Les employés sapent-ils la sécurité de l'entreprise en partageant des mots de passe ?

Si, dans leur grande majorité, les employés ne compromettent pas la sécurité volontairement, on peut toutefois se demander quelles pratiques ils adoptent aujourd'hui face à la prolifération des comptes en ligne qui exigent des mots de passe. Selon une étude souvent citée par Microsoft Research « l'utilisateur moyen a 6,5 mots de passe, partagé chacun sur 3,9 sites distincts. Chaque utilisateur possède environ 25 comptes exigeant un mot de passe, et saisit en moyenne 8 mots de passe par jour ». 

En 2015, une étude de Dashlane révélait que chaque individu possède plus de 90 comptes en ligne, et a dû réinitialiser le mot de passe au travers du lien « Mot de passe oublié » pour 37 d'entre eux au cours de l'année écoulée. Les sociétés qui exigent une modification fréquente des mots de passe compliquent elles aussi davantage la tâche de leurs utilisateurs pour imaginer des mots de passe renforcés et les mémoriser. Dans un tel environnement, il est facile de comprendre que les utilisateurs préfèrent les simplifier et créent des mots de passe sérialisables, en se limitant à quelques-uns seulement, employés dans de nombreux comptes.

¹ Verizon’s 2017 Data Breach Investigations Report

Cette tendance devient évidente lorsque l'on affiche la liste des pires mots de passe utilisés :

https://www.journaldugeek.com/2017/12/20/voici-la-liste-des-25-mots-de-passe-les-plus-populaires-et-probablement-les-moins-surs-de-2017/

Pour l'entreprise, cette utilisation par les employés de mots de passe plus simples, donc plus faibles, accroît le risque de violation des ressources en réseau. Pire encore, lorsque des pirates parviennent à voler sur un site les identifiants de connexion d'un employé renfermant eux-mêmes ceux qui lui permettent d'accéder à votre réseau avec privilèges, ils peuvent alors passer par la porte principale en se faisant passer pour lui… et vous perdez la partie.

Nous avons atteint la limite d'une protection des accès exclusivement basée sur le mot de passe. Des mesures supplémentaires sont désormais nécessaires pour vérifier l'identité de chaque utilisateur, par exemple celles qu'accorde l'authentification multifacteurs (MFA).

Comment les pirates s'y prennent-ils pour voler des identifiants de connexion ?

Comme les noms d'utilisateur et les mots de passe constituent souvent le seul obstacle empêchant l'accès aux systèmes et la récompense financière, les pirates s'y intéressent tout particulièrement. Les méthodes employées pour dénicher ces informations sont notamment les suivantes :

• Phishing/spear-fishing : les cybercriminels envoient un e-mail pour inciter les utilisateurs à saisir leurs identifiants de connexion dans des pages ou des formulaires Web. Cet e-mail peut être convaincant, l'expéditeur semblant être par exemple une personne ou une entreprise avec qui l'utilisateur est en relation, et cible parfois avec précision un individu donné (spear-fishing), par exemple quelqu'un connu pour ses privilèges d'accès.
• Attaque en force : les mots de passe plus simples faisant désormais leur réapparition, les cybercriminels essaient des mots de passe courants jusqu'à trouver celui qui fonctionne. Ils ont même écrit pour cela des scripts automatisés qui contournent les systèmes de protection simples, par exemple ceux qui limitent le nombre de tentatives d'authentification pendant une période de temps donnée. N'oubliez pas que, lorsque les entreprises n'utilisent pas l'authentification à plusieurs facteurs, il leur suffit de dénicher une seule combinaison de nom d'utilisateur/mot de passe qui fonctionne.
• Point d'accès espion (Evil Twin) Wi-Fi : muni d'un simple appareil facile à trouver pour moins de cent euros, les cybercriminels peuvent s'installer confortablement dans un lieu très fréquenté et se faire passer pour un hotspot Wi-Fi légitime. Lorsque certains se connectent, ils se placent alors en MitM (man-in-the-middle ou intermédiaire) et peuvent observer le trafic réseau ou même ce que saisit l'utilisateur connecté. Des études ont montré que les utilisateurs consultent souvent leurs comptes bancaires, leurs achats en ligne et bien sûr, accèdent aussi aux réseaux de leur entreprise à partir de réseaux Wi-Fi publics.

Dès qu'ils ont mis la main sur des identifiants de connexion valides, les cybercriminels les utilisent pour accéder aux systèmes et dérober des données, consommer des ressources avec des botnets, installer un ransomware, voire voler d'autres identifiants de connexion pour ensuite accéder à d'autres réseaux et données personnelles.