Même dans les grandes entreprises du Fortune 500, le mot de passe le plus utilisé est "password"

Par Guillaume Belfiore, Rédacteur en chef adjoint.

Publié le 11 mars 2021 à 15h03

Si les discours au sujet de la sécurité informatique se multiplient ces dernières années, il semblerait que cela n'ait finalement que très peu d'impact auprès des plus grosses sociétés.

La société NordPass, filiale de Nord Security et éditrice d'un gestionnaire de mots de passe, annonce avoir réalisé une étude sur les pratiques autour de la sécurité en entreprise. Au travers de ce rapport, il apparaît que les groupes cotés au sein de l'index Fortune 500 font souvent usage de mots de passe pouvant être piratés en moins d'une seconde.

L'inertie des grands groupes face au danger

Pour mener à bien cette enquête, NordPass a passé au crible les données récupérées par des hackers malveillants ayant lancé des attaques contre les entreprises figurant au sein de ce classement.

Ces entreprises ont été répertoriées en 17 catégories selon leur secteur d'activité, du commerce à la santé en passant par les finances, les télécommunications, l'aéronautique ou l'agriculture. Au total 15 603 438 violations ont été identifiées.

Dans chacune de ces 17 catégories, NordPass a identifié les mêmes mots de passe basiques, à savoir « password » et « 123456 ». Bien entendu, l'ensemble des outils utilisés par les hackers testent d'emblée ces derniers. Sans grande surprise, les données confidentielles se retrouvent donc très rapidement sur la Toile.

Ce phénomène touche également les entreprises IT, lesquelles sont pourtant censées être davantage sensibilisées au problème.

Le gestionnaire de mots de passe est-il la solution ?

Pendant des années, les experts en cybersécurité ont recommandé d'utiliser un mot de passe complexe alphanumérique comprenant des caractères spéciaux et plusieurs casses. Il est également conseillé d'utiliser un mot de passe différent pour chacun des services utilisés.

Toutefois, face à la limite de la mémoire humaine, les gestionnaires de mots de passe permettent de générer des combinaisons uniques ultra-sécurisées et que l'utilisateur n'a plus besoin de retenir grâce à un système de remplissage automatique.

Bien évidemment, pour NordPass il s'agit de mettre en avant sa solution, mais il en existe plusieurs autres tels que LastPass, Dashlane, 1Password, Bitwarden ou encore KeePass.

D'autres entreprises militent pour l'abolition pure et simple des mots de passe au profit d'une authentification biométrique. C'est notamment ce que met en avant Microsoft avec la fonctionnalité Windows Hello de son système d'exploitation.

En décembre dernier, l'éditeur de Redmond se félicitait d'ailleurs de l'adoption croissante de cet usage en entreprise. De toute évidence, il reste quelques efforts à fournir.

Source : NordPass

Par Guillaume Belfiore

Rédacteur en chef adjoint

Piratage / Cybercriminalité

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Papsky

Ce n’ est pas très surprenant…personne ne a envie de se palucher des mots de passe tordus avec des caractères spéciaux et des majuscules… Surtout au boulot ! Surtout que chaque appli ou site y va de ses critères,y a aucun mot de passe qu on ne peut caser partout. Il y a vraiment besoin de balayer ce truc archaïque qu est le mot de passe qui fait perdre du temps a tout le monde et de passer à autre chose de façon généralisée…empreintes, rétine…

MisterDams

Au final les systèmes de gestionnaire marchent plutôt bien, mais y’a encore des points d’accrocs :

Certaines UI ne chargent pas le mot de passe enregistrés correctement
Si le service change de nom (donc de domaine) l’information n’est pas automatiquement répercutée…

Mais on peut pas dire que ça avance dans le mauvais sens, la sauvegarde est synchronisée entre les devices et même les 2FA modernes (empreinte ou device authentifiée par exemple) sont quand même vachement plus confortables que les méthodes SMS ou les emails en termes de temps d’accès et de confort d’utilisation.

