Entre le mois de janvier et mars 2019, l’équipe de recherche sur les menaces de Microsoft a procédé à l’analyse de tous ses comptes utilisateurs. Ils ont remarqué que près de 44 millions d’abonnés ont réutilisé des identifiants et des mots de passe qui ont déjà été exposés publiquement en ligne suite de multiples cas de violations de sécurité au niveau d’autres services en ligne. Ces utilisateurs ont utilisé les mêmes identifiants et les mêmes mots de passe sur différents comptes en ligne. Microsoft avait obtenu ce résultat en scannant plus de 3 milliards d’informations divulguées provenant de plusieurs sources comme les forces de l’ordre ainsi que les bases de données publiques.

Les 44 millions de comptes identifiés incluaient des comptes Microsoft Services et Azure, face à ce constat Microsoft a décidé d’envoyer des demandes de réinitialisation de mot de passe pour les comptes dont les identifiants et les mots de passe ont été divulgués. De plus, Microsoft incite également les utilisateurs à avoir recours à des solutions d’authentifications mufti facteurs qui permettraient selon eux de bloquer 99,9% de toutes les attaques. Microsoft a toujours émis un avertissement concernant l’utilisation de mots de passe à faible protection ou facile à deviner lors de la configuration d’un compte. Toutefois, ces mises en garde ne concernent pas la réutilisation de mots de passe divulgués. En effets, des personnes malveillantes peuvent utiliser les mots de passe divulgués pour accéder aux autres comptes des utilisateurs tels que Microsoft, Google, Facebook et Twitter. Ce que Microsoft désigne par le terme « attaque de reprise de brèche ». Une enquête universitaire de 2018 portant sur 28,8 millions de comptes d’utilisateurs a révélé que la réutilisation de mots de passe et les petites modifications du mot de passe d’origine étaient une situation courante pour 52% des utilisateurs. Cette étude a également indiqué que 30% des mots de passe modifiés et tous les mots de passe réutilisés peuvent être piratés en à peine 10 minutes.

À lire aussi Microsoft corrige un bug sur son système de connexion qui pouvait être exploité pour détourner les comptes en ligne des utilisateurs