussi les mots de passe utilisés pour se connecter aux sites web et ceux stockés dans le navigateur.
Après avoir analysé les données, les universitaires se sont aperçus que sur les 249 utilisateurs, seuls 63 d'entre eux avaient des comptes sur des domaines ayant annoncé publiquement une violation de données pendant l'intervalle de collecte.
Sur les 63 utilisateurs, seuls 21 (33 %) sont ensuite retournés sur le site pour changer leur mot de passe.
Sur ces 21 utilisateurs, seuls 15 d'entre eux ont changé de mot de passe dans les trois mois suivant l'annonce de la violation des données.
Mot de passe non sécurisé
En outre, comme les données des OSB ont également permis de saisir des données sur les mots de passe, l'équipe du CyLab a également pu analyser la complexité des nouveaux mots de passe des utilisateurs.
L'équipe de recherche a déclaré que parmi les utilisateurs qui ont changé de mot de passe (21), seul un tiers (9) l'a changé pour un mot de passe plus fort.
Les autres ont créé des mots de passe plus faibles ou d'une force similaire, généralement en réutilisant des séquences de caractères de leur mot de passe précédent, ou en utilisant des mots de passe similaires à d'autres comptes stockés dans leur navigateur.
L'étude montre que les utilisateurs n'ont toujours pas la formation nécessaire pour choisir des mots de passe uniques ou de meilleure qualité.
Les chercheurs affirment qu'une grande partie de la faute incombe également aux services piratés, qui « ne disent presque jamais aux gens de réinitialiser leurs mots de passe similaires sur d'autres comptes ».
L'étude, bien qu'elle ait été menée à petite échelle par rapport à d'autres, représente malgré tout précisément les pratiques réelles et le comportement des utilisateurs à la suite d'une violation de données.
En effet, elle se fonde sur des données de navigation et de trafic réelles plutôt que sur des réponses à une enquête, qui peuvent parfois être inexactes ou subjectives.
L'étude se nomme "(How) Do People Change Their Passwords After a Breach ?"
("Comment les gens changent-ils leurs mots de passe après une intrusion ?") et peut être téléchargée au format PDF ici (en anglais).
Une base de données du service civique exposait les données des utilisateurs
Sécurité : Une base de données appartenant à l’agence du Service Civique a été malencontreusement exposée sur le réseau.
La faille de sécurité a été corrigée rapidement, mais les données sont restées exposées pendant un peu moins d’une semaine.
Samedi 30 mai, deux chercheurs en sécurité sont entrés en contact avec l’agence du service civique pour leur signaler qu’une de leur base de données était exposée librement sur Internet, sans demander la moindre authentification.
Au total, les données de plus de 286 000 citoyens ayant participé au service civique étaient exposées par cette base de données.
Celle-ci contenait des noms, prénoms, date de naissance et adresses e-mail, ainsi que dans certains cas des liens vers des CV : autant de données considérées comme des données personnelles et identifiables, et qui doivent donc être protégées.
La base de données a été découverte par le chercheur en sécurité Bob Diachenko, comme le rapporte le site américain Comparitech.
Ce dernier a par la suite contacté le chercheur en sécurité français Baptiste Robert (@fs0c131y) qui l’a aidé à identifier la base de données en question et à contacter la direction du service civique.
Il explique à Zdnet avoir vérifié tout d’abord la véracité des données avant de faire remonter l’information au cabinet de Gabriel Attal, secrétaire d'Etat auprès du ministre de l'Education nationale et de la Jeunesse, qui lui a ensuite permis de rentrer en contact avec la direction du service civique.
La faille de sécurité a été corrigée « quelques heures » après la prise de contact, samedi 30 mai, selon Baptiste Robert.
« La fuite en question provient d’une base de données MongoDB laissée ouverte, sans authentification », explique le chercheur en sécurité.
« Mercredi dernier, un prestataire de l’administration a fait une erreur de configuration en mettant en ligne la base de données sans mesure d’authentification, ce qui pouvait permettre à un tiers de consulter les données qu’elle contenait. »
Selon Diachenko, la base de données contenait différents jeux de données : un premier jeu contenait les données de 286 000 citoyens ayant participé au service civique. Ce jeu de données contenait uniquement leurs noms et dates de naissance.
Un second jeu contenait 373 000 entrées, et regroupait les données de l’application ELISA : cette application sert à la gestion dématérialisée des contrats entre les volontaires du service civique et les entreprises qui souhaitent les employer.
Ce jeu de données contenait donc des données concernant les entreprises participantes (n° de siret, contrats et documents) en plus des données relatives aux volontaires.
Enfin, un troisième jeu de données contenait les informations de connexions au site et à l’intranet, et contenait plus d’un million d’entrées. Ce jeu de données contenait des adresses e-mails, noms et mots de passe des utilisateurs inscrits sur la plateforme.
Plus de peur que de mal
L’agence du service civique s’est montrée « très réactive » pour combler la faille, selon Baptiste Robert. « Effectivement, leur prestataire a fait une erreur, mais dans l’ensemble la réaction de l’agence des services civiques a été plutôt bonne. On a évité le pire, c’est à dire le rançonnage des données par un tiers malveillant », poursuit le chercheur en sécurité.
C’est en effet une pratique qui s’est popularisée au cours des derniers années : les attaquants profitent de la profusion de bases de données MongoDB mal configurées pour supprimer les données et faire du chantage aux entreprises, en laissant une note de rançon qui offre de récupérer une copie des données supprimées par les attaquants en échange de quelques bitcoins.
