Vous êtes victime d'une attaque ?
Chaque année, le premier jeudi du mois de mai, a lieu la Journée mondiale du mot de passe, et cette journée est souvent un peu déprimante pour les experts en sécurité. Malgré des années d'avertissements, de violations de données et de campagnes de sensibilisation à la cybersécurité, de nombreuses personnes continuent à utiliser des mots de passe faibles, prévisibles et réutilisés.
Le message ne passe pas
Les mots de passe les plus couramment utilisés n'ont pratiquement pas changé depuis plus de dix ans. Des variantes de "123456", "password", "qwerty" et d'autres combinaisons faciles à deviner continuent d'apparaître en tête des listes mondiales année après année. Si la technologie a évolué rapidement, il n'en va pas de même pour les habitudes en matière de mots de passe.
Pour les cybercriminels, il s'agit d'un moyen facile d'accéder aux comptes personnels et professionnels. Les attaquants savent que de nombreux utilisateurs préfèrent encore la commodité à la sécurité, et ils exploitent activement ce comportement par le biais du bourrage d'identifiants, d'attaques par force brute et de campagnes d'hameçonnage.
Le danger des mots de passe faibles et réutilisés
Un mot de passe faible est déjà un problème. Un mot de passe réutilisé est souvent pire.
Lorsqu'un site web est victime d'une faille, les noms d'utilisateur et les mots de passe volés sont rapidement testés dans les banques, les messageries électroniques, les systèmes de stockage en nuage et les plateformes de travail. Si le même mot de passe a été réutilisé, une seule faille peut débloquer plusieurs comptes.
Pour les organisations, les mots de passe réutilisés peuvent conduire à des comptes Microsoft 365 compromis, à un accès VPN exposé, à une compromission de la messagerie professionnelle et à un accès non autorisé à des données sensibles. Dans de nombreux incidents, les attaquants n'ont pas besoin de logiciels malveillants sophistiqués. Ils se connectent simplement avec des informations d'identification valides.
Chez Integrity360, nous constatons régulièrement que les attaques basées sur l'identité restent l'un des moyens les plus rapides et les plus efficaces pour les acteurs de la menace d'obtenir un accès. Alors que les entreprises améliorent leurs défenses périmétriques, les criminels ciblent de plus en plus les utilisateurs, les informations d'identification et les faiblesses d'authentification.
Pourquoi les mots de passe restent un problème
Les mots de passe font peser une trop grande responsabilité sur les utilisateurs. On attend d'eux qu'ils créent des dizaines de combinaisons uniques et complexes, qu'ils s'en souviennent, qu'ils les mettent à jour et qu'ils évitent de les écrire.
Cela conduit souvent à un comportement familier :
- Choisir des mots de passe courts ou mémorables
- Réutiliser le même mot de passe pour plusieurs services
- Ne procéder qu'à des modifications mineures lorsqu'il est demandé de réinitialiser le mot de passe
- Stocker les mots de passe de manière non sécurisée dans des notes ou des feuilles de calcul.
Même lorsque les organisations appliquent des politiques de mot de passe, celles-ci sont souvent ignorées ou contournées.
Le NCSC s'oriente vers les passkeys
Récemment, le National Cyber Security Centre (NCSC) du Royaume-Uni a exhorté les utilisateurs à abandonner les mots de passe au profit des clés d'accès lorsqu'elles sont disponibles, estimant qu'il s'agissait d'un changement majeur dans les pratiques de sécurité établies de longue date.
Les clés d'accès sont une nouvelle forme d'authentification qui supprime complètement la nécessité de se souvenir des mots de passe. Au lieu de s'appuyer sur un secret partagé, elles utilisent la cryptographie à clé publique. Une clé reste en sécurité sur l'appareil de l'utilisateur, tandis que la clé publique correspondante est stockée par le service auquel l'utilisateur accède.
Dans la pratique, les utilisateurs se connectent souvent à l'aide d'un élément déjà intégré à leur appareil, comme Face ID, la reconnaissance des empreintes digitales ou un code PIN.
Comme il n'y a pas de mot de passe à saisir, les passkeys peuvent réduire considérablement le risque de phishing, de vol de mot de passe et de réutilisation des informations d'identification. Chaque passkey est unique pour le site web ou l'application pour lequel il est créé, ce qui rend beaucoup plus difficile pour les attaquants d'exploiter plusieurs services.
Le NCSC a décrit les passkeys comme une option plus conviviale qui peut également améliorer la résilience globale.
Les passkeys ne sont pas la solution complète
Les passkeys sont une alternative, mais ils ne sont pas encore pris en charge par toutes les plateformes. Les utilisateurs peuvent être confrontés à des problèmes de récupération s'ils perdent l'accès à leurs appareils. Les organisations ont également besoin de processus clairs pour l'inscription, la gestion des appareils et la récupération des comptes.
Cela signifie que les entreprises devraient considérer les passkeys comme faisant partie d'une stratégie plus large de sécurité de l'identité plutôt que comme une solution autonome.
Point de vue d'Integrity360 : l'identité est la nouvelle ligne de front
Chez Integrity360, nous conseillons aux entreprises de considérer l'authentification comme un contrôle de sécurité essentiel. Qu'elles utilisent des mots de passe, des clés ou un mélange des deux, l'accent doit être mis sur la réduction des risques liés à l'identité.
Cela inclut
- L'activation de l'authentification multifactorielle dans tous les services critiques
- Déployer des gestionnaires de mots de passe pour les utilisateurs pour lesquels les mots de passe restent nécessaires
- surveiller les informations d'identification compromises sur le dark web
- Détecter les comportements de connexion suspects par le biais des services MDR et SOC
- Mise en œuvre de clés d'accès (passkeys) lorsque cela est possible
- Former les utilisateurs à reconnaître les tentatives d'hameçonnage
L'avenir sera probablement sans mot de passe, mais la plupart des organisations sont encore dans une phase de transition. Pendant cette période, les attaquants continueront à cibler les informations d'identification faibles partout où ils les trouveront. Si vos mots de passe sont encore simples, réutilisés ou inchangés depuis des années, il est temps d'agir. Des mots de passe uniques et forts, l'AMF et les clés d'accès peuvent réduire considérablement les risques.
Les mots de passe ne disparaîtront peut-être pas du jour au lendemain, mais leur domination est en train de s'achever. Les organisations et les personnes qui se modernisent rapidement seront bien mieux placées pour rester en sécurité.
Besoin d'aide en matière de cybersécurité ? Contactez nos experts dès aujourd'hui.
