Flexible Security for Your Peace of Mind

Présentation : scan continu des mots de passe compromis par Specops Password Policy 

Soyez protégés en permanence contre la menace persistante de la réutilisation des mots de passe grâce à cette vérification quotidienne dans notre base de données de mots de passe compromis – mise à jour quotidiennement. 

Nous introduisons aujourd’hui une nouvelle fonctionnalité dans Specops Password Policy : des scans continus pour le service Specops Breached Password Protection. Cette fonctionnalité détecte quotidiennement les mots de passe compromis et non plus uniquement lors d’un changement ou d’une réinitialisation de mot de passe.  

La base de données Breached Password Protection est mise à jour avec les mots de passe collectés par notre système de réseau Honeypot et les fuites de mots de passe nouvellement découvertes. Avec les mises à jour quotidiennes de la base de données Breached Password Protection, Specops Password Policy offre désormais l’une des solutions de surveillance des mots de passe compromis les plus complètes du marché.  

La menace persistante contre les mots de passe ne se limite pas aux attaquants 

Les mots de passe demeurent l’un des éléments les plus vulnérables au sein du réseau d’une organisation. Microsoft révèle qu’en 2022, 1 287 attaques de mots de passe ont eu lieu chaque seconde (soit plus de 111 millions par jour). Le nombre de réutilisations d’un mot de passe compromis connu dans le cadre d’une attaque (une attaque de type « password breach replay » comme les appelle Microsoft) a augmenté pour atteindre 5,8 milliards par mois en 2022. 

Source : Microsoft 2023 

La menace persistante des attaques par mot de passe représente un risque énorme pour les organisations. Ce sont pourtant bien les utilisateurs eux-mêmes qui sont à l’origine de ce risque. La réutilisation persistante de mots de passe par les utilisateurs dans leur vie professionnelle et personnelle est la raison pour laquelle les attaquants arrivent à pénétrer les réseaux des organisations en utilisant des mots de passe compromis connus. 

Ce fait est connu et apparaît régulièrement dans les analyses d’attaques et les données sur le comportement des utilisateurs : 

  • 86 % des accès initiaux aux réseaux lors d’une attaque ont été obtenus grâce à des identifiants volés (Verizon 2023). 
  • 44 millions d’utilisateurs de Microsoft réutilisent leurs mots de passe d’après une analyse sur une période de 3 mois (Microsoft 2019).  
  • Plus de 60 % des travailleurs de la connaissance réutiliseraient le même mot de passe ou une variante (LastPass 2022). 

Le comportement des utilisateurs finaux n’est cependant pas à blâmer – l’explosion des services web et des software as a service a rendu très compliqué le problème de la gestion des mots de passe individuels. 

Source : BetterCloud 2023 

Le nombre d’identités professionnelles gérées par un individu n’est qu’une partie de la charge qui conduit à la réutilisation de mots de passe. La question de la gestion des identités personnelles a également gagné en importance. En 2023, Bitwarden constate que 68 % des internautes déclarent gérer des mots de passe pour 10 sites web ou plus, pour lesquels 84 % admettent réutiliser des mots de passe. Pour 34 % d’entre eux, cette charge s’élève à plus de 25 sites ou applications. (source
 
Avec autant d’identifiants et de logins à gérer, les utilisateurs finaux adoptent continuellement de mauvais comportements en matière de mots de passe – la réutilisation des mots de passe est l’un d’eux. 

Ce que cela signifie pour votre réseau 

L’augmentation de la charge d’identité qui pèse sur les utilisateurs finaux dans leur vie professionnelle et personnelle s’accompagne d’un risque accru pour votre réseau. 

Alors que de nombreuses études sectorielles (comme l’étude Bitwarden mentionnée ci-dessus) indiquent que le nombre moyen de mots de passe qu’un individu doit gérer est de 20 à 30, pour LastPass, ce nombre serait beaucoup plus élevé si l’on ne tient pas compte des déclarations des intéressés. 

En 2021, LastPass révèle que le nombre moyen de mots de passe qu’un employé doit gérer est de 191. Il s’agit d’un chiffre 7 fois supérieur à celui qui ressortait dans les déclarations des utilisateurs. LastPass attribue cet écart au fait que les gens ne se rendent pas réellement compte du nombre de comptes qu’ils doivent gérer. 

