Cybersécurité : comment l'audit des mots de passe peut prévenir l'erreur humaine en entreprise

Chaque collaborateur doit créer (et retenir !) un très grand nombre de mots de passe pour s'authentifier aux diverses applications et logiciels au sein de son entreprise. Or, le choix d'un mot de passe de faible qualité peut provoquer une brèche de sécurité dommageable. Et malgré les rappels réguliers des DSI, la problématique de protection des mots de passe - qui peut paraître anodine - est en réalité la source avérée de la plupart des cyberattaques récentes.

Parmi elles, on retrouve celle de SolarWinds et du Marriott en 2020, ou encore celle de GoDaddy récemment, qui avaient toutes pour origine la découverte d’un mot de passe faible. 

Enfin avec la hausse de la pratique du télétravail et l’utilisation des outils professionnels à des fins personnelles notamment, les attaques par force brute (découverte d’un mot de passe en réalisant un grand nombre de tentatives d’authentification) ont nettement augmenté. Pourtant, le respect de quelques principes simples peuvent permettre de faire fuir les hackers...

Sécuriser les accès par mots de passe : une affaire avant tout humaine 

La sécurisation des accès passe notamment par un objectif clé : la sensibilisation des collaborateurs en interne. En effet, ceux-ci doivent pouvoir être formés au choix d’un mot de passe, et sur les erreurs courantes à ne pas commettre, comme par exemple :

  • Utiliser des mots de passe trop courts (moins d’une dizaine de caractères). Dans une enquête recensant plus de 25 millions d'attaques parue récemment, Microsoft explique en effet que 77 % des mots de passe piratés comprennent moins de 7 caractères.
  • Réutiliser le même mot de passe pour différents accès, même complexe.
  • Ne pas changer son mot de passe lorsqu’on a une suspicion ou que le site est compromis : de même qu’on ne change pas la clé de sa serrure tous les 3 mois, il n’est pas nécessaire de mettre à jour son mot de passe à tout bout de champ ! Toutefois, le renouvellement du mot de passe est recommandé en cas de suspicion ou pour les comptes à privilèges (accès à l’ensemble du Système d’Information de l’entreprise).
     

Le second enjeu central se situe dans le mode de gouvernance de l’entreprise : la direction doit elle-même être convaincue que la politique de durcissement de mot de passe et de mises à jour régulières est une affaire centrale pour la sécurité de ses collaborateurs et des données de l’entreprise, comme par exemple la mise en place obligatoire d’une authentification multi-facteurs (un mot de passe doublé d’un code reçu sur son smartphone).


Réaliser un audit de mot de passe pas à pas 

Une fois les priorités posées et le projet lancé, l’audit de mots de passe peut commencer ! En faisant appel à une société de conseil spécialisée, il est possible de réaliser des attaques de mots de passe grandeur nature grâce à une machine et un logiciel dédiés, totalement offline et sécurisés. 

En récupérant en premier lieu la base de comptes interne de l'entreprise, ou l'annuaire des comptes de l'entreprise, il est ensuite possible de tester les mots de passe durant plusieurs semaines. L’objectif : faire tomber un maximum de mots de passe “faibles”, pour pouvoir analyser ensuite les différents types de problématiques retrouvées au sein de l’entreprise. 
 

Pour réaliser ces tests de mots de passe, différentes techniques d’attaques existent :

  • Par dictionnaire : en testant une liste de mots de passe potentiels “simples” (nom de l’entreprise, suite de chiffres, prénoms…).
  • Par permutation : en se basant sur cette même liste et en effectuant des permutations, comme lorsque l’utilisateur remplace des lettres par des caractères spéciaux (“a” par des “@” par exemple).
  • Par force brute : basées sur la puissance de calcul de l’ordinateur, il est possible de tester de manière incrémentale des centaines de milliers de combinaisons par seconde.

À noter qu’avec la puissance de calcul disponible aujourd’hui par la plupart des hackers, un mot de passe de 5 caractères ou moins sera presque instantanément découvert. En effet, d'après une récente étude Nordpass, il faut moins d’une seconde à un hacker pour trouver des mots de passe comme « 12345 », « azerty », « loulou » ou « bonjour ».
 

Selon les résultats de l’audit, offrant différents graphiques et statistiques sur le pourcentage de mots de passe trouvés, leur taille et une vision détaillée de la sécurité des comptes à privilèges et des comptes sensibles, il sera intéressant de développer un plan d’action adapté pour répondre aux problèmes rencontrés par l’entreprise. Par exemple : des formations dédiées pour tous les collaborateurs afin de comprendre les bonnes pratiques en matière de mots de passe, des fausses attaques de phishings gamifiées orchestrées par l’entreprise, ou encore l’instauration d’audits réguliers.
 

La dernière étape repose sur le fait de bien s’outiller pour anticiper les attaques, en utilisant les derniers leviers qu’offrent la technologie, en s’appuyant notamment sur l’automatisation du renouvellement de certificats numériques. Il est en effet possible aujourd’hui de remplacer les mots de passe par un certificat numérique, qui réduit les risques reposant sur les mots de passe faibles. La sécurité n’est plus dans les mains de l’utilisateur, mais réside dans la capacité de la DSI à gérer correctement le cycle de vie du certificat : génération, renouvellement, révocation...