Mots de passe volés ou trop simples

Le chemin le plus direct vers votre réseau : les mots de passe volés

Les pratiques de mot de passe insuffisamment sécurisés sont employées dans 81 % des cyberattaques au niveau mondial, et 61 % de l'ensemble des attaques visent des entreprises de moins de 1 000 employés.1 Former et sensibiliser les employés peut évidemment aider, mais l'essentiel pour inverser cette tendance est de demander une autre preuve d'identité en complément du nom d'utilisateur et mot de passe. Les cybercriminels ne peuvent alors plus voler les identifiants de connexion pour accéder aux systèmes, les contaminer ou dérober des données.

81 % des violations exploitent des mots de passe volés ou trop simples.

 

58 % des victimes de violation de données en 2017 sont des petites entreprises.

 

Le coût moyen d'une violation de données pour une PME s'élève à 149 000 dollars.

Les employés sapent-ils la sécurité de l'entreprise en partageant des mots de passe ?

Si, dans leur grande majorité, les employés ne compromettent pas la sécurité volontairement, on peut toutefois se demander quelles pratiques ils adoptent aujourd'hui face à la prolifération des comptes en ligne qui exigent des mots de passe. Selon une étude souvent citée par Microsoft Research, « l'utilisateur moyen a 6,5 mots de passe, partagé chacun sur 3,9 sites distincts. Chaque utilisateur possède environ 25 comptes exigeant un mot de passe, et saisit en moyenne 8 mots de passe par jour ». 

En 2015, une étude de Dashlane révélait que chaque individu possède plus de 90 comptes en ligne, et a dû réinitialiser le mot de passe au travers du lien « Mot de passe oublié » pour 37 d'entre eux au cours de l'année écoulée. Les sociétés qui exigent une modification fréquente des mots de passe compliquent elles aussi davantage la tâche de leurs utilisateurs pour imaginer des mots de passe renforcés et les mémoriser. Dans un tel environnement, il est facile de comprendre que les utilisateurs préfèrent les simplifier et créent des mots de passe sérialisables, en se limitant à quelques-uns seulement, employés dans de nombreux comptes.

1 Verizon’s 2017 Data Breach Investigations Report

Cette tendance devient évidente lorsque l'on affiche
la liste des pires mots de passe utilisés :

Liste des pires mots de passe en usage

https://www.journaldugeek.com/2017/12/20/voici-la-liste-des-25-mots-de-passe-les-plus-populaires-et-probablement-les-moins-surs-de-2017/

Pour l'entreprise, cette utilisation par les employés de mots de passe plus simples, donc plus faibles, accroît le risque de violation des ressources en réseau. Pire encore, lorsque des pirates parviennent à voler sur un site les identifiants de connexion d'un employé renfermant eux-mêmes ceux qui lui permettent d'accéder à votre réseau avec privilèges, ils peuvent alors passer par la porte principale en se faisant passer pour lui… et vous perdez la partie.

Nous avons atteint la limite d'une protection des accès exclusivement basée sur le mot de passe. Des mesures supplémentaires sont désormais nécessaires pour vérifier l'identité de chaque utilisateur, par exemple celles qu'accorde l'authentification multifacteurs (MFA).

Comment les pirates s'y prennent-ils pour voler des identifiants de connexion ?

Comme les noms d'utilisateur et les mots de passe constituent souvent le seul obstacle empêchant l'accès aux systèmes et la récompense financière, les pirates s'y intéressent tout particulièrement. Les méthodes employées pour dénicher ces informations sont notamment les suivantes :

  • Phishing/spear-fishing : les cybercriminels envoient un e-mail pour inciter les utilisateurs à saisir leurs identifiants de connexion dans des pages ou des formulaires Web. Cet e-mail peut être convaincant, l'expéditeur semblant être par exemple une personne ou une entreprise avec qui l'utilisateur est en relation, et cible parfois avec précision un individu donné (spear-fishing), par exemple quelqu'un connu pour ses privilèges d'accès.
  • Attaque en force : les mots de passe plus simples faisant désormais leur réapparition, les cybercriminels essaient des mots de passe courants jusqu'à trouver celui qui fonctionne. Ils ont même écrit pour cela des scripts automatisés qui contournent les systèmes de protection simples, par exemple ceux qui limitent le nombre de tentatives d'authentification pendant une période de temps donnée. N'oubliez pas que, lorsque les entreprises n'utilisent pas l'authentification à plusieurs facteurs, il leur suffit de dénicher une seule combinaison de nom d'utilisateur/mot de passe qui fonctionne.
  • Point d'accès espion (Evil Twin) Wi-Fi : muni d'un simple appareil facile à trouver pour moins de cent euros, les cybercriminels peuvent s'installer confortablement dans un lieu très fréquenté et se faire passer pour un hotspot Wi-Fi légitime. Lorsque certains se connectent, ils se placent alors en MitM (man-in-the-middle ou intermédiaire) et peuvent observer le trafic réseau ou même ce que saisit l'utilisateur connecté. Des études ont montré que les utilisateurs consultent souvent leurs comptes bancaires, leurs achats en ligne et bien sûr, accèdent aussi aux réseaux de leur entreprise à partir de réseaux Wi-Fi publics.

Dès qu'ils ont mis la main sur des identifiants de connexion valides, les cybercriminels les utilisent pour accéder aux systèmes et dérober des données, consommer des ressources avec des botnets, installer un ransomware, voire voler d'autres identifiants de connexion pour ensuite accéder à d'autres réseaux et données personnelles.

Impliquez vos employés dans leur propre protection !

Icône : WatchGuard AuthPoint
AuthPoint

Notre solution exclusive d'authentification multifacteurs (MFA) réduit le nombre d'interruptions du réseau et de violations de données découlant de pertes ou de vols d'identifiants de connexion.

En savoir plus

Icône : WatchGuard DNSWatch
DNSWatch

Inclus dans Total Security Suite, le service DNSWatch bloque les attaques et apprend aux employés à mieux identifier le phishing.

En savoir plus

À propos de WatchGuard

WatchGuard a déployé dans le monde entier près d'un million d'appliances multifonctions et intégrées de gestion des menaces. Nos boîtiers à la signature rouge sont conçus pour être les appareils de sécurité les plus intelligents, les plus rapides et les plus performants du marché, chaque moteur d'analyse tournant à plein régime. Pourquoi acheter WatchGuard ? Découvrez-le ici.

 

Pour nous contacter

  • WatchGuard France
    La Grande Arche
    Paroi Nord
    92044 Paris La Defense
    France
  • Phone
    01 40 90 30 35
  • Email
    [email protected]

Partenaires

Sites web internationaux