Le risque des mots de passe par défaut : ce qu’ils sont et comment s’en protéger

Les cyberattaques évoluent rapidement. À mesure que la technologie progresse, les outils et les techniques utilisés par les cybercriminels se perfectionnent également, des campagnes phishing pilotées par IA aux attaques ciblées par ransomware. Mais malgré cette montée en puissance, de nombreuses violations réussissent encore à cause d’un point de défaillance tristement banal : le mot de passe par défaut.

D’après un récent rapport d’IBM, 86 % des utilisateurs n’ont jamais modifié le mot de passe administrateur de leur box ou routeur domestique. Cette négligence peut avoir de graves conséquences, permettant aux cybercriminels de manipuler et de surveiller le trafic, de lancer des attaques de type “man-in-the-middle” (MITM), voire d’espionner les utilisateurs via des objets connectés (IoT) présents dans le foyer.

Dans un contexte professionnel, les répercussions peuvent être encore plus graves. Des identifiants par défaut sur des équipements, des serveurs ou des applications cloud d’une entreprise peuvent représenter une véritable porte d’entrée pour un hacker, lui permettant d’accéder à des systèmes sensibles et de se déplacer au sein du réseau et compromettre l’ensemble de l’infrastructure avec une résistance minimale.

Ce n’est qu’un exemple parmi d’autres de la menace que représentent les mots de passe par défaut et de l’importance de les éliminer de votre environnement numérique. Dans cet article, nous vous expliquerons ce que sont les mots de passe par défaut, pourquoi ils constituent toujours un risque majeur en 2025 et les mesures concrètes que vous pouvez mettre en place pour protéger votre réseau contre les compromissions.

Que sont les mots de passe par défaut ?

Les mots de passe par défaut sont des identifiants prédéfinis (tels que “admin” ou “1234”) attribué par le fabricant aux appareils afin de simplifier leur configuration initiale et leur mise en service. Ils sont destinés à être temporaires et permettent aux utilisateurs d’accéder rapidement au système lors de l’installation.

Cependant, malgré les problèmes de sécurité qu’ils posent, ces mots de passe restent souvent inchangés longtemps après le déploiement.

Pourquoi les mots de passe par défaut sont-ils utilisés ?

Il existe plusieurs raisons pour lesquelles les mots de passe par défaut persistent, tant du côté des fabricants que des utilisateurs. Du point de vue des fabricants, c’est avant tout une question de facilité de déploiement à grande échelle. L’utilisation d’un mot de passe standard et connu permet de configurer, tester et expédier rapidement les appareils sans complexité supplémentaire.

Les fabricants qui définissent des mots de passe par défaut transfèrent la responsabilité de la sécurité vers l’utilisateur final et c’est précisément là que les choses se dégradent. En entreprise, les équipes informatiques peuvent distribuer des ordinateurs portables, des téléphones ou d’autres appareils aux employés en espérant qu’ils suivront les instructions d’intégration, notamment en remplaçant le mot de passe par défaut par un mot de passe sécurisé. 

Mais de nombreux utilisateurs ne le font jamais. Que ce soit par habitude, par commodité ou par manque de sensibilisation, les employés sautent souvent cette étape, laissant les appareils exposés à des risques évitables et introduisant des failles dans la stratégie de sécurité de l’organisation.

Les risques liés aux mots de passe par défaut

Laisser les mots de passe par défaut inchangés représente une menace sérieuse pour la sécurité, tant pour les particuliers que pour les entreprises. Ces identifiants étant souvent accessibles au public, répertoriés dans les manuels d’utilisation ou sur les sites Web des fabricants, ils font partie des premières cibles des cybercriminels lorsqu’ils recherchent des systèmes vulnérables. Une fois à l’intérieur, les dégâts peuvent rapidement s’aggraver.

• Recrutement de botnets : dans de nombreux cas, les appareils compromis sont discrètement intégrés à de vastes botnets, utilisés ensuite pour lancer des attaques par déni de service distribué (DDoS) ou propager des malwares à grande échelle.
• Porte d’entrée pour les ransomwares et mouvements latéraux : les mots de passe par défaut peuvent servir de point d’accès initial aux opérateurs de ransomwares. Une fois à l’intérieur d’un réseau via un appareil non sécurisé, les hackers peuvent se déplacer latéralement avec des conséquences potentiellement désastreuses.
• Exploitation de la chaîne d’approvisionnement : si les hackers parviennent à accéder à des systèmes connectés à ceux de partenaires ou de fournisseurs, ils peuvent exploiter ces relations de confiance pour propager des malwares, exfiltrer des données sensibles ou compromettre les clients en aval.

