Voler votre mot de passe : un jeu d’enfant
Voler un mot de passe est un procédé d'une simplicité impressionnante (et très lucratif !) pour les pirates informatiques.
Les technologies et outils dont ils disposent pour trouver un mot de passe sont tellement élaborés qu’il leur est inutile de recourir à une méthode manuelle.
Des méthodes de plus en plus poussés permettent de trouver et d'essayer les mots de passe les plus probables : algorithmes sophistiqués, ingénierie sociale, enregistrement de frappe, etc.
Compte tenu de la sophistication accrue des technologies et des outils de piratage, l’étape la plus simple est généralement celle qui consiste à usurper un mot de passe.
Même si vous utilisez un mot de passe dit “fort”, il suffit qu'un seul de vos collègues utilise un mot de passe “faible” pour que le système entier de l'entreprise devienne vulnérable.
.png)
Utiliser des mots de passe fort d'arrêtera pas les pirates.
Il suffit aux pirates d'acheter vos identifiants sur le Dark Web tout comme vous faites vos achats sur Amazon.com.
Prix moyen d'un mot de passe sur le Dark Web : 160,15$.
Valeur moyenne de l’identité d’un utilisateur (identifiants utilisés sur plusieurs comptes) pour un pirate informatique : 1 200$.
Si la valeur de votre IP, de vos données financières, des informations sur vos clients et vos employés ou de toute autre donnée disponible sur votre réseau est supérieure à 1 200$, un pirate informatique aura vite fait de réaliser qu’il est intéressant, économiquement parlant, d’acheter l’accès à ces informations (c’est-à-dire vos identifiants).
Vous pensez que vos identifiant ne sont pas concernés ? Ni ceux de vos collègues ?
Des milliards d’identifiants sont disponibles sur le Dark Web, dont nombre d’entre eux appartiennent aux administrateurs. Rien qu’en fin d’année 2017, un fichier contenant 1,4 milliard de mots de passe en texte brut a été découvert. Vos identifiants de connexion risquent fort d’être vendus en quelques poignées de secondes.
Durée de vol d'un mot de passe
Si un pirate informatique décide d'usurper votre mot de passe au lieu de l'acheter, il ne lui faudra probablement que quelques minutes pour y parvenir.
.png)
Les mots de passe ne constituent qu’une seule ligne de défense et sont de fait facile à pirater. Si un pirate informatique parvient à dérober le mot de passe d’un seul employé, il pourra alors accéder à l’intégralité de votre réseau. Une fois qu’il l’aura infiltré, il sera libre de faire ce qu’il voudra, à savoir placer un malware ou voler, modifier voire supprimer des informations stratégiques.
Comment un pirate informatique dérobe un mot de passe ? (simplifié)
D’après Roger Grimes, expert en sécurité informatique, WhiteHat et auteur du livre « Hacking the Hacker »
.png)
Voler votre mot de passe : un jeu d’enfant
Quelques méthodes de piratage de mot de passe couramment utilisées :
compte tenu de la sophistication accrue des technologies et des outils de piratage, l’étape la plus simple est généralement celle qui consiste à usurper un mot de passe.
Même si vous utilisez un mot de passe fort, le système entier de votre entreprise deviendra vulnérable dès lors que l’un de vos collègues utilisera un mot de passe faible.
Protection de l'authentification :
Pour limiter les risques d’usurpation de mot de passe, vous pouvez former vos employés à créer des mots de passe plus forts et à les changer plus souvent. Toutefois, cette méthode représente non seulement un défi de taille, mais se révèle également assez inefficace.
Une approche à l’inefficacité avérée
Les millions d’entreprises dont les bases de données ont été piratées et les dizaines de millions de mots de passe dérobés et disponibles enligne (sachant que n’importe qui peut en acheter sur le Dark Web) viennent corroborer cette affirmation.
Une approche qui crée une expérience utilisateur ultra-complexe
L’approche consistant à utiliser des mots de passe composés de 16 caractères uniques et complètement aléatoires se révèle complexe. Les personnes utilisent généralement des mots de passe simples pour s’en souvenir plus facilement. Nombre d’entre elles créent des mots de passe légèrement plus complexes, mais réutilisent un même mot de passe (ou ses variantes) pour plusieurs comptes différents afin de contrebalancer cette difficulté.
Quelle méthode est alors plus efficace que les mots de passe ?
L’authentification multifacteur (MFA) est une méthode de vérification qui ajoute une couche de sécurité aux identifiants allant au-delà d’un simple nom d’utilisateur associé à un mot de passe. Elle empêche les pirates informatiques d’accéder à vos systèmes, même en cas d’usurpation du mot de passe de l’un de vos employés.
.png)
Attention : toutes les solutions MFA ne sont pas forcements efficaces
L’authentification multifacteur reposant sur l’envoi d’SMS n’est plus une méthode fiable et sécurisée. Les utilisateurs ayant recours à cette méthode d’authentification doivent immédiatement envisager l’adoption d’autres solutions. En 2016, le NIST (National Institute of Standards and Technology) donne ses directives sur l’identités numériques et invite les utilisateurs à ne plus y avoir recours :
"En raison du risque d’interception ou de redirection des messages SMS, les agents d’exécution de nouveaux systèmes doivent sérieusement envisager les authentificateurs alternatifs. L’authentification hors bande [à l’aide de SMS ou d’appels téléphoniques] est obsolète..."
Bien que l’utilisation d’une solution MFA reposant sur l’envoi de SMS soit plus efficace que la seule association d’un nom d’utilisateur à un mot de passe, les utilisateurs n’en restent pas moins vulnérables. Pour limiter ces risques, les entreprises doivent opter pour une solution MFA ayant exclusivement recours à des méthodes plus élaborées.
Comment être accompagné sur le sujet ?
La cybersécurité au sens large est un ensemble d’outils, de technologies, de compétences, de savoir faires et de savoir-être ainsi que de tactiques.
Cet ensemble doit être cohérent et adapté à l’organisation et à la maturité de l’entreprise. En particulier à l’ère du digital et du télétravail ou la cybersécurité est un élément plus qu’indispensable pour l’entreprise.
ATN est un acteur de de référence depuis plus de 24 ans dans ce domaine, pour vous accompagner et mener à bien vos projets avec efficacité et sérénité. Alors n'hésitez pas à vous rapprocher de votre expert informatique de proximité.
