Les comptes inactifs sont une porte d’entrée pour les cybercriminels (Étude)

On les oublie, on les laisse dormir… et on finit par les regretter. Les comptes en ligne inactifs représentent une faille de sécurité majeure. C’est le constat dressé par une étude de l’éditeur en cybersécurité Eset publiée le 2 juin dernier, qui alerte sur les risques liés à ces comptes souvent laissés à l’abandon, mais toujours accessibles.

Créer un compte est devenu un geste banal. Une promo, une application, un service à tester, et hop, un nouveau compte voit le jour. Pourtant, il est bien plus difficile de supprimer un compte que de le créer. Résultat : nous en accumulons des dizaines au fil des années. Et ces comptes, lorsqu’ils ne sont plus utilisés, deviennent une cible facile.

Traduction : parfois, c’est en supprimant ce que l’on n’utilise plus que l’on protège le mieux ce que l’on veut garder.

Un constat

Google lui-même indique que les comptes inactifs sont dix fois moins protégés par une authentification à deux facteurs que les comptes actifs. Ces comptes utilisent souvent des identifiants anciens, faibles ou réutilisés, ce qui les rend d’autant plus vulnérables en cas de fuite de données. Une aubaine pour les cybercriminels, qui raffolent de ces portes entrouvertes.

Une fois compromis, un compte inactif peut servir à envoyer des spams, diffuser des arnaques, usurper votre identité ou revendre vos données sur le dark web. Il peut aussi contenir des informations personnelles, des coordonnées bancaires ou des points de fidélité, autant de ressources exploitables à votre insu.

Et l’impact peut être bien plus large. Dans le monde professionnel, les comptes oubliés sont aussi redoutables. Le piratage d’un compte VPN inactif avait permis l’attaque du pipeline Colonial en 2021, provoquant une crise majeure sur la côte est des États-Unis. Même scénario en 2020 à Hackney, au Royaume-Uni, où un compte municipal inactif a ouvert la voie à une attaque par rançongiciel.

Que faire ?

Heureusement, certains services commencent à réagir. Google, Microsoft ou X ferment automatiquement les comptes inactifs au bout d’un certain délai. Mais il est conseillé d’agir avant qu’il ne soit trop tard. L’entreprise recommande un petit ménage annuel : recherchez dans votre messagerie les inscriptions oubliées, supprimez les comptes inutiles, changez les mots de passe anciens ou compromis, et activez la double authentification sur les comptes que vous souhaitez conserver.

Retour en haut