Exemples concrets d’attaques liées aux mots de passe par défaut

Attaque contre une station d’eau en Pennsylvannie

En 2023, une installation de traitement de l’eau en Pennsylvanie a été la cible d’une cyberattaque menée par un groupe de hackers étrangers nommé “Cyber Av3ngers”. L’installation utilisait des automates programmables de la marque Unitronics pour surveiller et réguler les systèmes hydrauliques. Ces équipements étaient connectés à Internet et protégés uniquement par le mot de passe par défaut « 1111 ». Les hackers ont facilement trouvé et exploité ce mot de passe par défaut faible, ce qui leur a permis de prendre le contrôle du système et de provoquer un arrêt temporaire du pompage.

Cette attaque, ainsi que plusieurs autres violations associées, ont incité plusieurs autorités, dont le FBI, la CISA et la NSA, à publier un avis conjoint mettant en garde contre cette menace et exhortant les organisations à prendre des mesures de protection, notamment le remplacement de tous les mots de passe par défaut.

Botnet Mirai

L’un des exemples les plus tristement célèbres de cyberattaque exploitant des mots de passe par défaut est le botnet Mirai, apparu en 2016. Mirai ciblait spécifiquement les objets connectés (IoT), tels que les routeurs et les caméras IP, qui utilisaient encore des identifiants par défaut. Le malware scannait en permanence Internet à la recherche d’appareils vulnérables, en utilisant une liste codée en dur de mots de passe par défaut courants tels que « admin:admin » ou « root:123456 » pour obtenir un accès non autorisé. Une fois le dispositif compromis, Mirai l’enrôlait dans une immense armée de botnets pouvant être contrôlée à distance par les hackers.

Mirai a été utilisé pour lancer certaines des plus grandes attaques par déni de service distribué (DDoS) à l’époque. Dans un cas très médiatisé, Mirai a pris pour cible Dyn, un fournisseur de DNS, provoquant des pannes massives touchant plusieurs grands acteurs comme Twitter, Netflix et Reddit.

Les conséquences de l’utilisation de mots de passe par défaut

Les mots de passe par défaut sont couramment utilisés pour simplifier la configuration initiale, mais le fait de ne pas les modifier après le déploiement peut exposer votre organisation à des attaques. Outre le risque de violation, voici quelques-unes des conséquences potentielles de l’utilisation d’identifiants définis en usine ou codés en dur :

1.     Atteinte à l’image de marque en cas de violation de sécurité

Lorsqu’une cyberattaque exploite les identifiants par défaut de votre infrastructure, les répercussions peuvent nuire considérablement à la réputation de votre organisation. Les violations rendues publiques, en particulier celles impliquant des données clients ou des opérations critiques, ébranlent la confiance et entraînent une perte d’activité, une couverture médiatique négative et peuvent mettre à mal des partenariats.

Dans certains cas, votre organisation peut également faire l’objet d’enquêtes internes, d’un examen minutieux au niveau du conseil d’administration ou de poursuites judiciaires pour négligence présumée.

2.     Amendes réglementaires pour non-conformité

De nouvelles réglementations telles que la législation sur la cyberrésilience de la Commission de l’Union européenne et les lois américaines au niveau des États (comme celles de Californie), renforcent la pression sur les fabricants qui commercialisent des appareils dont les paramètres par défaut ne sont pas sécurisés. Ces lois peuvent imposer des amendes importantes et même interdire la vente de produits non conformes. Les entreprises qui ne suppriment pas les mots de passe par défaut s’exposent désormais à des sanctions légales et à une refonte forcée de leurs produits.

3.     Coûts opérationnels élevés

Le fait de ne pas modifier les mots de passe par défaut augmente considérablement votre exposition aux cybermenaces, ce qui entraîne une augmentation des coûts de maintenance de vos systèmes.

Une seule compromission peut entraîner des correctifs d’urgence, des enquêtes judiciaires, des interruptions de service et des reconfigurations du système. Toutes ces mesures réactives sont plus perturbantes et plus coûteuses que le renforcement préventif des mots de passe.

4.     Risque pour l’ensemble des systèmes informatiques

Les vulnérabilités liées aux mots de passe par défaut ont tendance à ne pas rester isolées. Une fois qu’un cybercriminel a accès à un seul appareil ou système mal sécurisé, il peut se déplacer latéralement à travers votre réseau et étendre progressivement ses accès, causant ainsi des perturbations et des dommages importants.

Cela est particulièrement dangereux dans les environnements sensibles tels que les établissements de santé ou les systèmes de contrôle industriel, où un seul point faible peut compromettre la sécurité de l’ensemble de l’infrastructure.

Comment réduire le risque lié aux mots de passe par défaut

Les mots de passe par défaut constituent l’un des points d’entrée les plus faciles pour les hackers. Heureusement, ils sont également parmi les plus simples à corriger. En prenant des mesures proactives, vous pouvez réduire considérablement l’exposition de votre entreprise aux attaques par compromission d’identifiants.

