Mot de passe : le syndrome BLINK-182

« En 2003, le single I Miss You du groupe Blink-182 se trouvait en haut des charts. Presque 16 ans plus tard, Blink-182 apparaît en haut d'un classement différent en étant l'un des mots de passe les plus piratés », affirme Juliette Rizkallah, chief marketing officer de SailPoint.

écran d'ordinateur avec champs de formulaire pour identifiant et mot de passeMalgré les unes quotidiennes au sujet des violations de données, beaucoup de personnes continuent encore à employer des pratiques de sécurité peu fiables en utilisant les noms de leur groupe de musique préféré ou de leurs proches comme mot de passe. Le Britain's National Cyber Security Center a publié une liste des 100 000 mots de passe les plus piratés dans le monde. Sans surprise, « 123456 » arrive en tête. « Ashley » a été le nom le plus largement piraté, avec presque un million de compromissions. « Blink-182 » figure aussi sur la liste, avec presque 300 000 comptes piratés.

Juliette Rizkallah affirme aussi que « réutiliser des mots de passe sur différents comptes, c'est comme faire du vélo sans casque - vous cherchez simplement à vous attirer des ennuis. Cette pratique ne fait que se banaliser à mesure que le temps passe ». En 2014, 56 % des employés avouaient réutiliser des mots de passe sur des comptes personnels et professionnels. Quatre ans plus tard, on atteint 75 % pour la même question.

De nouveaux standards à la rescousse du mot de passe

Selon le Data Breach Investigation Report 2017 de Verizon, 81 % des Cyberattaques réussies ont exploité des mots de passe insuffisamment robustes ou volés. Beaucoup d'organismes officiels, la Commission nationale informatique et libertés (Cnil) en France par exemple, recommandent des bonnes pratiques pour limiter les risques : mots de passe d'au moins 12 caractères de 4 types différents, un mot de passe par compte, mises à jour régulières, absence de tout lien entre mot de passe et propriétaire, utilisation d'un gestionnaire de mots de passe. « Mais ces pratiques sont peu respectées, car elles sont contraires aux attentes des utilisateurs, qui privilégient l'ergonomie et la simplicité d'accès », assure Arnaud Gallut, directeur des ventes Europe du Sud Ping Identity, selon qui « quelles que soient leur robustesse et les bonnes pratiques utilisées, les mots de passe n'offrent plus un niveau de sécurité suffisant pour protéger les données les plus sensibles. Dans l'immense majorité des cas, ils sont devenus simples à usurper. Et n'importe quel cybercriminel sérieux, s'il y met les moyens, mettra moins d'une journée pour y parvenir. Sans compter qu'il pourra se servir sur le dark web, où des milliards d'identifiants sont disponibles à un prix modique ».

Le World Wide Web Consortium (W3C) et la Fido Alliance ont finalisé l'API WebAuthn, dont l'objectif est de généraliser une authentification sans mot de passe (passwordless). WebAuthn est déjà intégré par les principaux navigateurs, par Android et Windows 10. Il permet aux fournisseurs de services de remplacer le mot de passe par une validation de l'authentification de l'utilisateur sans transmettre de données sensibles en y procédant localement sur son poste de travail (tablette, périphérique ou smartphone). « La validation de l'authentification s'effectue alors par des moyens tiers interfaces avec cette API, tels qu'une clé de sécurité USB ou une montre connectée », explique Arnaud Gallut. Par ailleurs, nombre de spécialistes prédisent la disparition totale des mots de passe comme méthode d'identification et leur remplacement notamment par des systèmes biométriques. Les systèmes de lecture d'empreintes digitales et de reconnaissance faciale se multiplient en particulier sur les terminaux mobiles. « Toutefois, les solutions biométriques ne sont pas non plus immunisées contre les attaques, indique Arnaud Gallut. La technologie de lecture des empreintes digitales s'est certes grandement améliorée ces dernières années, mais n'est toujours pas infaillible. Elle peut notamment être prise en défaut par des solutions d'intelligence artificielle et de machine learning, qui permettent de réaliser des empreintes passe partout. Même chose pour les solutions de reconnaissance faciale, dont certaines peuvent être trompées à l'aide d'une simple photo d'identité. »

 

Sur le même sujet, la fiche pratique d'Inforisque Tester la complexité de votre mot de passe

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !