Le jeudi 5 mai 2022 marque la Journée Mondial du mot de passe, l’occasion pour les experts de partager les bonnes pratiques à adopter vis-à-vis de l’évolution des menaces, et pour les utilisateurs d’améliorer leur cyber-hygiène. En effet, la digitalisation s’est accélérée ces dernières années, et le recours aux bots au sein des entreprises a notamment explosé ; une avancée technologique qui n’est pas sans danger.
Bryan Murphy, Senior Director, Consulting Services & Incident Response chez CyberArk, livre l’expertise suivante à cette occasion :
« Les utilisateurs humains ne représentent pas la seule cible des cybercriminels à la recherche d’identifiants pour accéder aux données et actifs critiques d’une organisation. Ainsi, ils restent une cible lucrative et relativement facile car un employé possède en moyenne plus de 30 identités numériques, dont plus de la moitié détient un accès sensible. Cependant, les bots – de petits morceaux de code qui effectuent des tâches répétitives – sont désormais nombreux dans les entreprises du monde entier et constituent également une cible de choix.
Ces bots sont une composante majeure des opérations digitales. Ils ont besoin d’informations – et d’un accès – pour pouvoir effectuer leur tâche. En fait, 68 % des utilisateurs non-humains ou des bots ont accès à des données et à des actifs sensibles, selon notre rapport 2022 Identity Security Threat Landscape. Ce dernier montre également que les identités des machines sont aujourd’hui 45 fois plus nombreuses en moyenne que les identités humaines, et que leurs identifiants ne sont bien souvent pas correctement protégés. Cette situation est très préoccupante.
Les cybercriminels s’attaquent spécifiquement aux bots car ils savent que, dans de nombreux cas, leurs mots de passe ne sont pas modifiés régulièrement. Ils savent également que les bots sont généralement “sur-autorisés”, c’est-à-dire qu’ils ont davantage de droits d’accès que nécessaire, et ne sont pas surveillés autant que les identités humaines le sont pour les anomalies. Or, un bot compromis permet à un cybercriminel de conserver l’accès et de rester dans le réseau sans être détecté. Même aujourd’hui, nous voyons encore des bots qui sauvegardent tous les serveurs ou comptes d’administrateur de domaine. Dans certains cas, ces bots utilisent toujours des mots de passe par défaut. Un compromis qui pourrait bien sonner le glas pour l’organisation ciblée.
Les mots de passe codés en dur, ainsi que les secrets disséminés dans l’environnement, font partie des pratiques qui doivent être éradiquées au profit d’une gestion centralisée et robuste des mots de passe, pour les humains comme pour les machines. »
Selon Dirk Schrader, VP of Security Research chez Netwrix, les moyens d’authentification sont aujourd’hui nombreux et il en existe un pour chaque cas d’usage :
« On entend souvent parler des mots de passe dits “forts” et de la difficulté pour les cybercriminels de les découvrir ou de passer outre par force brute, en fonction de leur longueur et complexité. Le sentiment dominant dans l’espace de la cybersécurité est que les mots de passe appartiennent désormais au passé, ou devraient tout du moins le devenir dans un avenir proche.
L’authentification multifacteur et celles qui nécessitent une méthode de vérification secondaire via un canal de communication distinct, telle que le mot de passe à usage unique par SMS, sont des améliorations de sécurité significatives pour les données importantes. Toutefois, elles introduisent également un niveau de complexité que l’utilisateur lambda évite pour les comptes non sensibles. De plus, les administrateurs de sécurité ne doivent pas négliger la fatigue liée à la cybersécurité en tant que vecteur de menace ; autrement dit, les employés pourraient ne pas avoir une cyber-hygiène optimale si les procédures de cybersécurité en place sont trop contraignantes.
Les mots de passe ne disparaîtront donc pas à cause de ce facteur humain, il est alors essentiel que l’utilisateur accorde la même précaution aux mots de passe qu’aux clés de son domicile : ne pas les partager, garder un œil sur elles, ou encore changer la serrure en cas de perte.
Selon l’ANSSI, un mot de passe fort contient des lettres minuscules et majuscules, des chiffres et des caractères spéciaux, et doit avoir au moins 16 caractères. L’Agence propose par ailleurs sur son site de tester la robustesse d’un mot de passe (tout comme UnderNews), ainsi que des conseils pour le renforcer s’il est jugé trop faible. Cependant, créer un identifiant à la fois fort et facile à mémoriser est un exercice complexe. Un bon moyen mnémotechnique consiste à se baser sur une habitude ou une action du quotidien. Ainsi, la phrase “Je prends 5 verres du placard rouge, et autant d’assiettes et de couverts !” pourrait devenir le mot de passe fort “Jp5vdpr,eadaedc!”, capable de résister à plusieurs techniques récurrentes d’attaque.
Idéalement, il est préférable de recourir à des managers de mots de passe, tant pour les systèmes et comptes critiques d’une entreprise, que pour les comptes personnels contenant des données précieuses, telles que les informations bancaires et les services de paiement. En effet, ces managers de mots de passe créent et mémorisent de manière autonome pour chaque compte des identifiants robustes et uniques, et peuvent aussi effectuer une rotation de ces derniers périodiquement. Ce service simplifie par conséquent grandement le quotidien des utilisateurs et limite le risque de vulnérabilités liées aux mots de passe. »