Authentification : l'administration US vulnérable au vol de données
L'étude d'une start-up montre que les identifiants et les mots de passe appartenant à 47 agences gouvernementales sont disponibles sur le Net. Ce rapport intervient après le vol massif de données personnelles à l'OPM (Office Personnel Management). Au départ, ce vol était censé concerner 4 millions d'agents, mais ce chiffre a depuis été revu à la hausse pour atteindre 14 millions. Une enquête du Congrès est en cours. La Chine est fortement soupçonnée d'être l'instigatrice de ce vol de données.
Le rapport réalisé par Future Recorded (société fondée en partie par le fonds d'investissement de la CIA) et analysant entre novembre 2013 et novembre 201, 17 « sites pastes » (comme Pastbin), où les pirates partagent souvent les identifiants volés sur des sites tiers, ne risque guère d'atténuer les craintes de l'administration américaine. Cette analyse a identifié 705 combinaisons e-mails et mots de passe liées à des fonctionnaires. Les agences concernées ont été averties pour prendre les mesures nécessaires.
Peu de double facteur d'authentification
Le rapport souligne que « la présence de ces identifiants sur le web laisse la porte ouverte aux vulnérabilités et aux attaques par ingénierie sociale, par spearphishing, par force brute, contre leurs employés ». Dans son analyse, Future Recorded montre qu'une douzaine d'agences n'exigent pas d'authentification à double facteur, même pour leurs utilisateurs à privilèges.
Ces agences sont : General Services Administration, l'USAID, Département d'Etat, Anciens Combattants, Agriculture, Habitat et Développement Urbain, Transport, Trésor, Santé, Energie et Sécurité Intérieure. « Ces organismes sont à la traîne dans l'authentification à deux facteurs, mais par contre d'autres agences sont des bons élèves dans ce domaine », déclare Scott Donnelly, analyste senior chez Future Recorded.
Les vols de données ont atteint des records en 2014, mais il semble que la première partie de l'année 2015 fasse la part belle aux données qualifiées : informations de santé, numéro de sécurité sociale, identifiants de fonctionnaires.
A lire aussi :
Crédit Photo : BrianAJackson-Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité