Sous embargo jusqu’au 06 mai 2023 08H00 pour l’ensemble des informations

La longueur et la complexité des mots de passe ne sont pas la solution à elles seules

Plusieurs règles de conformité fixent les normes en matière de cybersécurité, y compris les politiques de mot de passe des organisations. Traditionnellement, ces réglementations ont principalement approuvé les exigences de longueur et de complexité dans la conception de la politique de mot de passe. Toutefois, compte tenu de la sophistication croissante des attaques par mot de passe, les exigences actuelles incluent désormais la vérification des informations d’identification par rapport à une liste de mots de passe violés.
L’équipe de recherche de Specops Software a analysé plus de 800 millions de mots de passe compromis et les a testés par rapport à cinq normes réglementaires différentes pour voir s’ils répondaient aux exigences fixées par chacune de ces normes. Notre analyse a révélé que 83 % des mots de passe compromis répondaient aux exigences de complexité et de longueur des mots de passe des normes de conformité.

Les normes réglementaires que nous avons examinées sont les suivantes :
• ANSSI
• CNIL
• NIST
• HITRUST pour HIPAA
• PCI
• ICO pour le GDPR
• Cyber Essentials pour le NCSC

Afin de déterminer quels étaient les mots de passe les plus vulnérables, Specops Software a analysé plus de 800 millions de mots de passe compromis – un sous-ensemble des plus de 2 milliards de mots de passe compromis dans Specops Breached Password Protection. Sans grande surprise, le mot de passe le plus compromis est la suite “qwerty”.
L’utilisation de caractères spéciaux est un autre élément clé de la construction des mots de passe. Les mots de passe ne contenant que des lettres minuscules étaient la combinaison de caractères la plus courante, représentant 18,82 % de l’ensemble.

Terme de base le plus couramment utilisé pour attaquer les réseaux à travers plusieurs ports en octobre 2022
1. password
2. admin
3. welcome
4. p@ssw0rd
5. qaz2wsx
6. homelesspa
7. p@ssword
8. qwertyuiop
9. q2w3e4r5t
10. q2w3e4r

Il s’agit de termes courants que les gens utilisent encore et encore sur différents comptes, tant professionnels que personnels. Les pirates réussissent encore à attaquer les ports avec des listes de mots faibles, courants et alimentés par le leetspeak. Même si des attaques plus sophistiquées sont dans le collimateur d’une organisation, il est tout aussi important de se protéger contre les tactiques les plus basiques qui ciblent le maillon le plus faible.

Le plus intéressant dans cet ensemble de données pourrait être l’inclusion de “homelesspa” - un terme de base de mot de passe trouvé dans la fuite MySpace de 2016, nous donnant un aperçu des listes utilisées par les attaquants pour attaquer les réseaux. Ce terme figure également dans la liste NCSC Top 100k publiée en 2019.
Pour Noé Mantel, Spécialiste Produits chez Specops Software, ces listes ne doivent pas être prises à la légère : “L’impact négatif que des mots de passe faibles et compromis peuvent avoir sur le risque de cybersécurité est non négligeable. Les mots de passe qui apparaissent sur les listes de mots de passe compromis peuvent laisser la messagerie, les applications, les serveurs et différents appareils vulnérables à l’accès non autorisé nécessaire pour lancer une cyberattaque”.

Star Wars :

Si vos amis sont des fans de Star Wars, ils risquent d’être victimes d’une attaque sur leur mot de passe. Specops Software a étudié quels mots de passe en lien avec l’univers de Star Wars étaient les plus populaires dans les listes de mots de passe compromis. Cette nouvelle étude coïncide également avec la dernière mise à jour de la liste Specops Breached Password Protection.

Selon notre nouvelle étude, qui a analysé plus de 800 millions de mots de passe compromis, un sous-ensemble des plus de 3 milliards de mots de passe hackés dans la liste Specops Breached Password Protection, le favori des fans, Yoda, a pris la première place, apparaissant sur les listes de mots de passe compromis près de 37 000 fois. Ensuite, "starwars" a pris la deuxième place, apparaissant plus de 22 000 fois, suivi de près par l’adorable "ewok", apparaissant plus de 17 000 fois.

Les 20 principaux mots de passe sur le thème en lien avec Star Wars trouvés dans les listes de mots de passe piratés :

1. yoda
2. starwars
3. ewok
4. hansolo
5. darthvader
6. bobafett
7. darthmaul
8. grogu
9. obiwankenobi
10. lukeskywalker
11. macewindu
12. anewhope
13. plokoon
14. mandalorian
15. princessleia
16. kyloren
17. kuiil
18. iamyourfather
19. quigonjinn
20. rogueone

Joueurs de Football :
Notre équipe de recherche a découvert de nombreux termes liés à la Coupe du monde dans la base de données de mots de passe compromise, dont beaucoup sont fréquemment mentionnés. Le terme “Soccer” arrive en tête de la liste des termes associés avec plus de 140 000 inclusions, le terme “Football” arrivant en deuxième position. Le stade international anglais de Wembley figure également dans le top 10, apparaissan plus de 1 600 fois dans les mots de passe.

En ce qui concerne les joueurs, actuels et anciens, certains se distinguent dans les mentions. Grzegorz Lato, ancien joueur de la génération dorée polonaise, arrive en tête de liste avec plus de 174 000 mentions.

Pelé, sans doute le plus grand joueur de tous les temps apparaît lui aussi fréquemment, mais juste à côté du top 10, avec plus de 70 000 mentions.
Les footballeurs actuels Messi et Ronaldo figurent également sur la liste des mentions, ce qui n’est pas surprenant compte tenu de l’importance des bases de fans de chacun de
ces joueurs.

Classement des légendes de la Coupe du monde (en mots de passe)

1. Lato
2. Carlos
3. Kane
4. Didi
5. Villa
6. Henry
7. Hagi
8. Milla
9. Xavi
10. Rossi
11. Pele
12. Santos
13. Moore
14. Messi
15. Vava
16. Walter
17. Kopa
18. Ronaldo
19. Monti
20. Zio

Mots et phrases communs

La langue française regorge d’une myriades de mots et de phrases communes. Certains sont parfois utilisés en guide de mots de passe… mais n’échappent pas aux tentatives de piratages. Voici le top des phrases communes qui se retrouvent dans les mots de passe compromis :
1. cava
2. entre
3. merci
4. sors
5. bonjour
6. motdepasse
7. bienvenue
8. bonsoir
9. de rien
Pour rester en sécurité, il est important de mettre en œuvre des politiques de mot de passe robustes.
Des entités comme l’ANSSI exhortent les internautes à faire des mots de passe composés de plusieurs lettres et symboles. Noé Mantel ajoute :« Un bon moyen de créer des mots de passe forts et mémorables consiste à utiliser trois mots aléatoires. N’utilisez pas de mots qui peuvent être devinés, comme le nom de votre animal. Vous pouvez inclure des nombres et des symboles si nécessaire. L’utilisation d’un gestionnaire de mots de passe sécurisé peut aider à gérer la charge des mots de passe. ».