La sécurité des mots de passe a bien changé depuis le début des années 2000. À l’époque, nous n’avions qu’un petit nombre de mots de passe à retenir, alors qu’ils se comptent par dizaines désormais. Par ailleurs, les utilisateurs n’ont pas toujours conscience de la quantité d’informations d’identification qui sont stockées dans leur navigateur, qu’il s’agisse d’un identifiant utilisé plusieurs fois par mois ou d’un mot de passe à usage unique pour suivre une commande passée dans un magasin. Le fait est qu’il est presque impossible d’en avoir connaissance. Et une fois qu’un utilisateur est infecté par un malware qui dérobe les informations d’identification sauvegardées dans son navigateur, à l’instar du récent malware BlackGuard, ou qu’un pirate obtient l’accès à un compte de messagerie électronique, la méthode de réinitialisation de mot de passe la plus courante, sa vie numérique s’en trouve bouleversée.

L’adoption d’un gestionnaire de mots de passe est une première étape déterminante pour limiter ces problèmes de mots de passe et mieux contrôler les informations d’identification, en particulier dans les entreprises. Un gestionnaire de mots de passe d’entreprise stocke les informations d’identification de chaque utilisateur et aide à générer de nouveaux mots de passe aléatoires si nécessaire. Tous les membres de l’entreprise peuvent ainsi réduire le temps passé à tenter de se souvenir de mots de passe uniques pour chaque compte, qui, s’ils sont forts et efficaces, sont néanmoins impossibles à mémoriser.

Examinons quelques cas dans lesquels un gestionnaire de mots de passe d’entreprise peut contribuer à atténuer les risques liés aux mots de passe :

1.     Partage de mot de passe : un mot de passe tel que « football123 » se communique facilement par téléphone. Mais essayez de communiquer « tNNi^M$E*@Ep7LD& ». Pas si simple ! L’utilisation d’un gestionnaire de mots de passe d’entreprise peut simplifier ce processus, contribuant ainsi à empêcher le partage intentionnel ou par des tactiques d’ingénierie sociale.

2.     Réutilisation d’un mot de passe d’entreprise pour des applications personnelles : lorsqu’une entreprise demande à un employé de créer un nouveau mot de passe comportant des majuscules, des lettres, des chiffres et des caractères spéciaux, on aboutit le plus souvent à quelque chose comme « Football@123 ». Le réflexe suivant de l’employé est d’utiliser ce mot de passe sécurisé à d’autres endroits, comme un service de TV en streaming partagé avec un proche, qui le partage lui-même avec un cousin… qui détient ainsi les informations d’identification d’entreprise de l’employé. Le contrôle des mots de passe est perdu dès lors que ces derniers sont partagés en dehors de l’entreprise. Un mot de passe complexe, c’est bien, mais essayez de saisir sur votre smart TV le mot de passe « tNNi^M$E*@Ep7LD& » généré par un gestionnaire de mots de passe. Les chances qu’il soit partagé en dehors de l’entreprise sont fortement réduites.

3.     Le même mot de passe pour tout : la plupart des gens sont capables de mémoriser quelques mots de passe seulement, disons trois ou quatre, si bien qu’ils utilisent souvent le même mot de passe partout, avec éventuellement de légères variations. Un mot de passe d’entreprise peut flotter dans des dizaines de comptes non contrôlés. Les gestionnaires de mots de passe incitent l’utilisateur à créer chaque fois un mot de passe différent. Car ils le créent pour eux et le renseignent pendant l’authentification, ce qui réduit les frictions.

4.     Fuite de données d’identification dans le Dark Web : dans le cadre professionnel, nous sommes nombreux à utiliser le réseau social LinkedIn. LinkedIn ayant connu plusieurs fuites, bon nombre de nos informations d’identification se trouvent déjà depuis longtemps sur le Dark Web. Une fois qu’elles y sont, le seul remède est de réinitialiser son mot de passe. Le problème, c’est qu’il faut parfois du temps pour s’en apercevoir. Vous n’y êtes pour rien, la société auprès de laquelle vous détenez un compte est la victime malheureuse d’une attaque. Mais votre mot de passe, que vous utilisez probablement pour des dizaines d’autres comptes, est désormais exposé. Il est quelque peu rassurant de savoir que la plupart des sites Web ne stockent pas votre mot de passe de manière totalement ouverte, mais qu’ils utilisent un hachage de votre mot de passe. Les cybercriminels doivent donc encore déchiffrer les mots de passe. Or, si vous avez un mot de passe facile, même s’il s’agit d’une combinaison de mots, il y a de fortes chances qu’il finisse par être déchiffré. Un mot de passe long et complexe ne peut être piraté avec la puissance de calcul actuelle. Ainsi, même en cas de fuite, un mot de passe généré par un gestionnaire de mots de passe sera très probablement protégé.

