Le premier rapport publié par Avira sur la sécurité des mots de passe décrypte l’impact de l’augmentation du nombre de failles sur la vie digitale et les comportements en ligne.

On y découvre notamment :
– Que 36% des personnes interrogées enregistrent leurs mots de passe dans leur navigateur
– Plus une personne détient de comptes en ligne, plus elle a de risques d’être victime d’une faille ; ce risque s’élève à 14% pour une personne ayant entre 21 et 50 comptes.

CyberArk
David Higgins, EMEA Technical Director

Il y a deux catégories de mots de passe. Les premiers sont utilisés par des internautes pour accéder à des sites et services en ligne. Compte tenu des cybermenaces actuelles, ils doivent bien sûr être remplacés par une authentification renforcée, qui ne demande pas aux utilisateurs de se souvenir d’une multitude d’identifiants, ni d’utiliser les mêmes pour plusieurs comptes, ce qui rend ces derniers plus vulnérables.

De plus, il existe des mots de passe qui, s’ils sont compromis, permettent d’accéder à des actifs bien plus importants. Les identifiants administrateur sont ainsi une cible clé pour les attaquants et, en raison de difficultés opérationnelles, ils ne bénéficient pas toujours du niveau de surveillance adapté. Dans de nombreux cas de violations de données, les mots de passe administrateur par défaut stockés sur des serveurs accessibles à distance ont en effet constitué le point d’accès des criminels. Ces identifiants sont donc un point faible notable de l’organisation.

Par conséquent, les mots de passe faibles permettant d’accéder au réseau informatique resteront, du moins pour le moment, un véritable problème de sécurité et une source de vulnérabilité.

Thales
Jason Hart, cloud protection expert

Les mots de passe ne peuvent plus être considérés comme des solutions de sécurité. Depuis des années, les employés utilisent les mêmes identifiants pour se connecter à tout, des réseaux sociaux au réseau interne d’entreprise. Or, en cas de piratage d’un seul compte, tous les comptes associés risquent également d’être compromis.

Il faut désormais s’appuyer sur une approche adaptative et intelligente de l’expérience de connexion. Des technologies innovantes telles que l’authentification sans mot de passe avec Smart Single-Sign On permettent aux utilisateurs de se connecter à plusieurs applications avec une seule identité, ce qui les dispense totalement de l’usage de mots de passe. En tenant compte des informations contextuelles, telles que l’emplacement de l’utilisateur, la sensibilité de l’application et les tentatives de connexion précédentes lors de la vérification des utilisateurs – et en combinant ces technologies avec l’authentification multifactorielle si nécessaire – il est possible de réduire considérablement le risque de fausses tentatives de connexion et de mots de passe réutilisables.

One Identity
George Cerbone, Principal Solutions Architect

Chaque Journée mondiale du mot de passe nous rappelle à quel point celui-ci reste important pour l’authentification en ligne et souligne aussi comment le mot de passe est devenu un maillon faible en matière de cybersécurité. Selon les recherches, 63 % des atteintes à la protection des données sont liées à des mots de passe faibles, réutilisés ou volés, qui mènent à des attaques très lucratives et dévastatrices. Nous avons rendu les mots de passe de plus en plus complexes afin qu’ils ne puissent plus être facilement devinés. Malheureusement, c’est aussi devenu l’un de leurs plus gros inconvénients. L’oubli et la réinitialisation de dizaines de mots de passe est une mauvaise dynamique à laquelle nous devons mettre fin.

Bien que la technologie biométrique soit en bonne voie de devenir le moyen d’authentification du futur, elle connait encore des lacunes, comme l’impossibilité de mettre à jour ou créer un nouveau login biométrique lorsque des données dactyloscopiques sont volées dans une base de données. La biométrie n’est pas la seule approche à émerger dans les entreprises, il en existe une seconde : l’authentification multifactorielle.

L’authentification à travers la sécurité par couches grâce un processus multifactoriel fonctionne très bien. La bonne nouvelle est qu’à mesure que la biométrie évolue, elle peut servir de partie intégrante au processus d’authentification multifactorielle.

Nous assistons à une évolution dans l’authentification qui pourrait finalement nous éloigner du mot de passe. Le 2 mai pourrait-il être devenir la Journée mondiale de l’authentification ?

Zscaler
Rainer Rehm, EMEA Data privacy Officer

L’objectif de cette journée internationale du mot de passe est de rappeler aux utilisateurs de changer leur mot de passe et de s’abstenir d’utiliser les mêmes pour différents services.  Pour les spécialistes de la cybersécurité, des mots de passe forts et leur modification fréquente est le minimum requis pour les utilisateurs de l’entreprise. Mais ce minimum n’est pas souvent atteint. Malgré les gestionnaires de mots de passe, les utilisateurs restent guidés par la commodité et, à ce titre, ne désire se souvenir que d’un seul mot de passe. Un tel comportement offre la possibilité aux attaquants d’accéder à une grande variété de services à l’aide du même mot de passe.