En entreprise, j’avoue que la solution LDAP permet de rendre les choses quand même plus simples… Tu peux mettre un mot de passe complexe, tu le renouvelles régulièrement, mais t’en as qu’un à retenir sur tous les outils.
Le seul souci c’est de se rappeler ce qui est connecté à l’annuaire ou pas… et quand tu bosses avec plein d’outils en SaaS c’est parfois galère

g-m1n1

Bitwarden est top en gratuit et convient à la majorité des usagers.

Perso j’utilise mSecure (paiement unique, apps sur tous les OS).

nickOh

empreintes, rétines, etc sont juste une lecture d’un facteur biometrique, préalablement enregistré afin de autoriser un gestionnaire de mot de passe faire les saisies à notre place (comme sur le téléphone, au final en arrière plan, c’est toujours un bon vieux mot de passe qui deverrouille, et que l’on est finalement content de pouvoir taper quand la lecture d’empreinte ne marche plus !).

Si le biometrique remplaçait directement tout, Imaginez : une empreinte ou rétine ne peut être changée, si une copie est réussie…usurpation à vie de vos comptes.

Jetto

Tiens, ça fesait longtemps que je n’avais pas pu dire tout la mal des systèmes d’authentification basés sur le partage d’un secret.

Les systèmes que je tente de promouvoir, même s’ils ne reposent pas sur le partage d’un secret, ils reposent quand même sur un secret, donc s’il est possible de le deviner, ces systèmes d’authentification restent vulnérables.

Cependant ces systèmes sont robuste à une fuite de données du réseau ou des serveurs du vérificateur.

Il s’agit des authentifications par preuve nul de divulgation de connaissances.

Dans ces systèmes l’utilisateur enregistre une information qui découle du secret. Lors de l’authentification, le vérificateur propose un challenge à l’utilisateur qui va le convaincre qu’il connait le secret dont découle ce qu’il a enregistré.

Un exemple impraticable (impossible de mémoriser le secret et coûteux en calcul) serait d’utiliser un système de chiffrage asymétrique.
L’utilisateur dépose sa clef public à l’enregistrement auprès du vérificateur. A l’authentification, le vérificateur demande à l’utilisateur de déchiffrer un message aléatoire, chiffré avec la clé public de l’utilisateur. Comme l’utilisateur connait la clé de déchiffrage il pourra donner la bonne réponse.

wackyseb

Utilise Firefox et c’est gratuit, inclus avec çà marche sur tous les supports aussi.
On enregistre un compte Firefox au départ et tout est synchronisé partout, tout le temps
Pourquoi payer ou encore installer un truc en plus ?

g-m1n1

J’utilises Firefox sur Win10, mais c’est moins performant que Safari sur iOS/iPadOS.

Est-ce que Firefox Lockwise va justement te proposer de remplir le login/mdp automatiquement comme Bitwarden et les autres? Je sais qu’avant il ne proposait pas non plus un générateur de mot de passe comme les autres.

Oldtimer

Purée au lieu d’utiliser password ils pourraient utiliser motdepasse pour changer un peu quoi !

Zont vraiment pas d’imagination !

wackyseb

Je ne connais pas « les autres » ni Bitwarden (encore plus inconnu que les autres)

Lockwise te propose des mots de passe complexes.

Je ne comprend pas comment Firefox pourrait être moins performant que Safari sur IOS/ipadOS puisque c’est le moteur Webkit de Safari qui est utilisé. Apple impose son moteur de rendu.
Il n’y a que les fonctions « Firefox » qui sont ajouté.
Perso je ne vois aucune différence. J’utilise les 2 sur mon iphone et ipad

TheLoy

aaron431

C’est juste un exemple ? Ou vraiment ce mot de passe précis est ultra répandu ? Il y a un truc qui m’échappe là…