Malgré des décennies de formation des utilisateurs, les mots de passe restent un point faible majeur dans les stratégies de cybersécurité des entreprises. Specops Software, spécialiste en gestion de mots de passe et solutions d’authentification, le constate une nouvelle fois dans son nouveau rapport 2024, « Breached Password ».
Pour arriver à cette conclusion, Specops Software s’appuient sur des données compilées à partir d’enquêtes exclusives et d’analyses de données portant sur 800 millions de mots de passe piratés, un sous-ensemble des 4 milliards de mots de passe compromis connus recensés dans la liste Specops Breached Password Protection.
L’analyse de plus de 2 millions d’identifiants d’applications professionnelles piratés par des logiciels malveillants et celle de 1,8 million d’identifiants de comptes d’administration ont également été réalisées par l’équipe de veille sur les menaces d’Outpost24.
Voici notre petit inventaire cauchemardesque :
- « 123 456 » reste le mot de passe compromis le plus courant, trouvé dans plus de 2 millions de comptes d’applications cloud.
- Les mots de passe simples comme « Pass@123 » et « P@ssw0rd », qui répondent aux critères de base d’Active Directory, sont prévalents.
- L’analyse de KrakenLabs suggère qu’une longueur de mot de passe d’au moins 13 caractères dans Active Directory réduirait le risque de compromission dans les applications cloud.
- L’analyse de 1,8 million de comptes administrateurs a révélé que 40 000 utilisaient
« admin » comme mot de passe. - 88 % des entreprises continuent d’utiliser les mots de passe comme méthode principale d’authentification.
- Seulement 50 % des entreprises analysent les mots de passe compromis plus d’une fois par mois.
- Les séquences de clavier telles que « azerty » sont des choix faibles utilisés par des millions d’utilisateurs.
- 31,1 millions de mots de passe compromis dépassent les 16 caractères.
Marketing/Ventes et RH : mauvais élèves…
L’étude montre des différences dans la force des mots de passe selon les services au sein des entreprises. Les équipes de Développement et de Sécurité tendent à avoir des mots de passe légèrement plus robustes que ceux des départements Marketing/Ventes et RH.Cependant, aucun service n’est complètement à l’abri des risques de compromission. Cela souligne l’importance d’une politique de mot de passe forte et cohérente à travers toute l’organisation.
Le rapport Specops 2024 est un rappel crucial de l’importance de la cybersécurité pour les organisations et les particuliers. Il met en évidence la nécessité pour les entreprises de toutes tailles d’adopter des stratégies de gestion des mots de passe plus strictes et de sensibiliser continuellement leurs employés aux meilleures pratiques de sécurité informatique.
Rappelons que selon Verizon, 86 % des accès initiaux sont obtenus par les attaquants par le biais d’informations d’identification volées… Et les données montrent qu’en moyenne, 85 % des mots de passe compromis comportent moins de 12 caractères.