Au début des années 2000, les sessions de formation sur la sécurité des mots de passe auraient généralement débuté par une question simple à l’intention des participants : « Combien d’entre vous doivent mémoriser jusqu’à 10 – 25 ou encore 50 mots de passe ? » Désormais, j’ai plutôt l’habitude de commencer ainsi : « Combien d’identifiants toujours actifs pensez-vous avoir ? Moins de 100 ? »
Voilà un sujet très intéressant. De nombreuses personnes ne se rendent pas compte du nombre d’identifiants qu’elles ont décidé de stocker dans leurs navigateurs. Il peut s’agir d’identifiants utilisés plusieurs fois par mois ou créés sur un site marchand sur lequel vous n’avez effectué qu’un seul achat mais souhaitiez suivre votre commande. Il est donc presque impossible de trouver une réponse à cette question. Si vous avez l’habitude d’enregistrer vos identifiants dans votre navigateur, vous en savez quelque chose. Mais si votre appareil est infecté par un malware susceptible de voler vos identifiants dans votre navigateur, comme le récent malware BlackGuard, ou si quelqu’un accède à votre messagerie, la principale méthode pour la réinitialisation des mots de passe, alors c’est la catastrophe !
Grâce aux gestionnaires de mots de passe, vous pourrez mieux contrôler vos identifiants, notamment dans le cadre professionnel. Pas encore convaincu ? Abordons quelques domaines où cet outil peut s’avérer utile face aux problèmes liés aux mots de passe :
- Partage de mots de passe : Il est très facile de partager un mot de passe tel que « football123 » par téléphone. Essayez maintenant avec « tNNi^M$E*@Ep7LD& ». Pas facile, n’est-ce pas ? Un tel mot de passe permet d’éviter le partage intentionnel ou par manipulation.
- Réutilisation de mots de passe professionnels à titre personnel : Mon entreprise m’a demandé de créer un nouveau mot de passe avec des majuscules, des lettres, des chiffres et des caractères spéciaux. Je fais preuve de créativité et je choisis « Football@123. ». Maintenant que je dispose d’un mot de passe sécurisé et adéquat, pourquoi ne pas l’utiliser à d’autres fins ? En effet, je pourrais m’en servir pour mon service de TV en streaming, que je partage avec ma fille, laquelle le partage avec son petit ami... Gardez à l’esprit que vous n’avez plus aucun contrôle sur vos mots de passe en dehors de l’entreprise. Dans cet exemple, le petit ami de ma fille dispose de mes identifiants professionnels. Si un mot de passe complexe a ses avantages, il est toutefois difficile de saisir « tNNi^M$E*@Ep7LD& » sur sa télévision.
- Mot de passe unique : les utilisateurs peuvent mémoriser trois ou quatre mots de passe. Les autres ne diffèrent que légèrement. Je suis pareil. Les utilisateurs chercheront à utiliser le même mot de passe partout, avec éventuellement quelques variantes. Ainsi, un même mot de passe professionnel peut servir pour des dizaines de comptes non contrôlés. Les gestionnaires de mots de passe inciteront les utilisateurs à créer des mots de passe uniques à chaque fois. Ils les créeront à leur place et les saisiront lors de l’authentification.
- Fuite d’identifiants sur le Dark Web : j’utilise LinkedIn depuis pas mal de temps et ce réseau social a fait face à plusieurs fuites de données. Mes identifiants ont alors terminé sur le Dark Web. Si cela vous arrive, il ne vous reste plus qu’à réinitialiser votre mot de passe. Le problème, c’est que vous pouvez mettre du temps à vous en rendre compte. Vous n’êtes pas responsable. L’entreprise pour laquelle vous disposez d’un compte a malheureusement été victime d’une attaque. Votre mot de passe, que vous utilisez peut-être pour des dizaines d’autres comptes, est alors exposé. Toutefois, la plupart des sites Web ne stockent pas votre mot de passe tel quel et ont recours au hachage. Par conséquent, les pirates informatiques doivent encore réussir à décoder les mots de passe. Si votre mot de passe est simple (même une combinaison de mots), il sera très probablement décodé. En revanche, un mot de passe long et complexe ne peut pas être décodé avec la puissance informatique actuelle. Ainsi, même en cas de fuite de données, un mot de passe généré par un gestionnaire de mots de passe sera très certainement protégé.
