Journée mondiale des mots de passe : de 1234567 à SEc&R%tE

S’ils sont trop longs et trop compliqués, nous ne pouvons pas nous en souvenir. S'ils sont trop courts, ils ne sont pas sécurisés. Si nous utilisons un mot de passe spécifique pour chaque service informatique, la liste des mots de passe devient si longue que nous devons les noter quelque part, ce qui est évidemment un péché en matière de sécurité. Que faire alors ?

Insécurité des mots de passe et pas de fin

L'utilisation insouciante des mots de passe est très répandue. Certaines études montrent que dans les entreprises, 60 % des mots de passe ne répondent pas aux exigences minimales. Il n'est donc pas étonnant que plus de 80 % des violations de cybersécurité aient été rendues possibles par une sécurité insuffisante des mots de passe[i]. Chaque année, des listes des mots de passe les plus utilisés sont publiées, et cette année encore, elles sont presque identiques à celles des années précédentes[ii] :

1. 123456
2. 123456789
3. qwerty
4. mot de passe
5. 12345
6. qwerty123
7. 1q2w3e
8. 12345678
9. 111111
10. 1234567890

Nous savons aujourd'hui que 10 000 mots de passe parmi les plus courants ouvriraient plus de 90 % de tous les comptes existants sur Internet - parce que la plupart des utilisateurs utilisent justement toujours le même mot de passe, souvent pendant des années. Les cybercriminels le savent bien sûr aussi, et c'est la raison pour laquelle il existe désormais même une « Journée mondiale des mots de passe »[iii], qui aura lieu cette année le 5 mai.

C'est la longueur qui compte

Les hackers de mots de passe ont fait d'immenses progrès ces dernières années, notamment grâce à une puissance de calcul en constante progression et à une technologie de cloud computing toujours plus avantageuse. Une étude de Hive Systems a montré qu'aujourd'hui, tout mot de passe à huit chiffres peut être craqué en moins d'une heure[iv]. Plus effrayant encore : les mots de passe contenant moins de sept caractères peuvent être craqués quasiment sans perte de temps, c'est-à-dire immédiatement. En 2020, il fallait encore huit heures pour craquer un mot de passe complexe composé de huit caractères. Mais voici la bonne nouvelle : selon l'étude, un mot de passe de 12 caractères créé avec un gestionnaire de mots de passe sérieux nécessiterait jusqu'à 3000 ans pour être craqué avec une puissance de calcul brute.

Un mot de passe sécurisé est un mot de passe sécurisé et l’utilisation d’un gestionnaire de mots de passe est essentielle

Les mots de passe devraient donc comporter au moins 12 caractères et le fait de contenir des lettres majuscules, des chiffres et des caractères spéciaux et aucune information personnelle (nom, date de naissance) les rend encore plus sécurisés. N'utilisez jamais plusieurs fois le même mot de passe (voir ci-dessus).

Ce sont précisément ces règles qui rendent la gestion des mots de passe compliquée. C'est pourquoi il est recommandé d'utiliser un gestionnaire de mots de passe. Cet outil enregistre vos mots de passe et vous aide à en créer de nouveaux, plus sûrs. Ainsi, vous n'avez plus qu'à vous souvenir du mot de passe pour le gestionnaire de mots de passe. De nombreux gestionnaires de mots de passe proposent même leurs services gratuitement[v].

Quoi qu'il en soit, mettez toujours en place, si possible, une authentification à deux facteurs. Les criminels qui ont volé votre mot de passe ne peuvent pas accéder à votre compte sans le deuxième facteur, par exemple un jeton matériel ou logiciel ou un message texte SMS[vi].

La cybersécurité pour un monde numérique

Chez UMB, nous considérons la cybersécurité comme une discipline intégrale dans l'ensemble du paysage informatique et nous comprenons les défis d'un monde qui évolue rapidement. Chez UMB, la cybersécurité n'est pas considérée de manière isolée, mais comme un élément des concepts IT, Workplace et de numérisation, dont font également partie les contrôles d'accès et les mots de passe. Seules des mesures organisationnelles et techniques équilibrées protègent efficacement votre entreprise. Pour cela, il faut introduire de nouvelles dimensions de sécurité qui complètent la prévention classique (protection du réseau et du périmètre). Il s'agit d'une part de la capacité à détecter un attaquant à un stade précoce. D'autre part, les contre-mesures adéquates doivent pouvoir être mises en place rapidement. N'hésitez pas à nous contacter si vous êtes intéressés par ce sujet.

[i] 81% Of Company Data Breaches Due To Poor Passwords

[ii] Here's 2022's worst passwords — don't use any of these

[iii] World Password Day (May 5th, 2022)

[iv] https://www.hivesystems.io/password-table

[v] Passwort-Manager Test 2022: Das sind die besten Dienste

[vi] SecurID Identity and Access Management