L'Université du Michigan accuse les fuites de mots de passe de violations de données par des tiers

Vendredi, des étudiants de l'Université du Michigan (UM) ont été alertés au sujet d'une liste d'informations d'identification de connexion qui circulait. Le fichier a été distribué gratuitement et contient en effet des dizaines de milliers de paires d'adresses e-mail @umich.edu et de mots de passe en clair. Certains étudiants ont jeté un coup d'œil à la liste et ont eu peur de découvrir que leurs données de connexion étaient valides. Comme on pouvait s'y attendre, ils ont initialement blâmé la porte de l'UM, mais il s'est avéré plus tard que l'institution n'était en aucun cas responsable de la fuite. En fait, il s'est avéré que ce sont les étudiants qui auraient pu faire beaucoup plus pour se protéger.

Les données de connexion ont été divulguées lors de violations non liées

Peu de temps après la publication des listes, l'Université du Michigan a publié un avis officiel expliquant que les adresses électroniques et les mots de passe divulgués provenaient de violations de données par des tiers. L'université a assuré à ses étudiants que ses systèmes n'avaient pas été compromis et a annoncé qu'elle réinitialisera les mots de passe si elle voit un réel danger d'accès non autorisé.

Après avoir clarifié ce qui s'était passé exactement, l'avis a donné aux étudiants quelques conseils sur la façon d'améliorer leur sécurité globale en ligne. Il faut dire que si les étudiants avaient tenu compte de ces conseils avant la publication de la liste des mots de passe, l'avis aurait été complètement inutile.

Comment les étudiants de l'UM se mettent en danger

La liste des noms d'utilisateur et des mots de passe expose les étudiants d'UM à un risque très réel d'attaques de bourrage d'informations d'identification. Pour ceux d'entre vous qui ne le savent pas, dans une attaque de bourrage d'informations d'identification, les pirates prennent une grande liste de noms d'utilisateur et de mots de passe volés à partir d'un service et les essayent contre plusieurs autres. Ils espèrent que de nombreuses personnes utilisent les mêmes informations d'identification sur de nombreux sites Web différents, et le fait que le bourrage d'informations d'identification soit largement considéré comme le meilleur moyen de compromettre un grand nombre de comptes avec un minimum d'effort montre que leur pari est généralement payant.

Il est de notoriété publique que la seule façon d'arrêter les attaques de bourrage d'informations d'identification est d'arrêter la réutilisation des mots de passe, mais il est clair que cela est plus facile à dire qu'à faire. C'est pourquoi l'authentification à deux facteurs existe.

L'Université du Michigan a pensé à la sécurité de ses étudiants et a mis en place un système qui oblige l'utilisateur à répondre à un appel, à entrer un code ou à appuyer sur une notification push pour se connecter avec succès. Malheureusement, il n'est pas activé par défaut et il est difficile de dire combien d'étudiants concernés l'utilisent.

Nous devrions probablement aborder également la question de savoir d'où viennent les données. Dans son avis, l'Université du Michigan a mentionné trois fournisseurs de services en ligne qui ont été violés dans le passé et auraient pu être à l'origine des adresses e-mail et des mots de passe divulgués: Chegg, LinkedIn et Zynga. Nous devons souligner que personne n'a officiellement confirmé la provenance des données volées, mais nous irons avec ces trois fournisseurs pour illustrer à quel point il est important de réfléchir à l'adresse e-mail que vous utilisez lors de votre inscription un compte en ligne.

Chegg offre des services dans le domaine de l'éducation, et vous pouvez voir comment un étudiant peut utiliser son adresse e-mail de l'Université du Michigan pour créer un compte Chegg. LinkedIn est le réseau social professionnel le plus populaire au monde, et vous pourrez peut-être également justifier d'y associer un profil à une adresse @umich.edu.

Zynga, quant à elle, est un développeur de jeux en ligne. Il vous demande de vous inscrire pour pouvoir cultiver des légumes virtuels ou résoudre des mots croisés en ligne. L'utilisation d'une adresse e-mail universitaire pour créer ce type de compte ne semble tout simplement pas la bonne chose à faire, et comme vous pouvez le voir, cela peut également mettre votre sécurité en ligne en danger.

La nécessité de jongler avec tant de comptes en ligne a conduit certaines personnes à croire que nous avons complètement perdu le contrôle de nos données. Cela n'est vrai que dans une certaine mesure. Lorsque nous devons communiquer avec des personnes en mesure de façonner notre avenir, nous devons utiliser des adresses e-mail officielles. D'un autre côté, lorsque nous attendons des mises à jour d'un jeu mobile qui fait perdre du temps, nous ferions probablement mieux d'utiliser un e-mail jetable dont nous ne nous soucions pas trop. Après tout, nous ne devons pas oublier que le nom d'utilisateur et le mot de passe doivent être identiques pour qu'une attaque de bourrage d'informations d'identification fonctionne.