Des services très utilisés dans le monde du travail ne parviennent pas à empêcher les fuites de mots de passe

Empêcher l’utilisation de mots de passe faibles ou ayant fait l’objet d’une fuite au sein d’une entreprise est une tâche gérable. Mais qu’en est-il dans les services où les employés échangent des données sensibles dans le cadre du travail ? Les chercheurs de Specops Software ont étudié les recommandations de 5 applications web courantes afin de voir si des mots de passe compromis pouvaient ouvrir la porte à des pirates cherchant des informations sur l’entreprise en dehors du réseau. En d’autres termes, si un pirate n’est pas en mesure d’accéder directement aux données d’une entreprise, il pourrait utiliser une approche détournée en accédant à un service utilisé par l’entreprise pour savoir à quel endroit celle-ci est vulnérable. Les résultats mettent en évidence une faiblesse majeure en matière de cybersécurité : les employés sont autorisés à utiliser des mots de passe faibles ou ayant déjà fait l’objet de fuites pour ces services, souvent sans qu’une authentification forte soit mise en place.

Les chercheurs de Specops ont étudié 5 services répandus dans différents secteurs d’activité, tels que le e-commerce, la gestion de projet, le marketing par courriel et le service clients. L’analyse a comparé les prérequis en matière de mots de passe à un sous-ensemble de la liste Specops Breached Password Protection, qui contient 1 milliard de mots de passe compromis connus.

Shopify ne parvient pas à empêcher l’utilisation de mots de passe compromis

Shopify, géant du e-commerce, est utilisé par plus de 3.9 millions de sites web dans le monde. Bien que Shopify propose une authentification à deux facteurs (2FA), celle-ci n’est pas obligatoire lors de la création d’un compte. Shopify n’effectue pas de vérification des mots de passe compromis.

Exigences de Shopify en matière de mot de passe :

– Votre mot de passe doit comporter au moins 5 caractères, et ne peut pas commencer ou se terminer par un espace.

En vérifiant la liste d’un milliard de mots de passe compromis connus, les chercheurs de Specops ont constaté que 99,7 % des mots de passe répondent aux exigences de Shopify. Voici des exemples de mots de passe qui répondent à cette exigence et qui sont connus pour être compromis :

• lunabelle
• luckygurl
• loveok
• lovehate16
• login666

Shopify n’empêche pas l’utilisation du mot Shopify dans les mots de passe du service qu’il propose. Nous avons donc trouvé 18 mots de passe contenant ce nom, tels que shopifyseoexpert, shopify, shshopify, myshopify et shopify123.

Zendesk empêche l’utilisation de moins de 2 % des mots de passe compromis

Zendesk, entreprise SaaS fournissant des services de communication et d’assistance aux clients, propose le 2FA lors de la création d’un nouveau compte avec ce service, mais ceci ne revêt pas un caractère obligatoire. Zendesk n’effectue pas de vérification des mots de passe compromis, ce qui entraîne l’acceptation de nombreux mots de passe piratés.

Exigences de Zendesk en matière de mot de passe :

• Doit comporter au moins 5 caractères.
• Doit comporter moins de 128 caractères
• Doit être différent de l’adresse email

La recherche de Specops a révélé que sur le milliard de mots de passe compromis analysés, 99,03 % d’entre eux satisfont les exigences de Zendesk en matière de mot de passe. À savoir : au moins 5 caractères et que le format du mot de passe n’imite pas celui d’une adresse e-mail <quelques caractères>@<quelques caractères>.<quelques caractères>.

Zendesk n’empêche pas l’utilisation du nom de l’entreprise dans le mot de passe, d’où les 5 mots de passe compromis trouvés contenant le mot Zendesk :

• zendesk
• zendesk502277
• zendesk1
• zendesk123
• zendesk12

Trello bloque moins de 13 % des mots de passe compromis connus

Trello, le service de gestion de projets de type kanban, propose le système 2FA, mais il n’est pas obligatoire pour créer un compte. Trello n’effectue pas de vérification des mots de passe compromis.

