Même dans les grandes entreprises du Fortune 500, le mot de passe le plus utilisé est "password"

Guillaume Belfiore
Lead Software Chronicler
11 mars 2021 à 15h03
13
mot de passe

Si les discours au sujet de la sécurité informatique se multiplient ces dernières années, il semblerait que cela n'ait finalement que très peu d'impact auprès des plus grosses sociétés.

La société NordPass, filiale de Nord Security et éditrice d'un gestionnaire de mots de passe, annonce avoir réalisé une étude sur les pratiques autour de la sécurité en entreprise. Au travers de ce rapport, il apparaît que les groupes cotés au sein de l'index Fortune 500 font souvent usage de mots de passe pouvant être piratés en moins d'une seconde.

L'inertie des grands groupes face au danger

Pour mener à bien cette enquête, NordPass a passé au crible les données récupérées par des hackers malveillants ayant lancé des attaques contre les entreprises figurant au sein de ce classement.

Ces entreprises ont été répertoriées en 17 catégories selon leur secteur d'activité, du commerce à la santé en passant par les finances, les télécommunications, l'aéronautique ou l'agriculture. Au total 15 603 438 violations ont été identifiées.

Dans chacune de ces 17 catégories, NordPass a identifié les mêmes mots de passe basiques, à savoir « password » et « 123456 ». Bien entendu, l'ensemble des outils utilisés par les hackers testent d'emblée ces derniers. Sans grande surprise, les données confidentielles se retrouvent donc très rapidement sur la Toile.

Ce phénomène touche également les entreprises IT, lesquelles sont pourtant censées être davantage sensibilisées au problème.

nordpass etude

Le gestionnaire de mots de passe est-il la solution ?

Pendant des années, les experts en cybersécurité ont recommandé d'utiliser un mot de passe complexe alphanumérique comprenant des caractères spéciaux et plusieurs casses. Il est également conseillé d'utiliser un mot de passe différent pour chacun des services utilisés.

Toutefois, face à la limite de la mémoire humaine, les gestionnaires de mots de passe permettent de générer des combinaisons uniques ultra-sécurisées et que l'utilisateur n'a plus besoin de retenir grâce à un système de remplissage automatique.

Bien évidemment, pour NordPass il s'agit de mettre en avant sa solution, mais il en existe plusieurs autres tels que LastPass, Dashlane, 1Password, Bitwarden ou encore KeePass.

D'autres entreprises militent pour l'abolition pure et simple des mots de passe au profit d'une authentification biométrique. C'est notamment ce que met en avant Microsoft avec la fonctionnalité Windows Hello de son système d'exploitation.

En décembre dernier, l'éditeur de Redmond se félicitait d'ailleurs de l'adoption croissante de cet usage en entreprise. De toute évidence, il reste quelques efforts à fournir.

Source : NordPass

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (13)

