Le pire et (parfois le meilleur) de la gestion des mots de passe en entreprise? Plutôt que d’en pleurer, les professionnels préfèrent en rigoler, en témoigne cette présentation hilarante faite en 2017 au Symposium sur la sécurité des technologies de l’information et des communications (Sstic).
Les experts en sécurité informatique voient, en effet, de drôles de choses. Car la gestion des mots de passe soulève rarement l’enthousiasme. Exemple avec Mélanie, cadre bancaire, qui avait vu son poste bloqué faute d’avoir changé son « password » dans les temps. “Maintenant, je le fais quelques jours en avance”, explique-t-elle.
Utilisation du prénom
Au rayon des mauvaises pratiques, le cas classique, visible dans les fuites de mot de passe, est l’utilisation de son prénom, du numéro de son département ou encore de diminutifs. Avec quelques variantes : Charles Blanc-Rolin, un expert cybersécurité travaillant dans la santé, se souvient d’un utilisateur qui avait basé son mot de passe sur le prénom de la collègue du bureau d’à côté, visiblement pas une simple coïncidence.
Même constat gêné pour le professionnel avec cette personne se plaignant de recevoir bien trop de spams. Après recherche, son adresse mail avait bien fuité à de nombreuses reprises. Notamment après des « leaks » visant des sites… de rencontre. “On voit également des partages d’un même mot de passe, une façon de se connecter au compte du collègue pendant ses congés, déplore-t-il. Pourtant, la plupart du temps, les boîtes de messagerie sont basées sur des mailing-lists. Ils ont donc accès aux mêmes contenus sans avoir besoin de s’identifier sur chaque compte.”
De simples initiales
Toujours dans la santé, Rémi Gascou, consultant en cybersécurité, se souvient, il y a quelques années, d’un audit sur des mots de passe d’un établissement particulièrement inquiétant. Sur les 1500 comptes, la quasi-totalité des mots de passe étaient les initiales des personnels de santé. “La direction des systèmes d’information disait que c’était inadmissible, les personnels rappelaient eux qu’ils sauvaient des vies”, se souvient le chercheur en sécurité.
Autre mauvaise pratique repérée dans ses audits: les mots de passe structurés autour de la ville, du département et d’un caractère spécial, comme le point d’exclamation. “Le problème de ce type de mot de passe, c’est qu’ils correspondent à toutes les règles de complexité demandées par les entreprises, souligne Rémi Gascou. Mais cela donne une fausse impression de sécurité, car c’est le mot de passe le plus évident pour les attaquants. Quand je débute une mission d’audit, c’est ce que je commence à tenter sur tous les comptes.”
Double authentification
Mais parfois, les experts en sécurité informatique sont agréablement surpris. Charles Blanc-Rolin a vu avec satisfaction les personnels d’une organisation s’emparer de l’extension navigateur du gestionnaire de mot de passe KeePassXC. Plus d’un an après la mise en place de cette bonne pratique, préférable à l’utilisation du gestionnaire par défaut ciblé par les infostealers, le module est installé et utilisé. “Nous avons la chance de voir les problématiques autour de la sécurité informatique régulièrement dans la presse, les personnels sont davantage sensibilisés aujourd’hui”, remarque-t-il.
Même s’il trouve les exemples encore trop rares, Rémi Gascou voit tout de même des organisations muscler sérieusement leurs défenses en recourant à des cartes à puce ou des clés d’authentification. “Plus d’attaques possibles en force brute, c’est la façon la plus sécurisée d’accéder à son compte, mais évidemment il ne faut pas perdre sa carte ou sa clé”, souligne-t-il.
C’est d’ailleurs le cas de Julien, ingénieur dans une entreprise du CAC 40. “La double authentification est imposée”, signale-t-il à propos des règles de son entreprise, un mélange d’obligations et de recommandations où sont proscrits l’utilisation de mots de passe personnels et où les règles de complexité sont un passage obligé. Comme quoi le pire n’est jamais certain.