Si l’on considère uniquement la charge de la gestion des identités au travail, on peut rapidement comprendre les répercussions qu’elle peut avoir dans une organisation sur le risque de réutilisation des mots de passe. 

Une moyenne déclarée de 10 connexions par employé signifie un potentiel de 5 000 opportunités de compromission de mot de passe pour une organisation de 500 utilisateurs. Pour une organisation de 1 000 utilisateurs, le chiffre grimpe à 500 000 points de compromission potentiels. 

LastPass constate qu’en réalité, le nombre total de mots de passe dans une entreprise moyenne de 250 employés est estimé à plus de 47 000 mots de passe. 

Ce risque accru lié au comportement des utilisateurs, associé à l’augmentation des attaques par mots de passe des acteurs malveillants, signifie que les organisations ont besoin d’une protection renforcée. 

Le risque de réutilisation des mots de passe est encore plus élevé pour les organisations qui utilisent la fonction « n’expire jamais »,. 

Pour les organisations ayant adopté une approche « sans expiration » pour leurs mots de passe Active Directory, ce risque est encore plus élevé. La plupart des contrôles de mots de passe compromis sur le marché, y compris Azure AD (Entra ID) Password Protection, s’appuient sur le moment du changement ou de la réinitialisation du mot de passe. Sans cet événement, le risque posé par la réutilisation du mot de passe par l’utilisateur n’est pas contrôlé.  

Comment les organisations peuvent-elles résoudre le problème de la réutilisation des mots de passe ? 

Le risque de réutilisation des mots de passe pour votre organisation est bien réel. Comment les organisations peuvent-elles y remédier ? Il existe un certain nombre d’options mais la plupart de celles qui sont employées aujourd’hui présentent des lacunes. 

Former les utilisateurs à un meilleur comportement à l’égard des mots de passe 

La formation à la cybersécurité visant à corriger le comportement des utilisateurs est l’une des options employées par les organisations pour tenter de mettre fin aux mauvais comportements en matière de mots de passe. Si ce sont les utilisateurs qui posent problème, il paraît logique de régler ce dernier à sa source non ? 

Malheureusement, cela ne s’avère que rarement efficace. C’est ce que révèle l’étude menée par LastPass en 2022 : 

  • 65 % des personnes interrogées déclarent avoir reçu une formation à la cybersécurité ; la majorité d’entre elles (79 %) estiment que cette formation est efficace, qu’elle soit formelle ou informelle. Mais parmi les personnes ayant reçu une formation en cybersécurité, seuls 31 % ont cessé de réutiliser leurs mots de passe. (LastPass 2022) 

Se débarrasser des mots de passe 

Le risque lié à l’utilisation des mots de passe est évident, c’est bien ce qui rend l’idée de les supprimer aussi séduisante. Cependant, la suppression complète des mots de passe n’est pas une option réaliste pour la plupart des organisations. 

D’après Bitwarden, la principale raison pour laquelle les organisations ne se sont pas débarrassées des mots de passe est que les applications utilisées ne sont pas conçues pour être utilisées sans mot de passe (près de la moitié des décideurs informatiques interrogés ont fait état de cette raison). 

Ajouter la MFA 

Si la suppression totale des mots de passe n’est pas possible pour la plupart des organisations aujourd’hui, l’ajout de la MFA à un plus grand nombre de cas d’utilisation l’est. Cependant, les seconds facteurs ne sont pas invulnérables. 

L’une de ces méthodes de compromission d’un deuxième facteur, le bombardement d’invite MFA – également connu sous le nom d’attaque de fatigue MFA – a fait les gros titres lorsqu’Uber a été victime de cette attaque en 2022. 

Microsoft a constaté que les attaques de fatigue MFA se produisaient plus de 31 000 fois par mois en moyenne au cours d’une étude récente d’une durée de 15 mois. L’entreprise a également constaté une augmentation des attaques en glissement annuel pour cette méthode d’attaque – le mois d’août 2022 ayant enregistré une hausse de 26 % par rapport au mois d’août 2021. 