5.     Mots de passe faciles à déchiffrer : certaines attaques telles que l’attaque par force brute qui tente d’accéder à un grand nombre de comptes à l’aide de mots de passe simples, mettent en évidence les problèmes que posent les mots de passe faciles à déchiffrer. De même, d’autres attaques utilisant des dictionnaires pour les mots de passe plus longs ont prouvé leur efficacité pour déchiffrer des mots de passe simples. Les mots de passe hachés avec salage (en incluant une variable supplémentaire) peuvent être déchiffrés avec des combinaisons de lettres/chiffres multiples jusqu’à 8 caractères. Les mots de passe comportant jusqu’à 12 caractères et un hachage standard peuvent généralement être déchiffrés assez facilement. Les mots de passe à 16 caractères, comme ceux générés par un gestionnaire de mots de passe, deviennent en revanche très difficiles à déchiffrer. En effet, même si l’opération n’est pas impossible, cela prendra beaucoup de temps aux attaquants.  

6.     Mots de passe administrateur partagés : les entreprises disposent souvent d’identifiants partagés, et parfois même d’un mot de passe administrateur partagé par l’ensemble des administrateurs au sein de l’équipe informatique. Même lorsque des mots de passe complexes sont utilisés, comment s’assurer qu’ils ne sont pas exposés ? Lors d’une récente attaque à l’encontre d’une entreprise, des cybercriminels ont trouvé une feuille de calcul contenant plusieurs identifiants d’administrateur. Jackpot ! Les gestionnaires de mots de passe d’entreprise stockent les mots de passe dans un coffre-fort et sont très souvent en mesure de les partager en toute sécurité entre les personnes désignées et dûment autorisées.

7.     Exposition des mots de passe pour les comptes managés par des prestataires : les MSP (fournisseurs de services managés) ont toujours des identifiants d’administrateur utilisés pour accéder aux comptes de leurs clients qu’ils gèrent à distance. Parfois plusieurs techniciens se partagent un ou plusieurs comptes. Toute fuite de ces informations d’identification peut potentiellement constituer un désastre pour un MSP, ses comptes managés se trouvant alors exposés au risque de connexions à distance et de ransomware. Les coffres-forts de mots de passe, qui font partie intégrante des gestionnaires de mots de passe d’entreprise, peuvent être très efficaces dans ces situations.

8.     Applications d’entreprise ne prenant pas en charge la MFA : la plupart des applications métier sérieuses prennent en charge l’authentification multifacteur, généralement par le biais du protocole SAML, qui crée une relation de confiance avec un fournisseur d’identité. Certaines peuvent avoir leur propre solution MFA. Mais il existe encore un grand nombre d’applications qui ne comprennent pas la nécessité de l’authentification multifacteur. Des entreprises comme Salesforce ne se contentent pas de soutenir la MFA, mais en imposent l’adoption. Mais pour les applications qui ne le prennent pas en charge, il est au moins important de s’assurer que les informations d’identification d’un utilisateur sont uniques et non réutilisées. Les gestionnaires de mots de passe ne sont pas utiles dans toutes les situations, par exemple dans le cas des sites de phishing, mais ils peuvent réduire considérablement l’exposition.

9.     Imprudence des utilisateurs en matière de mots de passe : la formation des utilisateurs reste importante et constitue l’une des premières mesures d’atténuation des risques liés aux mots de passe. Grâce à elle, les utilisateurs comprennent mieux les implications des attaques par phishing, et même du partage de mot de passe par téléphone avec un interlocuteur qui prétend être quelqu’un qu’il n’est pas. Les gestionnaires de mots de passe peuvent être très efficaces pour sensibiliser les utilisateurs à l’importance de conserver un mot de passe en toute sécurité et pour réduire les risques d’utilisation dans des situations à risque.

L’idée d’une authentification sans mot de passe peut venir à l’esprit après cette discussion sur les gestionnaires de mots de passe. Il s’agit d’une tendance grandissante, mais très peu de situations permettent une mise en œuvre efficace. Par exemple, l’utilisation de votre visage pour vous connecter à votre ordinateur ne vous aidera probablement pas à vous connecter à d’autres sites Web. L’utilisation de votre empreinte digitale pour la connexion aux applications de votre téléphone mobile offre une excellente expérience utilisateur, mais elle est impraticable si vous devez vous connecter via votre ordinateur.

Même si l’idée d’un futur sans mots de passe est de plus en plus discutée, pour l’instant, les gestionnaires de mots de passe constituent donc la solution la plus efficace pour limiter les risques liés aux mots de passe.