Selon une étude réalisée par Specops Software, seuls 1,5 % des mots de passe des entreprises atteignent un niveau de robustesse satisfaisant pour faire face aux techniques d’attaque informatique modernes. Ces vulnérabilités laissent malheureusement la majorité des systèmes à la merci des hackers, qui ont tout le loisir de naviguer dans les réseaux.
Specops Software, un fournisseur de solutions de gestion de mots de passe et d’authentification, a publié une nouvelle étude reposant sur l’analyse de 10 millions de mots de passe compromis, issus de sa base de données de plus d’un milliard de mots de passe intitulée Specops Password Auditor. Ce rapport confirme une nouvelle fois les craintes des experts en sécurité informatique. À savoir la continuité des mauvaises pratiques en entreprises en matière de keywords.
1,5% des mots de passe étudiés satisfont aux exigences d’une sécurité robuste
D’après l’analyse de Specops Software, seuls 1,5% des mots de passe étudiés satisfont aux exigences d’une sécurité robuste. Autrement dit, 98,5 % des codes secrets ne sont pas assez forts pour résister aux techniques d’attaque modernes comme aux ancestrales attaques par force brute.
« Malgré des années de formations et de sensibilisation, de nombreux utilisateurs continuent d’opter pour des mots de passe simples et prévisibles », déplore Darren James, Senior Product Manager chez Specops. Selon lui, le heatmap effectué par sa société « donne une image claire de ce déficit de sécurité et alerte sur la nécessité urgente de revoir les politiques internes ».
Plus de la moitié des utilisateurs se contentent d’un ou deux types de caractères
Dans le détail, l’étude montre que moins de 16 % des identifiants atteignent un niveau de sécurité qualifié d’« acceptable », c’est-à-dire comptant au moins 12 éléments et deux types de caractères. Plus de la moitié des utilisateurs (55,3%) se contentent d’un ou deux types de caractères dans leurs codes d’accès, privilégiant souvent des combinaisons de huit lettres accompagnés ou non de chiffres. Aussi, seulement 3,3% des authentifiants dépassent la barre des 15 éléments, pourtant considérée comme un minimum pour résister aux attaques par force brute contemporaines.
Les identifiants de 8 éléments avec deux types de caractères sont les plus courants
Specops Software note que le type de codes secrets le plus courant est celui de 8 éléments avec deux types de caractères (7,9 % de tous les mots de passe). Il est suivi de près par les mots de passe de 8 éléments avec un seul type de caractère (7,6 % de tous les mots de passe). Or, les identifiants de 8 éléments ou moins (quelle que soit leur complexité ou arrangement) peuvent être piratés facilement, en quelques heures, par des techniques de force brute. Imposer des mots de passe plus longs constitue le moyen le plus simple et le plus sûr d’augmenter leur robustesse, affirme Specops.
Des risques sécuritaires très importants avec des mots de passe faibles
Comme on le sait déjà, les mots de passe faibles représentent un risque pour les organisations professionnelles et leurs systèmes. En effet, ils constituent des points d’entrée privilégiés pour les attaquants, leur permettant de se promener à loisir au sein des réseaux d’entreprise. Le danger est d’autant important que les collaborateurs réutilisent massivement les mêmes identifiants.
Un seul compte compromis peut ainsi donner accès à plusieurs services critiques. Outre l’aspect technique, les authentifiants faibles sont une violation directe des réglementations sur la protection des données (RGPD, HIPAA etnorme PCI DSS). En conséquent, ils exposent l’entreprise à de lourdes amendes, des audits obligatoires et une responsabilité juridique potentielle.
Des mots de passe d’au moins 15 éléments nécessaires
Aujourd’hui, l’évolution constante des techniques rend obsolètes les précautions informatiques habituelles, du jour au lendemain. Même les techniques de protection avancées, comme le hachage, perdent en efficacité face à des mots de passe intrinsèquement faibles. Les experts de Specops Software recommandent donc de créer des identifiants comportant au minimum 15 éléments et utilisant au moins deux types de caractères différents, tels que des lettres, des chiffres ou des symboles.
L’ajout de chaque élément augmente de manière exponentielle la complexité du code d’accès. Ce qui rend les attaques par force brute inopérantes ou au moins les retarde de plusieurs années, voire siècles, au lieu de quelques heures ou jours.