La plupart des attaques de fatigue MFA exigent que l’acteur malveillant ait d’abord accès au premier facteur d’authentification : le mot de passe. La protection du mot de passe contre la compromission élimine la possibilité de bombardement de l’invite MFA.  

Aucun facteur d’authentification n’est à l’abri d’une attaque. L’ajout de la MFA n’annule pas pour autant la nécessité de protéger le mot de passe et la protection du mot de passe ne supprime pas la nécessité d’ajouter la MFA. L’approche la plus pragmatique et la plus sûre consiste à protéger à la fois le mot de passe et tout autre facteur secondaire dans le cadre d’une approche par couches. 

Vérifier l’existence d’une compromission uniquement au moment du changement ou de la réinitialisation 

La plupart des solutions sur le marché, y compris Azure AD (Entra ID) Password Protection, ne vérifient l’utilisation de mots de passe compromis que lors d’un changement ou d’une réinitialisation.  

Les services informatiques souhaitant augmenter la limite d’âge des mots de passe et réduire la fréquence des réinitialisations forcées (voire se débarrasser complètement de l’expiration), cette vérification peu fréquente de l’utilisation de mots de passe compromis laisse béante une faille de plus en plus importante. 

Selon IBM, en 2023, il faut en moyenne 204 jours aux organisations pour découvrir une brèche (source) et 73 jours pour la contenir. 

Compte tenu de cette lacune dans la détection, il apparaît clairement que la vérification des mots de passe au moment de leur changement ou réinitialisation au bout de quelques mois n’est pas suffisante. 

Que faire à la place ? 

La réponse à la menace permanente de réutilisation des mots de passe consiste à vérifier en permanence les mots de passe Active Directory en les comparant à une base de données de mots de passe compromis fréquemment mise à jour.  

Comment fonctionne le scan continu avec la protection avec Specops Breached Password Protection ? 

La fonction de scan continu vérifie une fois par jour tous les mots de passe Active Directory à la recherche de compromissions en les comparant à l’API Breached Password Protection. L’API est mise à jour quotidiennement avec les nouveaux mots de passe compromis découverts grâce à notre système honey pot, ainsi qu’avec les nouvelles fuites de mots de passe découvertes lorsqu’elles se produisent. 

Fonctionnement du flux de scan continu de Breached Password Protection en cas de compromission 
onfiguration des scan continus dans Specops Password Policy. 
Nécessite une nouvelle licence pour les clients existants. 

Les administrateurs peuvent consulter les résultats du dernier scan continu dans les outils d’administration du domaine. 

Les résultats du dernier scan continu par Breached Password Protection peuvent être trouvés dans la nouvelle page de rapport du scan périodique dans les outils d’administration du domaine.  
Disponible dans Specops Password Policy 7.11 et suivantes. 

Des scans quotidiens associés à des données plus intelligentes et plus complètes sur les mots de passe compromis 

Specops Password Policy avec Breached Password Protection offre encore plus de protection à votre organisation contre la menace constante d’attaques.

Breached Password Protection : 

  • Protège contre l’utilisation de plus de 3 milliards de mots de passe uniques compromis connus ; 
  •  Comprend des données sur les mots de passe provenant à la fois de fuites connues, de notre propre système de pot de miel qui collecte les mots de passe utilisés dans de véritables attaques par pulvérisation de mots de passe, et d’informations d’identification volées obtenues par des logiciels malveillants (alimentées par l’unité de renseignement sur les menaces de la société mère de Specops Software, Outpost24) ;
  • Mise à jour quotidienne avec les nouveaux mots de passe découverts. 

La mise à jour quotidienne de l’API de Breached Password Protection, associée à des scans continus à la recherche de ces mots de passe qui seraient utilisés dans votre réseau, constitue une défense beaucoup plus complète face à la menace d’une attaque par mot de passe et le risque de réutilisation des mots de passe. 

Essayez Breached Password Protection dès aujourd’hui 

Vous souhaitez voir comment Breached Password Protection pourrait fonctionner dans votre organisation ? Vous avez des questions sur la manière dont vous pourriez adapter cette méthode à vos besoins ? N’hésitez pas à nous contacter. 

(Dernière mise à jour le 08/03/2024)

Revenir sur le blog

© 2024 Specops Software. All rights reserved.

Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.

Politique de confidentialité

OK