Le silence est d'or, mais pas pour les comptes dormants. En effet, ils posent des risques de sécurité importants pour les utilisateurs et les entreprises. Les cybercriminels en sont bien conscients et sont capables d'utiliser des informations volées sur des comptes oubliés pour exploiter ceux actifs. C'est ce qui ressort de la première étude Customer Identity Trends Report d'Okta qui a interrogé plus de 20 000 consommateurs dans 14 pays sur leurs expériences en ligne et leurs attitudes à l'égard de la sécurité et de l'identité numériques. Ce rapport a révélé que la prolifération des identités peut déclencher des risques de sécurité importants liés à la prise de contrôle de comptes (ATO) en raison des comptes dormants, en particulier si les clients réutilisent (ou ne modifient que légèrement) les mots de passe ou ne procèdent pas à des vérifications de sécurité. Une faille dans n'importe quel service ouvre la voie pour un acteur malveillant à disposer d'un volume considérable d'informations d'identification et de données personnelles associées. Les attaquants étant capables de se servir de ces informations à grande échelle pour compromettre des comptes actifs, y compris des comptes et des réseaux professionnels importants.

Cette enquête a été publiée après l'annonce de Google de mettre à jour sa politique d'inactivité pour les comptes en la portant à deux ans, ce qui signifie que si un compte personnel n'a pas été utilisé ou n'a pas fait l'objet d'une connexion pendant au moins deux ans, le compte et son contenu peuvent être supprimés. Cela inclut le contenu de Workspace (Gmail, Docs, Drive, Meet, Calendar) et de Photos. Les nouvelles règles entreront en vigueur au plus tôt en décembre 2023, a précisé l'entreprise.

La prolifération des comptes contribue aux risques liés aux comptes inactifs

Le volume considérable de nouveaux comptes créés débouche sur un phénomène notable d'attrition se caractérisant par un empilement de comptes non utilisés mais pas pour autant actifs d'un utilisateur. Les plus anciens ne sont pas supprimés, mais deviennent souvent inutilisés et oubliés, parfois pendant des années, devenant en sorte morts-vivants. Selon le rapport d'Okta, cette prolifération est plus fréquente chez les jeunes utilisateurs, mais elle est significative dans la plupart des groupes d'âge. Le nombre estimé de nouveaux comptes en ligne enregistrés au cours des trois derniers mois pour les 18-29 ans est légèrement supérieur à 40, avec une légère baisse à 35 pour les 30-39 ans et à 34 pour les 40 à 49 ans. Les 60 ans et plus ne sont pas en reste et en auraient créé environ 20 au cours des trois derniers mois.

L'un des principaux défis posés par le renouvellement des comptes est la capacité à gérer et à maintenir en toute sécurité les empreintes numériques d'un grand nombre de comptes. Le rapport d'Okta révèle que 71 % des personnes interrogées sont conscientes que leurs activités en ligne laissent des traces, mais que seulement 44 % d'entre elles prennent des mesures pour les atténuer. La gestion des mots de passe semble être un point d'achoppement particulier, 63% des personnes interrogées déclarant qu'elles sont incapables de se connecter à un compte parce qu'elles ont oublié leur nom d'utilisateur ou leur mot de passe au moins une fois par mois, selon le rapport. Bien que la réinitialisation des mots de passe soit généralement possible, les utilisateurs peuvent décider que le processus n'en vaut tout simplement pas la peine, ce qui entraîne une plus grande inactivité des comptes. Seuls 52 % des répondants ont déclaré avoir toujours accès à tous leurs comptes, tandis que 42 % seulement utilisent des mots de passe différents pour chaque compte et que 29 % seulement vérifient ou modifient régulièrement les paramètres de confidentialité de leurs comptes.

Les cybercriminels privilégient les informations d'identification volées pour renforcer leurs attaques

Selon Google, les comptes inactifs qui n'ont pas été consultés pendant de longues périodes sont plus susceptibles d'être compromis. « Cela s'explique par le fait que les comptes oubliés ou non surveillés reposent souvent sur des mots de passe anciens ou réutilisés qui peuvent avoir été compromis, que l'authentification à deux facteurs (2FA) n'a pas été mise en place et que l'utilisateur effectue moins de contrôles de sécurité », a ajouté l'entreprise. En fait, les comptes abandonnés ont au moins dix fois moins de chances que les comptes actifs d'être dotés d'une authentification double facteur, selon l'éditeur. Ils sont donc particulièrement vulnérables et, une fois compromis, ils peuvent être utilisés à des fins diverses, depuis l'usurpation d'identité jusqu'à la diffusion de contenus indésirables, voire malveillants, tels que des spams.

Selon l'enquête Verizon 2022 Data Breach Investigations Report, plus de 80 % des brèches impliquant des attaques contre des applications web peuvent être attribuées à des identifiants volés. Les cybercriminels privilégient le vol d'informations d'identification pour renforcer leurs attaques et contourner les mesures de sécurité, et se montrent même prêts à délaisser les logiciels malveillants au profit de l'abus d'informations d'identification pour faciliter l'accès et la persistance dans les environnements des victimes. Cette tendance a également créé une forte demande pour les services malveillants opérés par des tiers via des réseaux de cybergangs qui vendent des identifiants d'accès volés. Selon le CrowdStrike 2023 Global Threat Report, li y a eu une augmentation de 112 %  sur un an du nombre de publicités identifiées pour des services de courtage d'accès malveillants, soit environ 2 500.