Ce désir de commodité a entraîné un recours accru aux fournisseurs d’identité fédérés (FPI). Les FPI relient l’identité d’un utilisateur à travers plusieurs domaines de sécurité, chacun supportant son propre système de gestion d’identité. Lorsque deux domaines sont fédérés, l’utilisateur peut s’authentifier sur l’un, puis accéder aux ressources de l’autre sans avoir à se connecter une seconde fois. Bien que le FPI offre des avantages pour l’entreprise et qu’il soit très utile, il présente certains risques, comme l’accès non autorisé, surtout si les services fournissant l’accès aux utilisateurs sont mal configurés ou compromis d’une quelconque façon.

Une autre option d’authentification est de le faire sans mot de passe. Les méthodes basées sur le PKI (Public Key Infrastructure) utilisent un certificat unique pour vérifier l’identité de l’utilisateur et peuvent donc se passer des mots de passe classiques, de sorte que l’expérience utilisateur soit prise en compte. Cependant, l’infrastructure derrière ce concept d’authentification est complexe et coûteuse à exploiter. D’autres approches sans mot de passe, telles que SQRL, ont du mal à se frayer un chemin dans l’environnement commercial.

En fin de compte, c’est l’interaction des trois facteurs classiques d’authentification qui offre une sécurité de pointe. La combinaison de quelque chose que l’utilisateur connaît (le mot de passe), de quelque chose qu’il possède (un jeton, Google Authenticator, SMS, YubiKey) et d’un critère personnel (empreinte digitale, voix ou visage) constitue la base d’une authentification multifactorielle. De nombreux fournisseurs d’identité s’appuient sur ce principe, alliant commodité et sécurité, lors de l’accès aux applications. Après authentification multifactorielle, l’utilisateur accède automatiquement à ses applications.

Mais alors que l’ère du mot de passe est révolue, les applications migrent vers le Cloud et celui-ci nécessite une nouvelle approche pour sécuriser les accès en fonction du contexte (identité de l’utilisateur, de l’appareil, etc.). Une approche infiniment plus sûre que de compter sur des utilisateurs qui choisissent le même mot de passe pour les services bancaires en ligne, WhatsApp, les sites de rencontres, Netflix, Amazon et Spotify.

McAfee
Lam Son Nguyen, Partner Product Manager

Le NCSC a récemment révélé que 23 millions de personnes ont été piratés l’année dernière parce qu’ils utilisaient « 123456 » comme mot de passe. Avec tous ces identifiants à retenir pour les différents appareils et applications, les gens finissent par utiliser le même mot de passe pour tout, affaiblissant alors considérablement la sécurité de leurs données.

Et les risques vont parfois plus loin que notre vie personnelle. McAfee a découvert que près de la moitié des employés britanniques avaient déjà été piratés, dans le cadre professionnel, et ce, dans leur entreprise actuelle. Les entreprises détiennent une quantité astronomique d’informations personnelles sur les employés et les clients, rendant impératives des procédures de sécurité bien bordées. La sécurité renforcée et la conformité à la RGPD requièrent une forte collaboration, au-delà des seules équipes IT. Les DSI doivent implémenter des sessions de formation pour les employés et encourager toutes les parties prenantes de l’entreprises – des employés aux partenaires – à utiliser des mots de passe forts pour protéger les informations sensibles et éduquer quant aux risques en cas de compromission des mots de passe.

SailPoint
Juliette Rizkallah, CMO

Ce Que l’on Peut Apprendre de Blink-182 sur les Mots de Passe

En 2003, le single « I Miss You » du groupe Blink-182 se trouvait en haut des charts. Presque 16 ans plus tard, Blink-182 apparait en haut d’un classement différent en étant l’un des mots de passe les plus piratés.

Malgré les unes quotidiennes au sujet des violations de données, beaucoup de personnes continuent encore à employer des pratiques de sécurité peu fiables en utilisant les noms de leur groupe de musique préféré ou de leurs proches comme mot de passe. Rien que ce mois-ci, le Britain’s National Cyber Security Center a publié une liste des 100.000 mots de passe les plus piratés dans le monde. Sans surprise, « 123456 » était le mot de passe le plus souvent piraté. « Ashley » était le nom le plus largement piraté avec presque un million de compromissions et comme je l’ai mentionné plus tôt, « Blink-182 » figure aussi sur la liste avec presque 300.000 comptes piratés.

