Quelques faits marquants

123456

est le mot de passe compromis le plus courant dans la nouvelle liste de KrakenLabs relative aux informations d’identification des applications en nuage ayant été compromises

31.1 million

de mots de passe compromis qui comportaient pourtant plus de 16 caractères

Seules 50%

des entreprises recherchent les mots de passe compromis dans leur environnement plus d’une fois par mois.

À propos des données

Les données de ce rapport proviennent des sources détaillées ci-dessous – nous en avons déjà publiées certaines au cours de l’année, d’autres le sont pour la première fois. Au fil de la lecture, nous vous indiquerons clairement quelles informations proviennent de quelle source : 

  • L’équipe de renseignements sur les menaces d’Outpost24 (société mère de Specops Software), KrakenLabs, a mené deux études, détaillées dans le présent rapport : 
    • 1) L’analyse de plus de deux millions d’identifiants d’applications professionnelles piratés par des logiciels malveillants afin de déterminer les mots de passe les plus couramment compromis. Ses résultats sont publiés pour la première fois dans ce rapport.1 
    • 2) L’analyse d’1,8 million d’identifiants d’administrateurs collectés entre janvier et septembre 2023.2 
  • Specops a interrogé 151 professionnels de la cybersécurité lors de l’International Cyber Expo 2023. Les participants ont été interrogés en personne sur la sécurité des mots de passe de leur organisation – ces réponses sont détaillées dans ce rapport pour la première fois. Toutes les personnes interrogées ainsi que leurs organisations respectives sont restées anonymes  
  • Au cours de l’année écoulée, les chercheurs de Specops ont effectué plusieurs analyses sur un ensemble de plus de 800 millions de mots de passe compromis. Il s’agit d’un sous-ensemble de notre base de données Breached Password Protection, qui recense plus de 4 milliards de mots de passe compromis connus

Télécharger le rapport

Darren James
Senior Product Manager, Specops Software

2024 : l’année du mot de passe sécurisé ?

Malgré des décennies passer à former les utilisateurs finaux, les mots de passe restent un problème pour les équipes informatiques et un point faible dans les stratégies de cybersécurité de nombreuses organisations. Une grande partie de la cybercriminalité reste concentrée sur les mots de passe : vol des informations d’identification, ensuite revendues et utilisées comme points d’accès initial pour pénétrer dans les organisations. Verizon estime que les identifiants volés sont impliqués dans près de la moitié (44,7 %) des violations de données, et nous savons qu’il existe un marché souterrain florissant pour les données et les identifiants volés.  

Malgré cela, les mots de passe ne sont pas près de disparaître. Nous avons interrogé 151 professionnels de la cybersécurité à l’occasion de l’International Cyber Expo 2023 et nous avons constaté que seulement 12 % des organisations ont abandonné l’utilisation des mots de passe comme principale méthode d’authentification. Se débarrasser complètement des mots de passe n’est tout simplement pas faisable pour la plupart des organisations – il s’agit alors de savoir comment nous pouvons les rendre plus efficaces.  

Tout au long de l’année 2023, notre équipe de recherche a régulièrement analysé les données relatives aux mots de passe compromis et aux attaques en direct afin de partager ses conclusions et de mettre en évidence l’importance de la sécurité des mots de passe et les vulnérabilités potentielles posées par des mots de passe faibles ou compromis. Ce rapport rassemble les points forts de cette recherche et les croise avec les résultats de recherches précédentes jamais publiés. L’objectif est de permettre aux organisations de mieux comprendre les modèles et les tendances liés à la compromission de mots de passe, et de partager des conseils sur la manière de renforcer la sécurité de leurs accès. 

Nous examinerons comment les mots de passe faibles et compromis offrent des voies d’entrées potentielles au sein des organisations, pourquoi une politique de mots de passe forte n’est pas suffisante en soi, et nous explorerons certaines des erreurs de mot de passe commises par vos utilisateurs finaux dont vous ignorez peut-être l’existence. Vous aurez également accès à un outil gratuit d’audit d’Active Directory et à des conseils pratiques issus de nos années d’expertise en matière de sécurité des mots de passe, pouvant être mis en œuvre immédiatement.  

Faites de 2024 l’année du mot de passe sécurisé !  

Télécharger le rapport

Des mots de passe faibles se cachent-ils dans votre AD ?

Lancez un audit gratuit dès aujourd’hui pour engager le processus d’amélioration de la sécurité de vos mots de passe. Specops Password Auditor est un outil gratuit capable d’identifier plusieurs types de vulnérabilités liées aux mots de passe en seulement quelques minutes. Effectuez une vérification de votre Active Directory en lecture seule afin de confronter les résultats à près d’un milliard de mots de passe compromis connus et d’analyser vos politiques de mots de passe de domaine et vos politiques de mots de passe à granularité fine.

Téléchargez le rapport dès aujourd’hui !

Please fill in your information to start your free trial. All fields are mandatory.

Questions fréquemment posées

Un mot de passe faible est court, courant et prévisible (il utilise des modèle de clavier, ou leetspeak),). Un mot de passe qui est réutilisé sur plusieurs comptes ou qui figure sur une liste de mots de passe piratés représente également un mot de passe faible.

Active Directory ne vérifie pas les mots de passe faibles ou frauduleux par défaut. Avec un peu de configuration, les administrateurs peuvent vérifier les mots de passe Active Directory par rapport à la liste de mots de passe « Have I been Pwned ».

Un mot de passe fort est un mot de passe long, unique et difficile à deviner. Un mot de passe fort peut néanmoins être vulnérable en cas de fuite ou de vol de données. Les mots de passe doivent être régulièrement comparés à une liste de mots de passe compromis connus, et modifiés en cas d’indication de compromission.

Avec un outil tiers comme Specops Password Policy, les administrateurs système peuvent imposer la longueur des mots de passe, les phrases de passe et un certain degré de complexité, tout en bloquant les types de caractères courants au début et à la fin des mots de passe, ainsi que les caractères répétés consécutivement. Les administrateurs peuvent également appliquer les exigences de conformité en bloquant l’utilisation de mots de passe compromis.

Previous Annual

Password Reports:

2023