Papsky
Ce n’ est pas très surprenant…personne ne a envie de se palucher des mots de passe tordus avec des caractères spéciaux et des majuscules… Surtout au boulot ! Surtout que chaque appli ou site y va de ses critères,y a aucun mot de passe qu on ne peut caser partout. Il y a vraiment besoin de balayer ce truc archaïque qu est le mot de passe qui fait perdre du temps a tout le monde et de passer à autre chose de façon généralisée…empreintes, rétine…
MisterDams
Au final les systèmes de gestionnaire marchent plutôt bien, mais y’a encore des points d’accrocs :<br /> Certaines UI ne chargent pas le mot de passe enregistrés correctement<br /> Si le service change de nom (donc de domaine) l’information n’est pas automatiquement répercutée…<br /> Mais on peut pas dire que ça avance dans le mauvais sens, la sauvegarde est synchronisée entre les devices et même les 2FA modernes (empreinte ou device authentifiée par exemple) sont quand même vachement plus confortables que les méthodes SMS ou les emails en termes de temps d’accès et de confort d’utilisation.<br /> En entreprise, j’avoue que la solution LDAP permet de rendre les choses quand même plus simples… Tu peux mettre un mot de passe complexe, tu le renouvelles régulièrement, mais t’en as qu’un à retenir sur tous les outils.<br /> Le seul souci c’est de se rappeler ce qui est connecté à l’annuaire ou pas… et quand tu bosses avec plein d’outils en SaaS c’est parfois galère
g-m1n1
Bitwarden est top en gratuit et convient à la majorité des usagers.<br /> Perso j’utilise mSecure (paiement unique, apps sur tous les OS).
nickOh
empreintes, rétines, etc sont juste une lecture d’un facteur biometrique, préalablement enregistré afin de autoriser un gestionnaire de mot de passe faire les saisies à notre place (comme sur le téléphone, au final en arrière plan, c’est toujours un bon vieux mot de passe qui deverrouille, et que l’on est finalement content de pouvoir taper quand la lecture d’empreinte ne marche plus !).<br /> Si le biometrique remplaçait directement tout, Imaginez : une empreinte ou rétine ne peut être changée, si une copie est réussie…usurpation à vie de vos comptes.
Jetto
Tiens, ça fesait longtemps que je n’avais pas pu dire tout la mal des systèmes d’authentification basés sur le partage d’un secret.<br /> Les systèmes que je tente de promouvoir, même s’ils ne reposent pas sur le partage d’un secret, ils reposent quand même sur un secret, donc s’il est possible de le deviner, ces systèmes d’authentification restent vulnérables.<br /> Cependant ces systèmes sont robuste à une fuite de données du réseau ou des serveurs du vérificateur.<br /> Il s’agit des authentifications par preuve nul de divulgation de connaissances.<br /> Dans ces systèmes l’utilisateur enregistre une information qui découle du secret. Lors de l’authentification, le vérificateur propose un challenge à l’utilisateur qui va le convaincre qu’il connait le secret dont découle ce qu’il a enregistré.<br /> Un exemple impraticable (impossible de mémoriser le secret et coûteux en calcul) serait d’utiliser un système de chiffrage asymétrique.<br /> L’utilisateur dépose sa clef public à l’enregistrement auprès du vérificateur. A l’authentification, le vérificateur demande à l’utilisateur de déchiffrer un message aléatoire, chiffré avec la clé public de l’utilisateur. Comme l’utilisateur connait la clé de déchiffrage il pourra donner la bonne réponse.
wackyseb
Utilise Firefox et c’est gratuit, inclus avec çà marche sur tous les supports aussi.<br /> On enregistre un compte Firefox au départ et tout est synchronisé partout, tout le temps<br /> Pourquoi payer ou encore installer un truc en plus ?
g-m1n1
J’utilises Firefox sur Win10, mais c’est moins performant que Safari sur iOS/iPadOS.<br /> Est-ce que Firefox Lockwise va justement te proposer de remplir le login/mdp automatiquement comme Bitwarden et les autres? Je sais qu’avant il ne proposait pas non plus un générateur de mot de passe comme les autres.
Oldtimer
Purée au lieu d’utiliser password ils pourraient utiliser motdepasse pour changer un peu quoi !<br /> Zont vraiment pas d’imagination !<br />
wackyseb
Je ne connais pas «&nbsp;les autres&nbsp;» ni Bitwarden (encore plus inconnu que les autres)<br /> Lockwise te propose des mots de passe complexes.<br /> Je ne comprend pas comment Firefox pourrait être moins performant que Safari sur IOS/ipadOS puisque c’est le moteur Webkit de Safari qui est utilisé. Apple impose son moteur de rendu.<br /> Il n’y a que les fonctions «&nbsp;Firefox&nbsp;» qui sont ajouté.<br /> Perso je ne vois aucune différence. J’utilise les 2 sur mon iphone et ipad
TheLoy
aaron431<br /> C’est juste un exemple ? Ou vraiment ce mot de passe précis est ultra répandu ? Il y a un truc qui m’échappe là…
Oldtimer
Pourrais-tu donner un exemple concret s’il te plaît ?<br /> Merci
Kerri
C’est techniquement possible mais le problème est: que faire quand tu es sur un terminal non équipé du lecteur biométrique adéquat? Empêcher la personne de se connecter?<br /> Par ailleurs il y a le problème de où est stocké ton empreinte biométrique: Actuellement je peux me connecter à ma banque avec mon empreinte digitale sur mon téléphone, et avec un scan facial sur mon pc (windows hello). Mais ces deux empreintes ne sont pas stockées chez la banque, ni chez google et microsoft: Elles sont sur mon téléphone et mon ordinateur.<br /> Si je devais utiliser ces empreintes biométriques obligatoirement, il faudrait qu’elles soient stockées ailleurs (chez la banque par exemple, pour qu’elle puisse vérifier que c’est bien moi quand j’ajoute un nouvel appareil)
linkin440
Pour des mots de passes simple à retenir il suffit de faire des phrases de la vie de tout les jours. Ex. : «&nbsp;Fait_Chier_Ce_CoVid_19&nbsp;» ^^
Jetto
Ok je me lance.<br /> Voici un système basé sur les chaînes de hash proposé par le Chercheur Leslie Lamport.<br /> Tu choisis un secret, tu y accolles le nom du site et un numéro d’ordre, c’est à dire 1. Donc tu as qqc du genre «&nbsp;secret!clubic.com!1&nbsp;». Cette information n’ira jamais sur le réseau. C’est MP.<br /> Avec une fonction de hash cryptographique, h(), par exemple sha256, tu calcules h(MP) = H1 ensuite tu calcules h(H1) = H2 et tu recommences jusqu’à avoir H500.<br /> Sur le site tu enregistres H500 au moment de créer ton compte. Donc le serveur qui t’authentifie, ne sait rien de ton secret même en connaissant la convention pour former MP.<br /> Maintenant, tu veux te connecter au serveur. Pour cela il te demande de prouver que tu connais MP en lui fournissant H499. Comme tu connais MP tu peux le recalculer et l’envoyer. Le serveur reçoit ta réponse R et calcule h® que tu viens de lui envoyer. S’il trouve H500, c’est que tu lui as envoyé H499 et donc que tu connais le secret. Donc il t’authentifie et enregistre H499. Et ainsi de suite à chaque authentification jusqu’à te demandé H1.<br /> A ce moment il faut un nouveau MP par exemple en changeant le numéro d’ordre de 1 à 2 puis enregistrer le H500 du nouveau MP.<br /> Voilà le principe.
Voir tous les messages sur le forum