- Mots de passe faciles à décoder : certaines attaques, comme le « password spraying », ciblent les mots de passe simples. D’autres, utilisant des dictionnaires pour des mots de passe plus longs, s’avèrent relativement efficaces pour le décodage de mots de passe simples. Les mots de passe codés ayant fait l’objet d’un salage (variable supplémentaire) peuvent être décodés avec plusieurs combinaisons de lettres/chiffres jusqu’à 8 caractères seulement. Les mots de passe jusqu’à 12 caractères et codés de façon normale peuvent être généralement décodés sans problème. Les mots de passe de 16 caractères, comme ceux générés par les gestionnaires de mots de passe, ne peuvent pas être décodés avec plusieurs combinaisons.
- Mots de passe administrateur partagés : parfois, les entreprises disposent d’identifiants communs, comme un mot de passe administrateur partagé au sein de l’équipe des administrateurs informatiques. Dans ce contexte, comment garantir la protection de ces mots de passe, même complexes ? Lors d’une récente attaque, des pirates informatiques ont mis la main sur une feuille de calcul contenant plusieurs identifiants administrateur. Bingo ! Les gestionnaires de mots de passe professionnels sont capables de partager en toute sécurité des mots de passe entre différentes personnes et de stocker ces derniers dans un coffre-fort.
- Exposition des mots de passe pour les comptes gérés de MSP : Les MSP utilisent toujours des identifiants administrateur pour accéder à leurs comptes gérés (un ou plusieurs par compte), lesquels sont partagés entre différents groupes de techniciens MSP. Une fuite de ces identifiants pourrait s’avérer terrible pour un MSP, exposant ses comptes gérés à des risques de connexion à distance et de diffusion de ransomware. Le recours à des coffres-forts peut être très efficace dans ce cas.
- Applications professionnelles sans authentification multifacteur : la plupart des applications professionnelles sérieuses prennent en charge l’authentification multifacteur, généralement via le protocole SAML, ce qui crée une véritable relation de confiance avec un fournisseur d’identité. Certaines disposent de leur propre solution d’authentification multifacteur. Cependant, de nombreuses applications ne comprennent toujours pas le besoin d’une telle solution. Salesforce, par exemple, non seulement prend en charge cette méthode, mais impose son application depuis février 2022. Pour les applications qui ne la prennent pas en charge, vous devez au moins vous assurer que les identifiants sont uniques et non réutilisés. Les gestionnaires de mots de passe ne pourront pas remédier à toutes les situations, comme les sites Web d’hameçonnage. Cependant, ils peuvent considérablement réduire les risques.
- Négligence des utilisateurs : la formation des utilisateurs reste indispensable pour se protéger contre l’hameçonnage ou même l’échange d’un mot de passe par téléphone, par exemple lorsque la personne au bout du fil prétend travailler pour votre banque et doit débloquer votre carte de crédit. Dans cette optique, les gestionnaires de mots de passe sont particulièrement efficaces. Ils sensibilisent les utilisateurs à l’importance de la sécurité des mots de passe et permettent de diminuer leur utilisation dans des situations dangereuses.
Vous allez maintenant me demander : qu’en est-il de l’authentification sans mot de passe ? Cette tendance croissante ne représente toutefois que quelques cas d’utilisation. La reconnaissance faciale pour vous connecter à votre ordinateur ne vous sera d’aucune utilité pour d’autres sites Web. De même, l’utilisation de votre empreinte digitale sur votre mobile améliorera votre expérience utilisateur, mais ne pourra pas être utilisée pour la connexion via votre ordinateur.
En définitive, les mots de passe ont encore de beaux jours devant eux. En attendant une solution unique qui répondra à tous les cas d’utilisation professionnels, les gestionnaires de mots de passe se révèlent très efficaces dans l’atténuation de ces risques. Leur utilisation est vivement conseillée.