Les responsables de la cybersécurité conseillent vivement de lire la liste et de changer de mot de passe si celui-ci y apparait, mais aujourd’hui, lors de la Journée Mondiale du Mot de Passe (World Password Day), nous allons aller plus loin en explorant l’état actuel de notre hygiène des mots de passe et en offrant quelques trucs et astuces pour vous aider à sécuriser le code clé menant à votre identité numérique.

All the Small Things : Ne Réutilisez pas vos Mots de Passe

Cela peut sembler être un problème infime mais réutiliser des mots de passe sur différents comptes, c’est comme faire du vélo sans casque – vous cherchez simplement à vous attirer des ennuis. Et la pratique de réutiliser des mots de passe ne fait que se banaliser à mesure que le temps passe. Dans notre étude de 2014 SailPoint Market Pulse Survey, nous avions trouvé que 56% des employés avouaient réutiliser des mots de passe sur des comptes personnels et professionnels. Quatre ans plus tard, ce nombre est passé à un stupéfiant 75% pour la même question. Nous l’avons déjà dit, et nous le redirons encore : la réutilisation des mots de passe est un péché capital de sécurité. Vous vous servez vous-même sur un plateau d’argent aux hackers. Encore pire – si vous partagez ces mots de passe entre les comptes personnels et professionnels, vous servez également vos employés sur un plateau d’argent aux hackers. S’ils piratent un compte avec un mot de passe partagé, ils peuvent facilement pirater aussi vos comptes professionnels, si ce mot de passe est partagé sur les deux. Cet « effet domino » est devenu la base pour le « credential stuffing » – une technique de plus en plus utilisée par les hackers aujourd’hui. Alors, règle générale : ne réutilisez pas les mots de passe !

I Miss You : Vos Anciens Mots de Passe ne Doivent Pas Vous Manquer, Changez-les !

La réutilisation des mots de passe n’est pas le seul péché cardinal commis ici. Nous ne changeons également pas nos mots de passe. Nous avons trouvé dans notre étude annuel SailPoint Market Pulse Survey, qu’en moyenne, beaucoup utilisent environ quatre mots de passe au travail. Cela fait beaucoup de mots de passe à suivre et nous avons probablement moins envie de les changer – 19% des personnes interrogées ont attendu une année entière avant de changer leurs mots de passe que ce soit pour leurs comptes personnels ou professionnels. Une année, c’est beaucoup trop long. Changer de mot de passe est pénible, surtout lorsqu’on en conserve quatre à la fois. Nous sommes habitués à notre routine. On s’habitue à taper une chose, et cela peut être assez contrariant lorsque l’on doit entrainer à nouveau son cerveau à entrer un nouveau mot de passe. Et ne pas réussir à s’identifier parce qu’on ne se souvient pas de son mot de passe ? C’est le pire ! Et bien, faites-nous confiance, ne soyez pas sentimental au sujet de vos mots de passe. Ça vaut toujours la peine d’avoir une longueur d’avance sur le jeu du hacker en changeant votre mot de passe au moins une fois tous les trois mois.

What is My Age Again? N’utilisez pas “123456” comme Mot de Passe

Utiliser le nom de son équipe de foot ou de son groupe de musique préféré comme mot de passe est appartient à notre adolescence. Tout comme l’utilisation de chiffres consécutifs. Les mots de passe simples, comme nous le savons, sont facilement piratés. D’après notre propre étude de données, beaucoup de personnes aiment vraiment un mot de passe simple – 32% des personnes interrogées ont reconnu utiliser des mots faciles à deviner, comme le nom d’un animal de compagnie (28%), un lieu mémorable (20%), ou une équipe de sport ou un sportif préféré (20%). Nous devons rendre nos mots de passe plus complexes et aléatoires pour éviter les regards indiscrets des hackers. Lorsqu’on parle des mots de passe, rappelez-vous : s’il est facile de s’en souvenir, il n’est probablement pas bon. En combinant un mélange inhabituel de lettres majuscules et minuscules, avec quelques chiffres aléatoires (pas votre anniversaire) et des symboles, ça devrait faire l’affaire.

Avec l’aide de la pop rock, nous avons exploré quelques mauvaises habitudes et nous sommes enfin capables de prendre les bonnes décisions pour nos mots de passe. En cette Journée Mondiale du Mot de Passe, écoutez votre chanson préférée de Blink-182 et commencez à effectuer ces changements de mots de passe importants pour sécuriser davantage votre vie numérique. Faites juste en sorte que ces mots de passe ne soient pas Blink-182.