Pourquoi Microsoft avertit la plupart des utilisateurs qu’ils doivent supprimer leurs mots de passe

Microsoft souhaite que vous ajoutiez une clé d’accès à vos comptes. Mais ce n’est pas suffisant. « Même si nous parvenons à convaincre plus d’un milliard d’utilisateurs d’utiliser des clés d’accès, si un utilisateur possède à la fois une clé d’accès et un mot de passe, et que les deux donnent accès à un compte, ce dernier reste vulnérable. »

C’est pourquoi le fabricant de Windows met tout en œuvre pour inciter tous les utilisateurs à supprimer leurs mots de passe. « Notre objectif ultime est de supprimer complètement les mots de passe », affirme l’entreprise. « Des millions d’utilisateurs ont supprimé leurs mots de passe », mais la plupart n’ont pas encore franchi le pas.

Voici pourquoi. Selon le récent rapport de Check Point sur le phishing de marque, « Microsoft a été responsable de 40 % des tentatives d’usurpation d’identité de marque ce trimestre, conservant ainsi sa place d’entreprise la plus ciblée au monde. » En d’autres termes, « …les cybercriminels privilégient les noms familiers, et Microsoft reste leur déguisement préféré. »

Sans surprise, les trois marques les plus usurpées sont Microsoft, Google et Apple. Meta est absent de la liste, tout comme Netflix, ce qui est une bonne chose, car la plateforme n’a pas encore intégré de clés d’accès ni même d’authentification à deux facteurs à ses comptes.

« Après plusieurs trimestres d’absence », déclare Check Point, « PayPal et DHL ont réintégré le top 10, se classant respectivement 6e et 10e. Leur retour témoigne d’un regain d’intérêt des cybercriminels pour les plateformes financières et les services de livraison, des secteurs où la confiance et l’urgence peuvent être facilement manipulées. »

Votre boite de courriels: le maillon faible face aux attaques par usurpation ?

Ces attaques par usurpation d’identité visent à voler vos identifiants de sécurité. Et comme pour les attaques contre Gmail, qui, comme le confirme Google, permettent aux pirates d’accéder aux comptes, les comptes de messagerie sont prisés comme passerelles vers d’autres plateformes. L’attrait supplémentaire des comptes Microsoft réside dans le fait qu’ils constituent souvent un point d’entrée dans une entreprise.

Ces e-mails (ou SMS) de marque contiennent un lien malveillant vers une fausse page de connexion. Une fois sur place et après avoir saisi votre nom d’utilisateur et votre mot de passe, le pirate peut ouvrir votre compte sur son propre appareil. Si vous utilisez l’authentification à deux facteurs (2FA), la tâche est plus difficile. En revanche, si cette authentification est par SMS, elle est de plus en plus facile à contourner. Il vous faut alors utiliser une autre méthode.

En priorité, ajoutez une clé d’accès à votre compte Microsoft. Cela associe la sécurité de votre compte à celle de votre matériel. Une clé d’accès ne peut être ni volée ni contournée. Un pirate ne peut pas vous inciter à communiquer de code. Et remplacez votre authentification à deux facteurs par une application d’authentification, et non par SMS.

Votre ancien mot de passe est le maillon faible qui annule tous vos efforts.

Au-delà de cela, l’avertissement de Microsoft est crucial. Si vous faites tout cela tout en conservant un mot de passe sur votre compte, avec une authentification à deux facteurs faible comme garantie, ce mot de passe reste la clé d’accès à vos données. Vous devez soit le remplacer par un mot de passe long et unique, soit le supprimer.

Avec 4 tentatives d’usurpation d’identité sur 10 ciblant Microsoft, on comprend pourquoi le géant de la technologie souhaite que tout le monde le fasse dès maintenant. « Nous devons convaincre une population incroyablement large et diversifiée de changer définitivement un comportement familier, et de s’en réjouir. »