Vous l’avez déjà observé: comme le rappelle aussi France Num, le portail de la transformation numérique des entreprises, on estime qu’en moyenne un internaute possède une centaine de comptes professionnels et personnels.
Impossible évidemment de les retenir tous.
Résultat: le mot de passe le plus courant en France serait “123456”. Il est suivi de sa variante à neuf chiffres et d’ ”azerty”, soit les six premières lettres d’un clavier configuré en français.
Risque de piratage de compte
Autant de mots de passe peu sécurisés. Ils vont être particulièrement vulnérables aux attaques par force brute: plus le mot de passe est court, plus il va être facile de trouver la bonne combinaison en testant toutes les possibilités. Mais aussi à celles par dictionnaire: dans ce cas l’attaquant va tester les mots de passe les plus courants. Et un mot de passe compromis, c’est ensuite la porte ouverte à un piratage de compte, la première menace visant les internautes français en 2023 selon le groupement d’intérêt public Cybermalveillance.
Les entreprises doivent donc veiller à mettre en place une politique de gestion des mots de passe, sans toutefois rebuter les utilisateurs. Un bon mot de passe doit d’abord être défini, avec une longueur et complexité minimum. Il ne doit également pas être partagé, avec des comptes fonctionnels limités au strict minimum. N’envoyez pas par exemple vos mots de passe par mail.
Et surtout ne réutilisez pas le même sésame pour différents services. Une faille bien connue qui est exploitée par des pirates informatiques avec l’attaque par bourrage d’identifiants, cette façon de tester le même couple identifiant-mot de passe sur différents services.
Le risque d’effets inverses
Mais “il faut se méfier des politiques drastiques qui produisent des effets inverses à celui recherché”, pointe Jean-Jacques Latour, responsable expertise de Cybermalveillance. Exemple avec le changement régulier de mot de passe.
Comme la Cnil ou l’Anssi l’ont relevé il y a quelques années, le fait de forcer un utilisateur à changer son mot de passe fréquemment aboutissait à une baisse de la sécurité. La plupart des utilisateurs appelés à modifier leur mot de passe se bornaient à utiliser une version légèrement modifiée, par exemple en ajoutant un chiffre à la fin.
Les entreprises doivent également convaincre leurs salariés que cette politique de gestion des mots de passe est un enjeu d’image. Il y a quelques années, TV5 Monde était ainsi devenue la risée avec son fameux post-it. Dans une interview, les téléspectateurs avaient pu apercevoir en arrière-plan un papier épinglé au mur avec le mot de passe du compte YouTube, “lemotdepassedeyoutube”. Même si la chaîne avait précisé que ce dernier avait été changé, cela reste une mauvaise habitude de le noter sur un bout de papier.
La menace des infostealers
Reste qu’au-delà des décriés post-it, le principal risque actuel réside autour des infostealers, ces logiciels malveillants. Ces derniers, installés après une navigation hasardeuse sur internet ou un mauvais clic sur un mail de hameçonnage, vont en effet siphonner les mots de passe enregistrés sur l’ordinateur, et notamment sur le navigateur.
C’est pour cela qu’il est recommandé d’utiliser un gestionnaire de mot de passe indépendant de celui de son logiciel d’accès à internet. L’utilisation d’un gestionnaire de mot de passe n’est cependant pas forcément indispensable. “Une entreprise peut utiliser son annuaire Active directory pour faire de l’authentification unique, pour gérer ainsi tous les accès aux services, ce qui permet de simplifier la vie des utilisateurs”, note Jean-Jacques Latour.
Ce type de service devient toutefois indispensable pour l’accès à des applications externes. Le gestionnaire de mots de passe, protégé par un mot de passe maître, va alors servir de coffre-fort pour tous les identifiants.
Mot de passe maître
Comment ? Il s’agit en fait tout bêtement d’une base de données chiffrée. Sans sésame, impossible d’y jeter un coup d’œil, sous réserve que le mot de passe maître soit assez robuste. Ce dernier doit être à la fois relativement simple, pour le mémoriser, tout en étant difficile à deviner pour un attaquant. “Il faut favoriser autant que faire se peut les moyens mnémotechniques, en alternant sur huit caractères au minimum des voyelles et des consonnes, pour le retenir, puis des chiffres et des caractères spéciaux”, préconise Jean-Jacques Latour.
Utilisez le uniquement à cette occasion, car c’est la clé qui va ouvrir toutes vos portes. Et, comme tous les mots de passe, changez-le en cas de moindre doute. Il faut avoir enfin à l’esprit que le mot de passe n’est pas une barrière insurmontable pour un attaquant. Il est donc recommandé de le doubler, quand c’est possible, avec une authentification multifactorielle. La gestion des mots de passe est certes l’un des piliers d’une bonne cybersécurité, mais ce n’est pas le seul, avec par exemple la gestion des identités ou les droits d’accès.
Ce qui implique de limiter les droits des comptes à ce qui est nécessaire, pas plus. Et d’avoir une bonne vue sur ces comptes, en supprimant ceux dormants, comme celui du collègue parti il y a trois ans à la retraite.