Exigences de Trello en matière de mot de passe :

– Le mot de passe doit comporter au moins 8 caractères

Sur le milliard de mots de passe connus ayant fait l’objet d’un piratage et vérifiés par nos équipes, 82,9 % répondent à l’exigence de Trello, à savoir une longueur minimale de 8 caractères. Trello n’empêche pas l’utilisation du mot Trello dans la création du mot de passe, nous avons donc trouvé 1 454 mots de passe reprenant le nom dans l’ensemble de données analysées.

En voici quelques exemples :

• maestrello
• estrellosa
• pipistrello2
• petrellosa
• trellos23

Stack Overflow empêche l’utilisation de 46 % des mots de passe compromis

Stack Overflow, un forum public où les développeurs apprennent et partagent leurs connaissances, emploie plus de complexité dans sa politique de mots de passe, qui bloque près de la moitié du milliard de mots de passe compromis analysés. Stack Overflow ne semble pas proposer d’authentification automatique ni effectuer une vérification des mots de passe compromis.

Exigences de Stack Overflow en matière de mots de passe :

– Les mots de passe doivent contenir au moins 8 caractères, dont au moins 1 lettre et 1 chiffre.

Voici quelques exemples de mots de passe qui sont des mots de passe compromis connus, mais qui répondent pourtant aux exigences de Stack Overflow :

• rexter123
• renzo422
• renegade86
• renata90
• remember95

Stack Overflow ne bloque pas l’utilisation de son nom dans les mots de passe, ce qui fait que des mots de passe compromis tels que stackoverflow1993, stackoverflow1 et stackoverflow1111 peuvent être utilisés.

MailChimp bloque l’utilisation de 98 % des mots de passe compromis connus

Le service de marketing par courriel, MailChimp, est le plus performant des services professionnels analysés. Cela est dû à l’application d’une politique de mots de passe complexe, bien qu’il soit probable que ce niveau de complexité puisse entraîner d’autres mauvais comportements comme la réutilisation des mots de passe et le fait de les noter. MailChimp n’exige pas de 2FA, n’effectue pas de vérification des mots de passe compromis et ne bloque pas l’utilisation du mot MailChimp dans les mots de passe.

Les exigences de MailChimp en matière de mot de passe :

• Un caractère minuscule
• Un caractère majuscule
• Un chiffre
• Un caractère spécial
• 8 caractères minimum

Alors que MailChimp réussirait à bloquer 98,7 % des mots de passe connus pour avoir été compromis en se basant uniquement sur les exigences relatives aux mots de passe, le fait que le service ne vérifie pas les mots de passe compromis signifie que le mot de passe Password1! qui apparaît dans la liste Specops Breached Password Protection serait autorisé par le service !

Ce que les administrateurs IT peuvent faire aujourd’hui

Bien que ces services professionnels ne soient pas nécessairement sous le contrôle du département informatique, ceux qui y travaillent ont pourtant encore les mains libres. Les services informatiques doivent s’efforcer de réduire la charge globale liée aux mots de passe, en utilisant des outils comme un gestionnaire de mots de passe d’entreprise ou une solution de signature unique. Les employés doivent être encouragés à utiliser le 2FA aussi souvent que possible. Pour l’environnement de l’entreprise, le département informatique doit bloquer l’utilisation de mots de passe compromis connus dans Active Directory, exiger des phrases de passe plus longues et utiliser l’expiration des mots de passe afin d’atténuer le problème de la réutilisation des mots de passe.

Les mots de passe sont faciles à attaquer car les gens utilisent souvent des mots de passe vulnérables, faciles à deviner ou déjà compromis. Ces mots de passe sont vulnérables parce que les gens les réutilisent sur diverses plateformes personnelles et professionnelles, et parce qu’ils suivent des modèles et des thèmes typiques au moment de leur création. La probabilité qu’ils se retrouvent sur des listes d’adresses piratées ensuite utilisées dans différentes attaques par mot de passe est doc renforcée.

En rendant les mots de passe complexes, on crée des mots de passe difficiles à retenir pour les utilisateurs et faciles à exploiter pour les pirates. Tant que les gens réutilisent des mots de passe, les rendre plus sûrs se résume à interdire l’utilisation de tous les mots de passe compromis connus et à activer le MFA chaque fois que possible. Pour en savoir plus sur le problème de la réutilisation des mots de passe, consultez le rapport 2022 Weak Passport Report sur les mots de passe faibles.