La mesure la plus simple à mettre en place pour se protéger des cybermenaces consiste à ne pas réutiliser les mêmes mots de passe.
L’environnement numérique actuel a complexifié la gestion de la cybersécurité. N’y voyez pas pour autant une fatalité : Les identifiants réutilisés comptent parmi les principales causes de failles de données. Et des mesures simples suffisent, comme empêcher vos employés de réutiliser leurs mots de passe.
Vos collaborateurs travaillent à toute allure, toujours à l’affut de gains de temps pour booster leur productivité. Malheureusement, lorsque cette tendance les pousse à réutiliser des mots de passe, ils facilitent aussi le travail des cybercriminels.
C’est vrai, prendre le temps de créer des mots de passe uniques ne semble pas être une bonne pratique de productivité. D’autant plus que les comptes utilisés dans le monde professionnel se sont multipliés. C’est précisément sur ce point que des outils comme Dashlane entrent en jeu : ils simplifient la création et l’utilisation des mots de passe et allègent ainsi considérablement la charge mentale des employés.
Vous pensez que la réutilisation d’un mot de passe est sans danger ?
Parlez-en à Colonial Pipeline, dont l’activité a été fortement perturbée après l’attaque d’un ransomware (et dont le seul paiement de la rançon lui a coûté 4,4 millions de dollars).
Et que dire de SolarWind ? La faille dont a été victime cette entreprise a eu des conséquences innombrables, que l’on découvre encore aujourd’hui. On a par exemple récemment compris qu’elle avait aussi permis le vol de documents appartenant aux services de contre-espionnage américains.
Ces deux incidents ont commencé de la même façon : un pirate a utilisé les identifiants d’un employé pour s’infiltrer dans le réseau. Dans les deux cas, des chercheurs en sécurité ont retrouvé les mots de passe impliqués sur le dark Web, ce qui laisse supposer que ces employés ont réutilisé des mots de passe ayant fuité lors de faille de données précédentes, sans rapport avec ces deux attaques.
Les exemples de Colonial Pipeline et SolarWind sont certes extrêmes, mais la réutilisation des mots de passe est un véritable fléau, bien plus fréquent qu’il n’y paraît. L’année dernière, une entreprise de sécurité a constaté que 60 % des identifiants des personnes s’étant fait dérober plusieurs mots de passe étaient réutilisés pour de nombreux comptes différents. Savez-vous combien de vos employés font la même chose ?
Pourquoi les cybercriminels sont fans de la réutilisation des mots de passe
Les cyberattaques suivent souvent le même schéma pour essayer d’accéder à un réseau. Selon le dernier rapport Verizon sur les failles de sécurité, environ 61 % des failles de données avérées concernent des identifiants. Pourquoi les pirates chercheraient-ils à forcer la serrure alors qu’ils peuvent mettre la main sur la clé ?
Le credential stuffing est une technique courante que les cybercriminels emploient pour exploiter les mots de passe recyclés. S’appuyant sur des scripts et des botnets automatisés, ils testent en masse, sur d’autres sites, les identifiants compromis obtenus sur le dark Web.
Même si le taux de réussite de ces attaques reste faible, le résultat final peut s’avérer considérable au vu du nombre de tentatives. Par exemple, Verizon a découvert que de nombreuses organisations subissaient des centaines de milliers de tentatives de credential stuffing. Ce chiffre atteignait même 3,3 milliards pour certaines !
Cette stratégie a notamment fonctionné pour Zoom, dont les identifiants d’un demi-million de comptes utilisateurs ont été divulgués sur le dark Web l’année dernière. Les systèmes de Zoom à proprement parler n’ont pas été piratés. La fuite provient probablement d’une attaque par credential stuffing.
Les mots de passe réutilisés aggravent votre exposition aux ransomwares
Le fait qu’un mot de passe réutilisé soit probablement en cause dans l’attaque menée contre Colonial Pipeline n’est pas surprenant. Comme vos employés, les cybercriminels font au plus rapide et gagnent en productivité. Sur le dark Web, des groupes pilotant des ransomwares sous-traitent ainsi de nombreuses tâches à des fournisseurs de Ransomware-as-a-Service qui se spécialisent dans des services bien spécifiques, contre rémunération.
Parmi les différents services sous-traités, on trouve l’accès initial à l’organisation ciblée. Des spécialistes appelés courtiers d’accès initiaux ont pour seule activité de rechercher et vendre ces points d’entrée. Plusieurs options s’offrent à eux pour trouver cet accès, mais la tactique la plus rapide et la plus efficace (encore un raccourci !) reste souvent celle des identifiants compromis. Le protocole RDP (Remote Desktop Protocol) et les réseaux privés virtuels en sont des cibles privilégiées.
Des chercheurs en sécurité ont récemment constaté que la demande pour ce type de service explosait. Un autre groupe de chercheurs surveillait 500 places de marché vendant des accès initiaux se négociant en moyenne à un peu plus de 7 000 $, voire presque 10 000 $ en cas d’accès via RDP.
Quelles conséquences pour votre organisation ?
Les enquêtes montrent que les employés des entreprises réutilisent leurs mots de passe sans se poser de question. Dans une étude conduite avec Harris Poll, seuls 26 % des 1 200 employés que nous avons interrogés se sentaient coupables de réutiliser les mêmes mots de passe pour plusieurs comptes. Une étude menée par Specops Software a donné des résultats similaires : 45 % des plus de 1 300 personnes sondées ne voyaient pas de réel problème à réutiliser leurs mots de passe.
Pour éviter que vos employés réutilisent des mots de passe, vous pouvez agir sur trois leviers :
- Faire évoluer votre culture de sécurité pour que vos employés comprennent qu’ils ne doivent en aucun cas réutiliser des mots de passe et les raisons pour lesquelles ils ne doivent pas le faire
- Fournir à vos employés des outils qui facilitent la prise de bonnes habitudes en matière de mots de passe (notamment utiliser seulement des mots de passe uniques et forts)
- Leur permettre d’anticiper en modifiant les mots de passe compromis.
Dashlane peut vous aider sur ces trois points.
La solution Dashlane
Générateur de mots de passe
Vos employés peuvent créer rapidement des mots de passe aléatoires, uniques et complexes grâce au générateur de mots de passe de Dashlane, qu’ils aient besoin de remplacer un mot de passe compromis ou de créer un identifiant pour un nouveau site Web ou une nouvelle application. Nous avons récemment amélioré cette fonctionnalité pour la rendre plus personnalisable, pratique et sécurisée. Grâce à notre fonction de saisie automatique (récemment améliorée par machine learning), vos collaborateurs peuvent non seulement se connecter, mais également payer en ligne et remplir des formulaires Web en un seul clic.
Analyse des mots de passe
Avec le score de sécurité, de Dashlane, vous pouvez évaluer les scores de sécurité de toute votre entreprise, suivre leurs progrès et identifier les employés à risque pour évoquer avec eux les bonnes pratiques en lien avec la sécurité et les mots de passe.
Surveillance du dark Web
La fonctionnalité de surveillance du dark Web de Dashlane analyse des milliards d’identifiants présents sur le dark Web et actualise ses données chaque jour. Lorsque l’application détecte que les identifiants d’un collaborateur ont été compromis, elle lui envoie une alerte immédiate l’invitant à modifier le mot de passe concerné.
Oui, la cybersécurité est une discipline complexe. Oui, vous devez multiplier les couches et les tactiques. Rien ne vous empêche toutefois de profiter d’une solution simple, mais non moins efficace : bannir la réutilisation des mots de passe. Les bonnes habitudes en matière de mots de passe rendent bien plus difficile le travail des cybercriminels et font de vous une cible moins attrayante.
Vous souhaitez en savoir plus ?
Prêt(e) à vous lancer ? Profitez d’un essai gratuit.
Inscrivez-vous pour connaître toute l'actualité de Dashlane
Nous vous remercions ! Vous êtes abonné. Soyez à l'affût des mises à jour envoyées directement à votre boîte de réception.
