S’appuyer sur une méthode d’authentification par nom d’utilisateur et mot de passe n’est pas pertinent, car cela augmente significativement les risques d’accès non autorisés aux services et aux informations. Stefan Sundh, expert en authentification utilisateur chez Nexus Group, société spécialisée dans les identités et la sécurité, nous explique en 13 points pourquoi les mots de passe ne sont pas sûrs.
1. Les utilisateurs se servent du même mot de passe pour accéder à différents services.
« Cela signifie que si lors d’un accès à un service le mot de passe tombe entre de mauvaises mains, ce n’est pas seulement l’accès à ce service qui est compromis, mais l’accès à tous les autres, » commente Sundh.
2. Beaucoup d’utilisateurs ne changent pas leurs mots de passe par défaut tout de suite, permettant ainsi à des personnes mal intentionnées d’usurper leur identité.
« Les mots de passe par défaut sont souvent indiqués en clair dans les manuels, et ils sont également souvent très faciles à deviner. De plus, il n’est pas rare de les voir circuler sur des forums de hackers, » constate Sundh.
3. Les mots de passe se confient souvent entre utilisateurs.
Selon Sundh, « Cela signifie que les organisations ne peuvent avoir de certitude quant à l’identité réelle de la personne qui accède aux services et aux informations ».
4. Les utilisateurs ont tendance à conserver longtemps le même mot de passe.
« Ainsi, lorsqu’une personne mal intentionnée met la main sur un mot de passe, elle peut bénéficier d’un accès non autorisé pendant tout aussi longtemps, » fait observer Sundh.
5. Les outils pour casser les mots de passe deviennent réellement performants.
« Les progrès technologiques dans ce domaine vont très vite – c’est juste une question de temps avant que des mots de passe considérés comme robustes aujourd’hui deviennent cassables, » prévient Sundh.
Télécharger le E-book –L’état de la sécurité informatique 2018 – données et perspectives
6. Les utilisateurs choisissent souvent des mots de passe trop faibles.
Sundh déplore que « Grâce à cela, les pirates peuvent deviner un mot de passe sans même recourir à des outils utilisant la force brute ».
7. Les mots de passe peuvent être aisément obtenus par des moyens détournés.
« Il existe une infinité de méthodes, par exemple de faux e-mails convaincants ou des sites web piratés où on vous demande de vous identifier par vos nom d’utilisateur et mot de passe. Un pourcentage étonnant de personnes saisissent leurs identifiants lorsqu’on leur demande, » précise Sundh.
8. Les mots de passe sont souvent transmis via des réseaux insuffisamment sécurisés, ce qui les rend faciles à intercepter.
« Il vous arrive de vous connecter en Wi-Fi dans des lieux publics ? Sachez qu’il y a peu de chances pour que ce réseau soit convenablement sécurisé, » avertit Sundh.
9. Les bases de données de mots de passe des organisations sont bien plus souvent piratées que nous le soupçonnons généralement.
« Dans bien des cas, l’intrusion malveillante n’est remarquée par personne, ou il s’écoule beaucoup de temps avant que l’on s’en aperçoive. Cela veut dire que les pirates ont largement eu le temps d’utiliser les mots de passe dérobés, et d’accéder à toutes sortes d’informations sensibles, » signale Sundh.
10. Les utilisateurs notent souvent leurs mots de passe, par exemple sur des post-it.
Pour Sundh, « Cela facilite bien sûr énormément la tâche des personnes malveillantes ».
11. Les mots de passe peuvent être interceptés lors de leur frappe par des programmes appelés « key loggers ».
« Ce type de logiciel n’est vraiment pas difficile à trouver et à utiliser, » rappelle Sundh.
12. Si un mot de passe tombe dans de mauvaises mains, un utilisateur non autorisé peut accéder à des services et à des informations sans être remarqué.
« L’utilisateur légitime n’a souvent aucun moyen de découvrir que quelqu’un d’autre s’est servi de ses identifiants. Pire encore, l’organisation fournissant le service peut l’ignorer également. Ce qui signifie que des personnes peuvent exfiltrer des informations sensibles sans se faire remarquer, » explique Sundh.
13. Les organisations négligent souvent de supprimer les comptes d’utilisateurs d’employés ayant quitté leurs fonctions, leur permettant de continuer à bénéficier d’un accès à des informations auxquelles ils ne devraient plus accéder.
« Cela arrive couramment – c’est simplement fou, je ne vois pas d’autres mots, » conclut Sundh.
