Les mots de passe sont inefficaces. Pourtant bien trop d’entreprises comptent uniquement sur eux pour protéger les comptes en ligne de leurs utilisateurs. Les options d’authentification multi-facteurs sont trop souvent boudées par les DSI comme par les utilisateurs.
Google, Microsoft, Facebook, LinkedIn, Paypal et la plupart des comptes bancaires supportent aujourd’hui une option d’authentification multi-facteur (MFA) : pour accéder au compte, il faut non seulement saisir un mot de passe mais également confirmer son authenticité via un second mécanisme qui peut être un code envoyé sur Smartphone, ou un contrôle biométrique (sur smartphone ou autre système).
L’opération peut sembler astreignante. Mais, dans la pratique, un simple mot de passe ne suffit jamais à protéger ses identités en ligne.
D’abord, parce que les utilisateurs utilisent souvent des mots de passe faciles à retenir et donc faciles à prédire (que ce soit parce qu’ils sont les plus utilisés dans le monde, parce qu’ils sont dans des dictionnaires ou parce qu’ils sont trop évidents).
Ensuite, parce que bien trop d’utilisateurs utilisent les mêmes mots de passe un peu partout, y compris les mêmes mots de passe pour leurs comptes professionnels et personnels. Lors de la dernière conférence RSA, Microsoft expliquait ainsi que 60% des utilisateurs réutilisaient leurs identifiants d’entreprises dans des environnements non professionnels.
Enfin, parce qu’il est souvent facile de se faire renvoyer un mot de passe (notamment sur une adresse email qu’un cyber-attaquant sait déjà comment usurper).
Lors de la conférence RSA, les experts sécurité rappelaient que plus de 95% des attaques repérées sur les comptes Office 365 ou G Suite, s’appuyaient sur deux mécanismes très connus :
* Le « password spraying » (arrosage de mot de passe) qui consiste à essayer les mots de passe les plus répandus ou faciles à deviner
* Le « password replay » (rediffusion de mot de passe) qui consiste à réessayer des mots de passe provenant d’une base dérobée sur un autre site. Pour rappel plus de 555 millions de mots de passe ont été exposés ces dernières années par des brèches de sécurité sur différents services et sont rassemblés dans des bases librement téléchargeables par tous.
Lors de la RSA conférence, les responsables sécurité de Microsoft rappelaient qu’en moyenne 0,5% des comptes Azure Active Directory (Windows, Office, OneDrive, etc.) étaient hackés chaque mois ce qui représente une moyenne de 1,2 million de comptes piratés par mois !
Pourtant deux statistiques doivent interpeler aussi bien les utilisateurs que les responsables de la sécurité des entreprises :
1/ 99,9% des comptes ainsi hackés chaque mois n’utilisent pas d’authentification multi-facteur.
2/ Seulement 11% des entreprises ont activé l’authentification multi-facteur sur Office 365 !
Certes, cela signifie aussi que bien que l’authentification multi-facteur soit activée, 0,1% des comptes continuent d’être hackés. Aucune sécurité n’est jamais parfaite. Les hackers ont des techniques pour contourner ces protections : installation de malwares qui reroutent les informations de la double authentification vers les hackers, échange de cartes SIM d’opérateurs, etc.
Mais ces dernières sont des attaques ciblées relativement complexes qui nécessitent une longue préparation et sont difficilement automatisables.
Bref, aucune place au doute. Si vous n’avez toujours pas activé la double-authentification de vos comptes Microsoft, Google, Twitter, Facebook, Amazon, Paypal, et consorts, c’est la première chose à faire juste après la lecture de cet article… Mais cette opération ne doit pas pour autant vous dispenser des règles de base quant à la gestion des mots de passe : utilisation de mots de passe différents pour chaque compte en ligne, changer les mots de passe au moins une fois par an, utiliser des mots de passe longs et complexes (avec lettres maj/min, chiffres, signes), etc.