La réutilisation des mots de passe est courante malgré des années de sensibilisation des utilisateurs finaux. C’est un problème que les équipes informatiques ont du mal à maîtriser notamment lorsque les utilisateurs réutilisent leurs mots de passe professionnels à la maison. Cela signifie qu’une faille exploitée à l’extérieur d’une organisation peut conduire à des problèmes de cybersécurité au sein de celle-ci – et cela même si sa propre politique de mot de passe Active Directory est bonne et va au-delà des conseils réglementaires.

La réutilisation des mots de passe est un problème plus important que vous ne le pensez et très difficile à repérer. Une enquête de TechRepublic révèle que 53 % des personnes reconnaissent utiliser le même mot de passe pour plusieurs comptes – ce qui est une bonne chose pour les pirates informatiques. Ce comportement risqué de la part des utilisateurs et les efforts incessants des cybercriminels constituent une combinaison dangereuse. Toutefois, il s’agit d’un risque qui peut être atténué à l’aide des bons outils.

Pourquoi les gens réutilisent-ils leurs mots de passe ?

Tout simplement parce que les gens préfèrent opter pour la facilité. Même si cela va à l’encontre de ce qu’ils ont appris lors des heures de formation à la sécurité et à la sensibilisation (SAT), les gens préfèrent se souvenir d’un mot de passe plutôt que de plusieurs. Ils ne veulent pas avoir à réinitialiser leur mot de passe et risquer de se retrouver bloqués – prolongeant ainsi leur journée de travail. Beaucoup de personnes pensent que si leur mot de passe professionnel est fort, c’est une bonne idée de l’utiliser également pour leurs appareils et applications personnels. Après tout, quelle chance ont-ils d’être la personne malchanceuse ciblée par les pirates informatiques ? 

En 2023, les utilisateurs finaux devraient être mieux informés, c’est vrai. Mais il n’est pas juste de blâmer uniquement les employés. Les entreprises adoptent de plus en plus fréquemment des logiciels en tant que service (SaaS), en raison de leur flexibilité, de leur facilité d’adaptation et de la réduction du besoin d’expertise interne. Depuis 2021, l’adoption du SaaS a augmenté de 18 % – une entreprise moyenne utilisant 130 applications SaaS. De ce fait, une entreprise moyenne de 250 personnes gère environ 47 750 mots de passe – ce qui offre de nombreuses possibilités de compromission.

La grande majorité des utilisateurs finaux n’ont pas l’intention de mettre leur organisation en danger. Ils ont simplement beaucoup de choses à retenir et pensent probablement que la réutilisation des mots de passe n’est pas un problème. Malheureusement, c’est loin d’être le cas.

Les risques cachés de la réutilisation des mots de passe

Verizon estime que 86 % des attaques ont pour origine des informations d’identification volées. Si un même mot de passe est utilisé pour de nombreux appareils et applications, il suffit que le maillon le plus faible soit compromis. Un courriel d’hameçonnage, un réseau public non sécurisé ou un appareil personnel infecté par un logiciel malveillant peuvent tous conduire à la compromission d’un mot de passe dans la vie personnelle d’un utilisateur final. S’il a réutilisé son mot de passe professionnel, cet incident cybernétique initialement sans rapport avec votre organisation peut entraîner une chaîne d’événements impactant cette dernière.

L’un des plus grands risques est que des pirates mettent la main sur une base de données de mots de passe provenant d’un site web moins sécurisé ou d’une application SaaS. Supposons par exemple qu’un pirate s’introduise dans une boutique en ligne et mette la main sur une base de données complète de mots de passe. Même si les mots de passe sont hachés, le pirate a tout le temps d’essayer de les déchiffrer, puis de découvrir qui leurs utilisateurs et où travaillent ces personnes. Si l’un de ces mots de passe a été réutilisé au travail, c’est un moyen facile d’entrer dans l’organisation de l’employé. 

C’est la raison pour laquelle la réutilisation des mots de passe peut être une épine dans le pied des organisations ayant une politique de mot de passe par ailleurs solide. Une organisation peut obliger les utilisateurs finaux à utiliser des mots de passe plus longs et plus robustes au travail, mais rien n’empêche les gens de réutiliser ces mots de passe sur des applications et des appareils personnels dont la sécurité est faible ou sur des réseaux non sécurisés.

Comment se protéger contre la réutilisation des mots de passe ?

Le problème de la réutilisation des mots de passe réside dans ses conséquences : des mots de passe compromis. Il existe quelques moyens pour les organisations de réduire le risque de donner aux pirates des voies d’accès faciles à leur organisation.

La formation

Les organisations forment leur personnel depuis longtemps et cela n’a pas empêché la réutilisation des mots de passe. Selon Bitwarden, 68 % des internautes gèrent des mots de passe pour plus de 10 sites web – 84 % d’entre eux admettent réutiliser des mots de passe. Il est utile de sensibiliser à la cybersécurité, mais il serait illusoire de croire que la formation des utilisateurs finaux résoudra le problème à elle seule.

Authentification multifacteurs (MFA)

Elle est utile, c’est certain. Cependant, aucune forme d’authentification n’est infaillible face à des pirates informatiques déterminés. L’authentification multifacteurs peut être vulnérable à des attaques comme le « prompt bombing », c’est pourquoi il reste important de sécuriser également les mots de passe. 

Se débarrasser des mots de passe

Cela peut sembler un scénario de rêve pour les équipes informatiques, mais ce n’est pas toujours faisable. En fait, pour la plupart des organisations, nous sommes encore loin de la suppression totale des mots de passe.

Vérifier les mots de passe compromis

Les équipes informatiques auront toujours du mal à empêcher les personnes de réutiliser leurs mots de passe professionnels en dehors du travail, il est donc essentiel de disposer d’un moyen de vérifier si les mots de passe ont été compromis. Cependant, les solutions comme Azure AD (Entra ID) ne vérifient que les réinitialisations ou les changements de mots de passe. Cela peut être trop lent – les données 2023 d’IBM indiquent qu’il faut 204 jours pour découvrir une compromission et 73 jours pour la contenir. L’utilisation de solutions qui ne vérifient la compromission qu’au moment de la modification ou de la réinitialisation d’un mot de passer est particulièrement risquée pour les organisations au sein desquelles les mots de passe n’expirent jamais.

Analyse continue des mots de passe compromis

Specops Password Policy avec Breached Password Protection assure une protection automatisée et continue à votre organisation face à la menace constante des mots de passe compromis. Il protège vos utilisateurs finaux contre l’utilisation de plus de 4 milliards de mots de passe compromis connus, y compris des données provenant à la fois de fuites connues et de notre propre système honey pot qui collecte les mots de passe utilisés lors d’attaques réelles par pulvérisation de mots de passe. 

Notre nouvelle fonction de scan continu vérifie une fois par jour l’ensemble des mots de passe Active Directory en les comparant à l’API Breached Password Protection afin de vérifier si certains sont compromis. L’API est mise à jour quotidiennement avec les nouveaux mots de passe compromis découverts grâce à notre système honey pot de mots de passe, ainsi qu’avec les nouvelles fuites de mots de passe lorsqu’elles se produisent. Les administrateurs peuvent consulter les résultats de la dernière analyse continue dans les outils d’administration du domaine.

Vous souhaitez savoir comment Specops Password Policy peut s’adapter à votre organisation et vous protéger contre la réutilisation des mots de passe ? Contactez-nous pour en savoir plus.