Après une analyse de tous les comptes d’utilisateurs de la société effectuée entre janvier et mars de cette année, l’ équipe de recherche sur les menaces de Microsoft a découvert que 44 millions d’utilisateurs réutilisaient des noms d’utilisateur et des mots de passe qui avaient été divulgués en ligne à la suite d’atteintes à la sécurité d’autres services en ligne.
Le géant de l’informatique a expliqué qu’il scannait les comptes d’utilisateur en utilisant une base de données contenant plus de trois milliards d’ informations d’identité divulguées qu’il avait obtenues de différentes sources, y compris des bases de données publiques et de l’application de la loi.
En procédant à cette analyse, Microsoft a pu identifier les utilisateurs qui avaient réutilisé les mêmes noms d’utilisateur et mots de passe sur plusieurs services en ligne. La société a expliqué ce qu’elle avait fait après avoir découvert que les utilisateurs avaient réutilisé les noms d’utilisateur et les mots de passe.
Ci-dessous une vidéo relatant ces faits :
https://www.youtube.com/watch?v=jjKa4-VDiHM
Pour les informations d’identification divulguées pour lesquelles nous avons trouvé une correspondance, nous imposons une réinitialisation du mot de passe. Aucune action supplémentaire n’est requise du côté du client. Du côté entreprise, Microsoft élèvera le risque utilisateur et avertira l’administrateur de sorte qu’une réinitialisation des informations d’identification puisse être effectuée.
Microsoft et les autres géants de la technologie mettent généralement en garde les utilisateurs contre l’utilisation de mots de passe faibles ou simples lors de la création d’un compte. Malheureusement, ces avertissements ne s’appliquent pas lorsqu’une personne réutilise les informations d’identification d’un autre service.
Bien que Microsoft vérifie que ses utilisateurs utilisent des mots de passe complexes, il n’existe aucun moyen de savoir si un utilisateur a réutilisé ce mot de passe pour d’autres services. Lorsqu’un service tiers subit une brèche de sécurité entraînant la fuite d’informations d’identification de l’utilisateur en ligne, cela met également le compte Microsoft d’un utilisateur en danger, même s’il a utilisé un mot de passe fort.
Le géant de l’informatique a expliqué qu’il scannait les comptes d’utilisateur en utilisant une base de données contenant plus de trois milliards d’ informations d’identité divulguées qu’il avait obtenues de différentes sources, y compris des bases de données publiques et de l’application de la loi.
L’analyse de la société
En procédant à cette analyse, Microsoft a pu identifier les utilisateurs qui avaient réutilisé les mêmes noms d’utilisateur et mots de passe sur plusieurs services en ligne. La société a expliqué ce qu’elle avait fait après avoir découvert que les utilisateurs avaient réutilisé les noms d’utilisateur et les mots de passe.
Ci-dessous une vidéo relatant ces faits :
https://www.youtube.com/watch?v=jjKa4-VDiHM
Pour les informations d’identification divulguées pour lesquelles nous avons trouvé une correspondance, nous imposons une réinitialisation du mot de passe. Aucune action supplémentaire n’est requise du côté du client. Du côté entreprise, Microsoft élèvera le risque utilisateur et avertira l’administrateur de sorte qu’une réinitialisation des informations d’identification puisse être effectuée.
Réutilisation des informations d’identification
Microsoft et les autres géants de la technologie mettent généralement en garde les utilisateurs contre l’utilisation de mots de passe faibles ou simples lors de la création d’un compte. Malheureusement, ces avertissements ne s’appliquent pas lorsqu’une personne réutilise les informations d’identification d’un autre service.
Bien que Microsoft vérifie que ses utilisateurs utilisent des mots de passe complexes, il n’existe aucun moyen de savoir si un utilisateur a réutilisé ce mot de passe pour d’autres services. Lorsqu’un service tiers subit une brèche de sécurité entraînant la fuite d’informations d’identification de l’utilisateur en ligne, cela met également le compte Microsoft d’un utilisateur en danger, même s’il a utilisé un mot de passe fort.