News
Rapport 2024 de Specops : Vulnérabilités Majeures dans les Stratégies de Cybersécurité
janvier 2024 par Specops Software
L’année 2024 pourrait-elle être l’année du mot de passe sécurisé ?
Malgré des décennies de formation des utilisateurs, les mots de passe restent un point
faible majeur dans les stratégies de cybersécurité des entreprises. Specops Software,
spécialiste en gestion de mots de passe et solutions d’authentification, dévoile dans son
son nouveau rapport 2024 des tendances et des vulnérabilités alarmantes.
Points saillants du rapport :
● "123456" reste le mot de passe compromis le plus courant, trouvé dans plus de 2
millions de comptes d’applications cloud.
● Les mots de passe simples comme "Pass@123" et "P@ssw0rd", qui répondent aux
critères de base d’Active Directory, sont prévalents.
● L’analyse de KrakenLabs suggère qu’une longueur de mot de passe d’au moins 13
caractères dans Active Directory réduirait le risque de compromission dans les
applications cloud.
● L’analyse de 1,8 million de comptes administrateurs a révélé que 40 000 utilisaient
"admin" comme mot de passe.
● 88% des entreprises continuent d’utiliser les mots de passe comme méthode
principale d’authentification.
● Seulement 50% des entreprises analysent les mots de passe compromis plus d’une
fois par mois.
● Les séquences de clavier tels que "azerty" sont des choix faibles utilisés par des
millions d’utilisateurs.
● 31.1 millions de mots de passe compromis dépassent les 16 caractères.
Faiblesses persistantes des mots de passe :
L’étude révèle une tendance inquiétante à l’utilisation de mots de passe faibles et facilement
devinables. Des séquences telles que "123456", "Pass@123" et "admin" sont couramment
utilisées, malgré leur vulnérabilité évidente. Ces mots de passe simplistes ne résistent pas
aux techniques d’attaque modernes et mettent en péril la sécurité des données d’entreprise.
Le rapport indique que même des mots de passe de plus de 16 caractères peuvent être
compromis, remettant en question l’idée que la longueur seule suffit à garantir la sécurité.
Le Danger des Comptes Administrateurs :
Un fait particulièrement préoccupant est la faible sécurité des mots de passe utilisés pour
les comptes administrateurs. Plus de 40 000 de ces comptes utilisent "admin" comme mot
de passe, exposant ainsi les entreprises à des risques de sécurité majeurs. Ces comptes
administrateurs, qui offrent un accès étendu aux systèmes et données, deviennent des cibles
privilégiées pour les hackers, augmentant ainsi le risque de fuites de données et d’attaques
informatiques.
Tactiques des Pirates Informatiques :
Les cybercriminels exploitent ces faiblesses en utilisant des techniques sophistiquées telles
que les attaques par force brute et les attaques par masque. Ces méthodes leur permettent
de deviner rapidement les mots de passe en se basant sur les habitudes humaines pour
choisir des mots de passe faciles à retenir. Les attaques par force brute testent
systématiquement toutes les combinaisons possibles, tandis que les attaques par masque
réduisent le champ des possibilités en se basant sur des structures de mots de passe
courantes, accélérant ainsi le processus de piratage.
Conseils pour des mots de passe plus forts :
Face à ces menaces, le rapport recommande l’utilisation de mots de passe plus longs et
plus complexes. Des mots de passe d’au moins 15 à 20 caractères sont préférables,
incorporant idéalement des passphrases composées de trois mots aléatoires. Ces
passphrases sont non seulement plus difficiles à craquer, mais aussi plus faciles à mémoriser
pour les utilisateurs. Le rapport met en garde contre l’utilisation de phrases ou citations
connues, qui peuvent être facilement devinées par les cybercriminels.
Vulnérabilités dans les applications cloud :
L’analyse de l’équipe KrakenLabs d’Outpost24 révèle que les applications cloud sont
particulièrement exposées aux risques liés aux mots de passe faibles ou compromis. Plus de
deux millions de mots de passe faibles ont été identifiés dans 81 applications
professionnelles, mettant en évidence la nécessité d’une meilleure gestion des mots de
passe dans les environnements cloud. Ces applications, qui contiennent souvent des
données sensibles et des opérations critiques, deviennent des cibles faciles pour les
cyberattaques.
Analyse par services :
L’étude montre des différences dans la force des mots de passe selon les services au sein
des entreprises. Les équipes de Développement et de Sécurité tendent à avoir des mots de
passe légèrement plus robustes que ceux des départements Marketing/Ventes et RH.
Cependant, aucun service n’est complètement à l’abri des risques de compromission. Cela
souligne l’importance d’une politique de mot de passe forte et cohérente à travers toute
l’organisation.
Le rapport Specops 2024 est un rappel crucial de l’importance de la cybersécurité pour les
organisations et les particuliers. Il met en évidence la nécessité pour les entreprises de
toutes tailles d’adopter des stratégies de gestion des mots de passe plus strictes et de
sensibiliser continuellement leurs employés aux meilleures pratiques de sécurité
informatique.
Noé Mantel, spécialiste produit sénior chez Specops, commente : ’Ce rapport met en
évidence un décalage préoccupant entre la connaissance des risques et l’action. Les
entreprises doivent redoubler d’efforts pour éduquer leurs employés et renforcer leurs
politiques de sécurité, car un mot de passe faible peut être la faille qui compromet toute une
organisation.’"