Dans un communiqué relayé par Comparitech, l’agence du service civique indique avoir colmaté la faille de sécurité et alerté la CNIL de cette exposition de données.
L’agence indique n’avoir détecté aucune activité malveillante et promet un audit de sécurité de ses systèmes.
Une question reste néanmoins en suspens pour les deux chercheurs : si aucune activité malveillante n’a été détectée, Bob Diachenko indique néanmoins qu’une adresse IP inconnue, n’appartenant ni à lui ni à Baptiste Robert, s’est connectée à la base de donnée trois jours avant la découverte de celle-ci par Bob Diachenko.
Cela correspond à la date d’indexation de la base de données par le moteur de recherche Shodan.io, ce qui pourrait laisser penser qu’un tiers avait repéré la base de données en question avant les chercheurs en sécurité.
Nous avons contacté l’agence du service civique au sujet de cette exposition de données et l’article sera mis à jour pour ajouter leur réponse.
L'agence du service civique a diffusé un communiqué au sujet de l'exposition de données. L'Agence confirme qu'une faille a été détectée et que celle ci a bien été corrigée après le signalement.
Elle précise que les mots de passe exposés étaient chiffrés. Concernant les accès aux données, l'agence explique que "l'enquête technique, immédiatement menée, fait apparaître qu'aucune intrusion malveillante sur la plateforme n'est intervenue.
Ainsi, à l’exception des deux experts en sécurité informatique qui ont alertés l’Agence du Service Civique, aucune consultation externe n’a été détectée" et précise qu'une boite de réception dédiée sera mise en place à disposition des jeunes et structures partenaires pour répondre aux questions sur le sujet.
Données privées : Google fait face à une action collective Société : Une action collective a été intentée contre le géant d'Internet, l'accusant de collecter des informations personnelles et de navigation à l'insu des utilisateurs, y compris lors d'une navigation privée.
Une action collective a été intentée contre Google ce mardi. Le géant technologique est accusé d'envahir la vie privée de millions d'utilisateurs à leur insu en suivant leur utilisation d'Internet, même lorsqu'ils ont activé la navigation privée.
Absence de consentement
La plainte, déposée auprès du tribunal de district de Californie du Nord, affirme que Google suit les données de navigation des utilisateurs et d'autres informations d'identification par le biais de Google Analytics, de Google Ad Manager et de divers autres plug-in d'applications et de sites web, tels que les applications Google sur les appareils mobiles ou le bouton de connexion Google pour les sites web, et ce quel que soit le mode de navigation choisi.
Selon les plaignants, lorsqu'un internaute visite une page web ou ouvre une application qui utilise les services de Google – qui seraient utilisés par plus de 70 % des éditeurs de contenu en ligne – les informations personnelles de l'utilisateur, telles que son adresse IP, ce qu'il regarde, ce qu'il a vu en dernier et des détails sur son matériel, sont envoyées aux serveurs de la société en Californie.
Les plaignants ont ajouté que cela se fait presque toujours à l'insu de l'utilisateur car Google n'exige pas des sites web qu'ils divulguent d'emblée que Google collecte des informations sur les visiteurs, quelle que soit la manière dont les navigateurs web sont utilisés. Pour cette raison, le recours collectif accuse Google d'accéder aux informations personnelles des personnes sans leur consentement.
« Google récupère des données, indépendamment du fait que l'utilisateur clique ou non sur une annonce avertissant que le site est supporté par Google – ou même qu'il soit au courant.
Ainsi, des milliards de fois par jour, des ordinateurs du monde entier envoient à Google des informations de navigation en temps réel sur des centaines de millions d'individus », peut-on lire dans la plainte.
Un recours collectifs pour dédommager les utilisateurs
« Les pratiques de Google portent atteinte à la vie privée des utilisateurs, trompent intentionnellement les consommateurs, donnent à Google et à ses employés le pouvoir de connaître des détails intimes sur la vie des individus, leurs intérêts et leur utilisation d'Internet, et font de Google un "choix unique" pour tout acteur gouvernemental, privé ou criminel qui souhaite porter atteinte à la vie privée, à la sécurité ou à la liberté des personnes », poursuivent les plaignants.
Le recours collectif sera ouvert à toute personne qui possède un appareil Android et qui a consulté un site web contenant Google Analytics ou Ad Manager en mode de navigation privée sur cet appareil, ainsi qu'aux personnes possédant un compte Google et qui ont accédé à une page web contenant ces services en utilisant un appareil non Android en mode de navigation privée.
L'action collective vise à obtenir 5 000 dollars de dommages par utilisateur, ou trois fois les dommages réels, selon le montant le plus élevé, pour atteinte à la vie privée, et devrait concerner des « millions d'individus ».
Google fait face à d'autres plaintes sur le même sujet
Le procureur général de l'Arizona a également déposé une plainte contre l'entreprise la semaine dernière, alléguant que l'entreprise a trompé les utilisateurs, en se basant sur diverses sources de données de localisation.
La plainte suspecte Google de concevoir son système d'exploitation Android de telle sorte que même lorsque les consommateurs désactivent les services de localisation, plusieurs données de localisation – y compris celles de Google Maps, Météo ou encore les données de recherche – sont toujours collectées.
Google fait également l'objet de litiges en Australie et au Royaume-Uni, où on l'accuse d'avoir mené des pratiques de suivi trompeuses et mensongères.
Le géant de l'Internet a également perdu 170 millions de dollars à l'automne dernier, dans le cadre d'une affaire qui accusait la société de recueillir illégalement les informations personnelles des enfants via YouTube.
Articles des Révues et Périodiques Archives ; ZDNet.com
Commentaires