1.     Identifiez et auditez régulièrement les identifiants par défaut

La première étape pour traiter les mots de passe par défaut consiste à savoir où ils se trouvent. Effectuez régulièrement des audits sur l’ensemble de votre réseau afin de détecter les identifiants par défaut ou faibles encore utilisés.

Cela implique notamment de vérifier la documentation du fabricant, de rechercher les combinaisons nom d’utilisateur/mot de passe par défaut connues et d’utiliser des outils automatisés pour signaler les configurations non sécurisées.

Grâce à notre outil gratuit Specops Password Auditor, vous pouvez générer un rapport en lecture seule de votre Active Directory afin d’identifier les identifiants faibles ou compromis. Il est capable de comparer le NTHash de chaque mot de passe et d’afficher les utilisateurs qui ont le même mot de passe, ce qui indique une utilisation potentielle du mot de passe par défaut. Essayez-le gratuitement. 

2.     Modifiez immédiatement les mots de passe par défaut

Chaque fois que vous introduisez un nouvel appareil, un nouveau service ou un nouvel outil dans votre environnement, vous devez immédiatement imposer un changement de mot de passe dans le cadre du processus de configuration initiale. Dans la mesure du possible, essayez de désactiver complètement tous les comptes avec des identifiants par défaut. Ils ne sont peut-être pas nécessaires et leur suppression réduit considérablement votre surface d’attaque.

Specops First Day Password, une fonctionnalité de Specops uReset, peut vous aider à rendre ce processus plus sûr et plus fluide. Elle élimine le besoin de partager des mots de passe temporaires avec les nouveaux utilisateurs. À la place, les utilisateurs réinitialisent eux-mêmes leur mot de passe initiala en toute sécurité, sans jamais avoir besoin de connaître ou de manipuler le mot de passe initial.

Il s’agit d’une mesure simple qui élimine une vulnérabilité fréquente de votre processus d’intégration et améliore à la fois la sécurité et l’expérience utilisateur. Contactez-nous pour une démonstration gratuite.

3.     Appliquez des politiques de mots de passe robustes

Les mots de passe par défaut sont dangereux, mais les mots de passe faibles en général le sont tout autant. Il est essentiel d’appliquer des politiques de mots de passe strictes qui répondent aux exigences minimales, notamment en matière de complexité et de longueur.

Specops Password Policy peut vous aider à renforcer la sécurité de vos mots de passe, en garantissant la conformité et en bloquant plus de 4 milliards de mots de passe uniques compromis dans votre Active Directory. Inscrivez-vous pour une démonstration en direct gratuite.

4.     Activez l’authentification multifacteur (MFA)

L’authentification multifacteur réduit considérablement le risque qu’un mot de passe compromis (par défaut ou non) puisse entraîner une violation. En exigeant une forme d’authentification supplémentaire, comme un code d’accès à usage unique provenant d’une application d’authentification, la MFA ajoute une deuxième ligne de défense qui peut arrêter les hackers dans leur élan.

5.     Segmentez et surveillez l’accès au réseau

Même avec une politique de mots de passe stricte, vous devez toujours partir du principe que les identifiants peuvent être compromis. Si des hackers parviennent à accéder à votre réseau, la segmentation de celui-ci peut limiter leurs mouvements au sein de votre environnement.

Une surveillance continue et une journalisation sont également importantes pour détecter les tentatives d’accès inhabituelles, en particulier celles correspondant à des schémas connus d’identifiants par défaut ou d’adresses IP non reconnues.

Protégez dès aujourd’hui votre organisation contre les risques liés aux mots de passe par défaut

L’un des meilleurs moyens de réduire le risque lié aux mots de passe par défaut dans votre environnement consiste à mettre en place des politiques de mots de passe strictes qui encouragent l’utilisation d’identifiants uniques et complexes pour chaque système, imposent des changements réguliers de mots de passe et interdisent toute réutilisation des mots de passe courants ou préconfigurés.

 Specops Password Policy offre une approche proactive de la sécurité des mots de passe, vous aidant à garantir facilement la conformité et à bloquer plus de 4 milliards de mots de passe uniques compromis dans votre Active Directory. Outre l’analyse continue des nouveaux mots de passe compromis, Specops Password Policy vous permet d’empêcher les utilisateurs finaux de créer des mots de passe faibles, contribuant ainsi à éliminer la menace des attaques par compromission de mots de passe.

Vous souhaitez en savoir plus sur la manière dont Specops Password Policy peut vous aider à éliminer les mots de passe par défaut dans votre Active Directory ? Réservez une démonstration en direct dès aujourd’hui.