La cybersécurité en entreprise ne devrait pas être un challenge inatteignable lorsqu’il s’agit de mots de passe. Le mantra de l’utilisation de mots de passe uniques et forts est sans doute l’enseignement le plus élémentaire et il est prôné au sein des organisations depuis plusieurs décennies. Cependant, malgré les efforts déployés par les professionnels de la sécurité pour sensibiliser à l’importance d’une bonne hygiène des mots de passe, la grande majorité des utilisateurs ont du mal à suivre. Une mauvaise hygiène des mots de passe pose ainsi un réel challenge aux entreprises qui luttent contre une pléthore de cybermenaces, comme l’augmentation du bourrage de données d’identification ou encore des attaques par force brute.
Notre dernier rapport 2023 intitulé « Global Weak Password Report », qui examine plus de 800 millions de mots de passe compromis, illustre plus clairement à quel point la situation de la sécurité des mots de passe est mauvaise chez les entreprises. Si l’on considère que plus de 15 milliards d’informations d’identification volées ont été mises à disposition sur Internet, un mot de passe falsifié peut ainsi être réutilisé dans le cadre de multiples attaques.
Non, “password” n’est toujours pas un mot de passe solide
Le rapport a révélé que les utilisateurs ne créaient pas de longs mots de passe. Ainsi, 88 % des mots de passe compromis comportaient 12 caractères ou moins. Il est clair que les mots de passe courts sont utilisés en abondance, mais si l’on considère que 41 % des Américains se basent uniquement sur leur mémoire pour se souvenir des mots de passe, il est facile de comprendre pourquoi aucun mot complexe n’est envisagé.
En creusant davantage, il a été constaté que 24 % des mots de passe piratés comportaient 8 caractères, tandis que 18 % n’étaient constitués que de lettres minuscules. L’analyse des termes de base les plus utilisés par les utilisateurs pour les mots de passe a révélé que « password », « admin », « welcome » et « p@ssw0rd » étaient les plus courants.
Compte tenu des avertissements et des conseils régulièrement prodigués par le secteur, il est très inquiétant de constater qu’en 2023, les utilisateurs protègent encore leurs comptes, ainsi que l’accès à des informations potentiellement sensibles, à l’aide de mots de passe simples et faibles. Les conclusions du rapport montrent clairement que les meilleures pratiques en matière de cybersécurité ne sont pas respectées. Il met non seulement en évidence le manque de contrôles mis en place pour protéger les entreprises contre les mots de passe faibles et compromis, mais il souligne également l’importance de mettre un terme à la réutilisation des mots de passe.
Faut-il une réglementation plus stricte ?
Selon le rapport de Verizon sur les vols de données, 82 % des violations impliquent l’élément humain, comme les attaques d’ingénierie sociale, les erreurs et les mauvais usages. Faut-il donc adopter des règles plus strictes pour s’assurer que la sécurité des mots de passe est conforme aux meilleures pratiques en matière de sécurité ? Pas si sûr. En effet, 83 % des compromissions ont été jugées conformes à la longueur et à la complexité des réglementations sectorielles et des normes de cybersécurité recommandées par NIST, PCI, ICO pour GDPR, HITRUST pour HIPAA, et Cyber Essentials pour NCSC ou encore la CNIL en France. En bref : même lorsque les meilleures pratiques en matière de mots de passe sont appliquées, elles ne constituent pas nécessairement une défense fiable contre les cyberattaques dans leur état actuel.
Les attaques par force brute en situation réelle
Lorsqu’un mot de passe se retrouve sur une liste d’intrusion, il est hautement menacé par les attaques par force brute et les attaques par pulvérisation de mot de passe. Les attaques par force brute constituent la cybermenace la plus courante liée aux mots de passe et se produisent lorsque des hackers utilisent une méthode d’essai et d’erreur, générant une grande quantité de suppositions de mots de passe, jusqu’à ce que le bon soit trouvé. L’attaque prend en compte toutes les permutations possibles des caractères choisis et élabore des mots de passe dont la longueur varie entre le minimum et le maximum. Avec les combinaisons de caractères générées, l’outil produit le hachage de chaque mot de passe et le compare au hachage du mot de passe obtenu de l’ordinateur. S’il y a correspondance, le mot de passe issu de la permutation par force brute correspond au mot de passe utilisé par l’utilisateur de l’ordinateur.
Le rapport a également fait la lumière sur le fait que les cybercriminels utilisent souvent le mot de passe « homelesspa » dans leurs attaques, un mot extrait de la fuite de données de MySpace en 2016. Cela prouve clairement que malgré l’ancienneté de la violation, les pirates informatiques réutilisent toujours de « vieux » mots de passe issus de précédents hacks dans leurs attaques par force brute.
Nvidia : la grande fuite de données
On peut penser à tort que les personnes qui utilisent des mots de passe faibles ne sont probablement pas sensibilisées à la cybersécurité. Toutefois, si l’on examine les brèches dans l’actualité, on constate que ce n’est pas tout à fait le cas. Lorsque Nvidia, une multinationale américaine spécialisée dans les technologies, a été attaquée en 2022 par le groupe cybercriminel LAPSUS, des milliers de mots de passe ont été divulgués. Compte tenu de la nature de l’entreprise, qui est un fabricant mondial de logiciels et de technologies, on pourrait supposer que les mots de passe utilisés par les employés de Nvidia étaient robustes. Malheureusement, ils étaient plutôt faciles à deviner, « Nvidia », « qwerty » et « nvidia3d » figurant parmi les mots de passe les plus couramment utilisés. Lorsqu’ils réfléchissent au type de mot de passe, les utilisateurs doivent comprendre que les mots de passe, les passphrases ou les termes liés à l’entreprise sont parmi les premiers que les pirates essaieront d’utiliser dans leurs attaques et qu’ils doivent être évités à tout prix.
Des recommandations simples pour mettre en place des systèmes de défense supplémentaires
Les organisations continueront à se reposer sur les mots de passe en guise de défense. La réutilisation des mots de passe et d’autres mauvaises pratiques étant courantes, les organisations doivent s’assurer que d’autres moyens de défense sont en place pour protéger efficacement l’accès aux informations de l’entreprise. Voici trois étapes clés de mise en œuvre pour aider les organisations :
Premièrement, protéger Active Directory (AD) dans un domaine Windows, qui fournit le contrôle d’accès à la plupart des entreprises. AD est le système de sécurité et de gestion centralisé qui stocke les comptes d’utilisateurs et d’ordinateurs authentifiés et qui leur permet de prouver leur identité pour accéder aux ressources.
Deuxièmement, les organisations doivent comprendre que les paramètres de la politique de mot de passe par défaut de l’AD ne sont pas adéquats. Il est donc essentiel de déployer un logiciel de sécurité des mots de passe tiers comme couche de défense supplémentaire pour les comptes AD.
Enfin, il convient de rechercher une solution capable d’identifier et de bloquer en temps réel l’utilisation de mots de passe piratés ou compromis. Cela devrait minimiser le risque qu’ils soient utilisés à l’avenir dans le cadre d’une attaque.
En conclusion, il convient d’accepter que l’hygiène des mots de passe des employés ne sera jamais parfaite. Cependant, il devient urgent pour les entreprises et leur service IT de s’approprier le problème et de mettre en oeuvre des processus soutenus par le système qui garantissent des normes de sécurité plus élevées.
Tribune rédigée par Noé Mantel, spécialiste produit chez Specops Software
<<< A lire également : Cybersécurité, quelles bonnes pratiques pour se protéger du vol et de la contrefaçon ? >>>
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits