Flexible Security for Your Peace of Mind

Se conformer aux exigences de sécurité ne suffit plus : une nouvelle étude montre que jusqu’à 83 % des mots de passe compromis connus satisferaient aux exigences réglementaires

(Dernière mise à jour le 24/05/2022)

Les organisations de toutes sortes se tournent vers les recommandations et les normes réglementaires pour obtenir des conseils sur la meilleure façon de construire une politique de mots de passe sécurisée pour leurs réseaux. Cependant, de nouvelles études montrent que la complexité réglementaire des mots de passe et les recommandations de construction ne sont pas suffisantes. L’équipe de recherche de Specops Software partage aujourd’hui les résultats de ses analyses sur les mots de passe compromis trouvés dans les ensembles de données de mots de passe divulgués qui, étaient pourtant techniquement conformes aux normes réglementaires. Cette analyse est concomitante avec le dernier ajout de plus de 24 millions de mots de passe compromis au service Specops Breached Password Protection.

« Ce que ces données nous disent vraiment, c’est qu’il y a une très bonne raison pour laquelle certaines recommandations réglementaires incluent désormais une vérification de mot de passe compromis », a déclaré Darren James, spécialiste produit chez Specops Software. « La complexité et d’autres règles peuvent aider, mais le mot de passe le plus conforme au monde ne fait rien pour protéger votre réseau s’il figure sur la liste des mots de passe compromis d’un pirate. »

Selon cette nouvelle étude de Specops, après analyse de plus de 800 millions de mots de passe compromis connus, jusqu’à 83 % des mots de passe qui apparaissent dans les bases de données de mots de passe compromis satisferaient autrement aux normes réglementaires relatives aux mots de passe. L’équipe a comparé les règles de construction de 6 normes différentes à un ensemble de données de 800 millions de mots de passe compromis.

Les règles normatives réglementaires suivantes ont été étudiées :

  • ANSSI
  • NIST
  • HITRUST pour HIPAA
  • PCI
  • ICO pour le RGPD
  • Cyber ​​​​Essentials pour NCSC

Un bon nombre de ces normes recommandent d’utiliser une liste de mots de passe compromis connus pour empêcher l’utilisation de mots de passe piratés. Le graphique suivant montre quel pourcentage de l’ensemble de données de mot de passe compromis connu respecte les recommandations réglementaires.

Mots de passe compromis presque conformes à l’ANSSI

L’ANSSI, agence nationale de la sécurité des systèmes d’information, est l’autorité nationale française chargée d’accompagner et de sécuriser le développement du numérique. Placée sous l’autorité des services du Premier ministre, sa mission est triple : apporter une expertise et une assistance technique dans la protection des systèmes étatiques ; assister les Opérateurs d’Importance Vitale ; et, plus largement, sensibiliser les entreprises françaises à la cybersécurité, tout en apportant leur expertise à travers de nombreuses publications (références, méthodes, analyses, etc.). Les recommandations de l’ANSSI sur la sécurité des mots de passe parlent de trois niveaux de sécurité en fonction des différents niveaux de sensibilité des comptes : « faible à moyen », « moyen à fort » et « fort ». Les recommandations spécifiques comprennent :

  • Au moins 1 majuscule ou minuscule ou chiffre ou symbole ;
  • Aucun caractère consécutif (« 123 ») ;
  • Pas de motifs répétitifs (« aaaa ») ;
  • Pas de modèles de mots-clés (« azerty ») ;
  • Longueur minimale du mot de passe (9, 12 et 15 pour les 3 niveaux) ;
  • Confrontation du mot de passe lors de sa création avec une liste de mots de passe communs ou connus pour être compromis.

Notre équipe a analysé parmi les 800 millions de mots de passe compromis connus ceux qui respectaient une longueur minimale de 9 caractères, qui n’utilisaient pas de caractères répétitifs ou incrémentiels, qui ne contenaient pas « azerty ». Il se trouve que 52,95 % de l’ensemble de données des mots de passe compromis connus répondaient à ces critères. La vérification répétitive/incrémentielle comprenait la recherche d’une répétition d’au moins 3 caractères (aaa, bbb, ccc) et des séquences de 123, 234, etc. Dans un environnement réel, des listes de modèles de mots-clés plus robustes permettraient une recherche plus fine.

Quelques exemples de mots de passe conformes trouvés dans cette enquête :

  • yuantuo2012
  • password1
  • 1q2w3e4r5t
  • startfinding
  • 111222tianya

Mots de passe compromis presque conformes au NCSC (Cyber ​​Essentials)

Le NCSC, le National Cyber ​​Security Centre, fait partie du gouvernement du Royaume-Uni et fournit des conseils et un soutien aux secteurs public et privé sur la manière d’éviter les menaces de sécurité informatique. Le programme d’accréditation approuvé par le NCSC, Cyber ​​Essentials définit une base de référence normalisée pour les politiques, les contrôles et les technologies de cybersécurité. Cyber ​​Essentials est obligatoire pour les contrats gouvernementaux impliquant le traitement d’informations personnelles ou la fourniture de certains produits et services.

Les exigences relatives au mot de passe Cyber ​​Essentials incluent :

  • La définition d’une longueur minimale de mot de passe d’au moins 8 caractères ;
  • L’absence d’une longueur maximale pour un mot de passe ;
  • Le changement rapide des mots de passe lorsque l’on soupçonne qu’ils ont été compromis.

Lorsque notre équipe a analysé l’ensemble des mots de passe compromis de 8 caractères ou plus, elle a découvert que 82,98 % de ces mots de passe remplissaient cette exigence.

Quelques exemples des près de 83 % de mots de passe conformes trouvés dans cette enquête : :

  • malcom01
  • maidmarian
  • magvai87magvai87
  • maggie1987
  • madrilena

Mots de passe compromis presque conformes à ICO/GDPR

Le règlement général sur la protection des données (RGPD, ou « GDPR » en anglais) oblige les organisations à veiller à la protection des données et de la vie privée des citoyens de l’UE. Le règlement ne fournit aucune directive spécifique sur les mots de passe, mais le Bureau du commissaire à l’information (ICO), qui est responsable de l’application du règlement, fournit des directives non contraignantes, notamment :

  • Longueur du mot de passe : la longueur minimale doit être de 10 caractères et il ne doit pas y avoir de maximum ;
  • Complexité du mot de passe : ne pas imposer l’utilisation de caractères spéciaux ;
  • Liste de refus de mot de passe : bloquage du recours aux mots de passe courants et faibles ;
  •  Filtrage des mots de passe par rapport à une liste des mots de passe les plus couramment utilisés, des mots de passe divulgués suite à des violations et des mots devinables car liés à l’organisation ;
  • Mise à jour régulière de la liste des mots de passe divulgués et explication aux utilisateurs du pourquoi du rejet de leur mot de passe.

Après analyse des données, notre équipe a découvert que 43,48 % des mots de passe compromis respectaient la norme de longueur de mot de passe.

Quelques exemples des 43 % de mots de passe compromis conformes trouvés dans cette enquête :

  • ihatekittens
  • ihatebrent
  • ihateapples
  • igor5062489
  • igor454645

Mots de passe compromis presque conformes à HITRUST/HIPAA

Créé en 2007 pour combler le vide dans les exigences souvent vagues de la loi HIPAA, le Health Information Trust (HITRUST) offre un cadre pour se conformer aux normes telles que la série ISO/IEC 27000 et la loi HIPAA. Certains des conseils de mot de passe fournis par HITRUST incluent :

  • Un minimum de 8 caractères ;
  • La présence d’au moins 1 majuscule ou minuscule ou chiffre ou symbole ;
  • La limitation du nombre de caractères identiques consécutifs.

Notre équipe a défini « la limitation du nombre de caractères identiques consécutifs » à 4 ou plus, et a constaté que 56,87 % de l’ensemble des mots de passe compromis respectaient les instructions ci-dessus.

Quelques exemples parmi les 57 % de mots de passe compromis bien que conformes :

  • freedom1321
  • freddie43
  • fortview0122015
  • forrest55
  • foolish16

Mots de passe compromis presque conformes à la norme PCI

Les principales sociétés de cartes de crédit – Visa, Mastercard et American Express – ont établi des directives PCI DSS (Payment Card Industry Data Security Standards) en 2006 dans le but de protéger les données des cartes de crédit contre le vol. PCI v3 a 12 exigences. L’exigence n°8 couvre l’identification et l’authentification de l’accès aux composants du système et inclut les recommandations suivantes :

  • Minimum de 7 caractères ;
  • Au moins 1 chiffre et un caractère alphabétique.

Notre équipe a analysé parmi l’ensemble des mots de passe compromis ceux qui répondaient aux critères ci-dessus et a trouvé que 59,14 % d’entre eux correspondaient à ces exigences.

Quelques exemples parmi les 59 % de mots de passe compromis mais conformes trouvés dans cette étude :

  • 22pink22
  • 21dog657
  • o1livia
  • beatrice.99
  • klippen5

Mots de passe compromis presque conformes au NIST

Le NIST, Institut national des normes et de la technologie, établit les normes de sécurité de l’information pour les agences fédérales (ou les organisations qui cherchent à faire affaire avec ces agences) aux États-Unis. Grâce à la publication spéciale du NIST 800-63B Digital Identity Guidelines, le NIST fournit les pratiques les plus efficaces concernant l’authentification et la gestion du cycle de vie des mots de passe. Dans cette publication, le NIST décrit plusieurs bonnes pratiques pour renforcer la sécurité des mots de passe, notamment :

  • Une longueur minimale du mot de passe de 8 caractères ;
  • Empêcher l’utilisation de mots de passe répétitifs ou incrémentiels ;
  • Interdire les mots spécifiques au contexte dans les mots de passe ;
  • Vérification des mots de passe par rapport aux listes de mots de passe compromis.

Notre équipe a analysé l’ensemble des 800 millions de mots de passe compromis qui respectaient une longueur minimale de 8 caractères et n’utilisaient pas de caractères répétitifs ou incrémentiels. Il en résulte que 78,27 % de l’ensemble de données de mots de passe compromis répondaient à ces 2 recommandations. La vérification répétition/incrémentiel incluait la recherche d’une répétition d’au moins 3 caractères (aaa, bbb, ccc) et des séquences de 123, 234, etc. Dans un environnement réel, des vérifications spécifiques au contexte telles que la prévention des noms d’utilisateur et des mots liés à l’entreprise abaisserait ce nombre.

Quelques exemples parmi les 78 % de mots de passe conformes trouvés dans cette enquête : :

  • password1
  • qwertyuiop
  • 1q2w3e4r5t
  • iloveyou
  • myspace1

Que faire à ce sujet ?

Les mots de passe conformes aux recommandations réglementaires que l’on retrouve dans les listes de mots de passe compromis ne doivent pas être ignorés.

« Que vous soyez ou non tenu de suivre une norme réglementaire qui inclut une vérification de mot de passe compromis – ces données indiquent clairement que vous devriez en mettre en œuvre une de toute façon », poursuit James.

Specops Breached Password Protection peut aider à se défendre contre les attaques par mot de passe en bloquant l’utilisation de plus de 2 milliards de mots de passe compromis connus dans Active Directory.

Vous pouvez savoir combien de vos utilisateurs Active Directory utilisent des mots de passe compromis en exécutant une analyse gratuite en lecture seule avec Specops Password Auditor. Pour en savoir plus et le télécharger, c’est ici.

Avec Specops Password Policy et Breached Password Protection, les entreprises peuvent bloquer plus de 2 milliards de mots de passe compromis dans Active Directory. Ces mots de passe compromis incluent ceux qui sont utilisés dans des attaques réelles aujourd’hui ou qui figurent sur des listes de mots de passe compromis connus, ce qui facilite la conformité aux réglementations de du secteur comme celles de l’ANSSI, NIST ou NCSC. Les systèmes de collecte de données de surveillance des attaques de notre équipe de recherche mettent à jour le logiciel quotidiennement et garantissent que les réseaux sont protégés contre les attaques par mot de passe du monde réel actuellement en cours. Le service Breached Password Protection bloque ces mots de passe interdits dans Active Directory avec une messagerie personnalisable pour l’utilisateur final qui permet de réduire les appels au service d’assistance.

Revenir sur le blog