52 secondes… Le temps nécessaire pour pirater le mot de passe d’un employé et entrer dans le réseau de son entreprise !
Un mot de passe faible utilisé par un employé suffit à rendre toute l’entreprise vulnérable. Malgré des efforts de sensibilisation, les pratiques des employés ne changent pas assez vite, et la gestion des mots de passe demeure le cauchemar des responsables sécurité.
La sécurité des mots de passe, l'un des plus grands défis de l’informatique
80 % des fuites de données en entreprise sont causées par des mots de passe faibles ou volés… La statistique est éloquente. Les mots de passe ne forment qu’une seule couche de protection et sont très facilement usurpés. En effet, il faudrait potentiellement 52 secondes à un pirate pour usurper un mot de passe de 8 caractères, même aléatoires, contre 11 minutes pour un mot de passe qui inclut des chiffres*.
Dès lors, il n’est pas surprenant de trouver des milliards de mots de passe en vente sur les réseaux cachés du web. Sur le Dark Web, un mot de passe peut se vendre environ 140 euros, ce qui ne décourage plus les pirates informatiques car la rentabilité des informations qu’ils pourront trouver sur un compte (informations sur les clients, les employés, propriété intellectuelle, etc.) est énorme. Des informations personnelles peuvent en effet parfois se monnayer jusqu’à 1 000 euros.
Pour pirater les mots de passe, les attaquants utilisent diverses méthodes, certaines sont complexes comme l’attaque par table arc-en-ciel (la plus efficace), l’attaque par force brute (la plus connue et répandue) ou l’attaque par dictionnaire. A l’inverse, l’attaque par ingénierie sociale nécessite beaucoup moins de compétences. Elle se décline sous plusieurs formes mais toutes ont un seul et unique objectif : tromper ou manipuler une personne pour qu’elle communique ses identifiants ou agisse d’une manière prédéfinie. Les méthodes les plus couramment utilisées sont les attaques de phishing mais une approche moins courante est le "shoulder surfing" (qui signifie regarder par-dessus l’épaule) qui consiste, pour le pirate, à simplement regarder un utilisateur saisir son mot de passe, à son insu.
Le mot de passe c’est la clé ouvrant sur le système
Une fois le mot de passe dérobé - dans la mesure où celui-ci est toujours valide - lancer une attaque devient un jeu d’enfant. Le pirate se connecte au compte, il explore le système pour identifier les failles et accéder aux privilèges d’un administrateur (le sésame) et il n’a plus alors qu’à lancer son attaque. En partant du cœur même du système, les possibilités d’attaques sont vastes : diffusion d’un ransomware, vol d’informations, destruction d’informations ou de parties ciblées du système d’informations, etc.
Soulignons également que dans environ 80 % des cas, le même mot de passe est utilisé sur plusieurs comptes, et que 6 % des utilisateurs ont recours au même mot de passe pour tous les comptes en ligne qu’ils utilisent. Malgré de vrais efforts de sensibilisation, l’humain reste le maillon faible pour la sécurité de l’entreprise et la mise en place de couches de sécurité complémentaires, est une nécessité.
Mots de passe forts – une solution malheureusement utopique
Il est urgent d’agir mais comment ?
Former ses employés à l’utilisation de mots de passe forts (16 caractères uniques, aléatoires, chiffres, caractères spéciaux) et à les changer régulièrement, est un bon début. Mais c’est un défi de taille et qui souvent se révèle inefficace. Malgré la bonne volonté de certains, il restera toujours des employés utilisant des mots de passe simples (et donc faibles) car plus faciles à mémoriser, ou des mots de passe légèrement plus complexes, mais qu’ils réutilisent sur plusieurs comptes afin de contrebalancer leur difficulté. Et malheureusement, un mot de passe compromis suffit à exposer toute l’entreprise.
Il faut tout de même continuer à sensibiliser et à former – l’objectif ultime du 100% d’utilisateurs vigilants n’est peut-être pas qu’un doux rêve - mais tout en étant bien conscient que les mots de passe forts ne suffisent plus.
L’authentification multifacteur est le nouveau prérequis
Pour surmonter ces difficultés, de nombreuses entreprises préfèrent la technologie et envisagent d’utiliser une solution d'authentification multifacteur (MFA) afin de limiter le risque encouru avec un mot de passe, qui ne constitue qu'un seul niveau de sécurité.
L'authentification à facteurs multiples désigne une méthode de confirmation d'identité associant plus de 2 facteurs d’authentification. Ces facteurs peuvent être des informations connues par l'utilisateur (comme un mot de passe ou un code PIN), des éléments qu'il possède (tels qu'un token physique ou un smartphone) ou une caractéristique qui lui est propre (comme une empreinte digitale).
Attention, toutes les solutions MFA ne sont pas fiables et efficaces. C’est le cas de la double authentification par SMS, que les pirates arrivent désormais facilement à intercepter ou à rediriger.
Les responsables informatiques ont bien conscience aujourd’hui qu’il est difficile d’imposer des pratiques strictes aux employés. Pour cette raison, 84 % des responsables travaillant dans des entreprises de moins de 1 000 employés –récemment interrogés dans le cadre d’une grande enquête – expliquent qu'ils préfèreraient disposer d'une technologie plutôt que de s'appuyer sur des stratégies visant à imposer des mots de passe forts.
Et en matière de mots de passe, l’authentification multifacteur est devenu un prérequis. Certaines solutions MFA traditionnelles sont difficiles à mettre en place et à gérer pour les entreprises, notamment pour celles dont les ressources informatiques sont limitées. Mais notamment grâce au Cloud, les technologies les plus récentes de MFA sont accessibles même aux TPE-PME. Au-delà de leur accessibilité au niveau coût, elles offrent également des avantages aux utilisateurs, comme le fait de ne nécessiter qu’une authentification unique pour accéder à tous leurs comptes.
C’est aussi tout l’avantage de la technologie, qu’il faut valoriser auprès des utilisateurs : la technologie fait des choses compliquées, mais peut tout à fait être simple d’utilisation.
*selon différents outils tels que How secure is my password, Passfault Analyzer.
Précision : 52 secondes est un temps estimé possible, mais cela suppose que la vérification du mot de passe est instantanée, que la connexion Internet est donc très rapide, qu’aucune sécurité de type anti brute force n’est mise en place, etc.