Accueil À propos
cover-img
BFM Business Cybersécurité

Journaliste à BFM Business en charge notamment des questions de cybersécurité, je suis heureux de partager avec vous chaque semaine l’actualité du secteur mais aussi ma revue de presse et des tribunes

image_author_Frédéric_Simottel
Par Frédéric Simottel
2 mai · 5 mn à lire
Partager cet article :

Ne dîtes plus un mot (de passe) à personne

La lettre de Frédéric Simottel n°51

Dans la newsletter d’aujourd’hui:

Pour les abonnés gratuits:

  • L’édito: “Ne dîtes plus un mot (de passe) à personne” par Frédéric Simottel

Pour les abonnés payants:

  • Études: Les entreprises ont encore du mal à associer conformité et cybersécurité

  • La Tribune: “Sécuriser l’ensemble du réseau : la promesse du SASE” par Laura Farina, directrice régionale des ventes de Colt Technology Services

  • A ne pas manquer sur le web: Les détails sur une nouvelle cyberattaque menée sun un hôpital, celui de Cannes

Nous sommes le premier jeudi de mai 2024. La journée mondiale du mot de passe créée à l’origine par le chercheur en sécurité Mark Burnett. C’est lui qui avait encouragé l’écosystème cyber, les entreprises et les administrations à organiser cet évènement dans son livre Perfect Passwords, publié en 2005. Cette initiative fut finalement reprise par Intel Security qui en institua le principe en 2013. Depuis plus de 10 ans, cette journée de sensibilisation permet donc de faire une sérieuse piqûre de rappel sur l’importance cruciale du -ou plutôt des mots de passe ainsi que sur les bonnes pratiques en la matière. Avec comme figures imposées : la complexité (lettres, majuscules, minuscules, chiffres, symboles), la longueur (minimum 12 caractères), la variabilité (un mot de passe par application, par actif numérique), le renouvellement régulier, l’imprévisibilité (évitez les mots courants, 123456, votre date de naissance ou votre lieu de résidence). Les plus prudents pourront utiliser des gestionnaires de mots de passe qui stockent et chiffrent les informations, génèrent des mots de passe aléatoires, automatisent le changement de clés. Et si vous souhaitez sécuriser encore davantage, vous pouvez encore utiliser un procédé d’authentification multi-facteurs. Autant de solutions qui ne laissent plus de place à l’ingérence ou pire à l’ignorance : « Aujourd’hui, on ne peut plus dire qu’on ne savait pas ». Mais une autre question se pose. A l’heure de l’IA, la problématique du mot de passe est-elle encore devenue encore plus cruciale ou comme certains le pensent plus d’actualité ?

Ne dîtes plus un mot (de passe) à personne

Il y a tout juste 3 mois, la planète numérique vivait sa plus importante fuite de données. 26 milliards de données personnelles ont été exposées. 12 téraoctets d’informations volées dont beaucoup issues de comptes X/Twitter, Linkedin, Dropbox, Telegram ou en provenance d’éditeurs comme Adobe. Une fuite qui est en outre très mal tombée. Baptisée « Mother of all Breaches », elle est intervenue alors même que quelques heures auparavant, Microsoft alertait que des pirates russes avaient atteint le cœur de sa messagerie, allant jusqu’à récupérer les échanges de hauts dirigeants de la firme américaine (cf Newsletter du 10 avril). 

Toutes les organisations ont alors été exhortées à mettre en œuvre des stratégies complètes de protection des données pour atténuer les conséquences de ces fuites. Dans les entreprises responsables, il a ainsi été conseillé aux utilisateurs de vérifier si leurs informations avaient pu être divulguées, de mettre à jour leurs mots de passe, d’activer l’authentification à plusieurs facteurs et bien entendu de rester vigilants aux emails d’hameçonnage (ou phishing). Les chercheurs en cyber se sont voulus rassurants, affirmant que la majorité des données avaient sans doute été compilées à partir de violations passées. Il n’empêche, ils invoquaient tous le fait de rester en alerte et de changer ses mots de passe. 

Sans chercher à sombrer dans un contexte trop anxiogène, rappelons que le taux de violation de données a été multiplié par 3 en 2023 aux Etats Unis. Cela représente 100 millions de comptes en lignes volés, soit 32% de toutes les violations au niveau mondial (la société Surfshark les évalue à environ 300 millions de comptes en lignes volés). Les Etats Unis occupent donc la première place dans ce triste palmarès devant la Russie et… la France. L’Espagne et l’Inde suivent juste après.

L’ingérence des utilisateurs en termes de mots de passe est aujourd’hui inadmissible. J’estime qu’aujourd’hui, on ne peut plus dire que l’on ne savait pas. Sans avoir recours à des outils plus sophistiqués (mais qui restent bien utiles), il existe un tas de méthodes pour rendre un mot de passe complexe. Le problème repose sur la routine qui s’installe. Certes nos entreprises nous engagent via un rappel automatique -de plus en plus insistant quand s’approche l’échéance- à changer de mot de passe, au moins une fois tous les trois mois. La procédure pourrait sans doute être davantage automatisée mais elle a au moins le mérite de pousser les gens à s’intéresser pendant quelques minutes à leur accès au système d’information. Mais sorti de là, quoi d’autre ? pas grand-chose. Du coup, les plus fainéants vont à nouveau se reposer sur un mot de passe basique, ouvrant ainsi de potentielles nouvelles failles aux pirates. 

Pirates qui de leur côté ont pris le train de la révolution IA. Selon un hacker éthique rencontré récemment, l’accélération de la récupération frauduleuse de mots de passe vie l’IA est en plein essor. Faîtes l’exercice. Saisissez sur ChatGPT les principaux traits de votre personnalité, vos films de cinéma préférés, saupoudrez de quelques données personnelles, et promptez en demandant de créer un mot de passe… vous serez surpris du résultat. Et cela en seulement quelques minutes. Imaginez quand la machine du hacker passera un peu plus de temps à agréger tout ce qui circule en ligne sur vous. 

Il faut vraiment que nous prenions conscience de l’importance des mots de passe, de les vérifier régulièrement pour s’assurer que notre vie numérique est aussi sécurisée que possible. Et pourquoi pas créer un service qui s’occupe à chaque instant de valider que « jusqu’ici, tout va bien »

Études de la semaine

  • Les entreprises ont encore du mal à associer conformité et cybersécurité. Selon le rapport annuel de Splunk (filiale de Cisco) dénommé State of Security 2024: The Race to Harness AI  46% des entreprises (56% en France) estiment que le respect des exigences de conformité est devenu plus compliqué depuis 2022. 8 RSSI sur 10 confient d’ailleurs qu’ils modifieront leurs budgets pour donner la priorité à la mise en conformité aux nouvelles réglementations, plutôt qu’aux meilleures pratiques de sécurité.

  • Toujours autant d’erreurs humaines. Lisez ce rapport pour appuyer vos décisions de renfocer votre politique de cyber interne. Dans son rapport DBIR - Data Breach Investigations Report, Verizon a en effet analysé plus de 8300 incidents de sécurité en Europe, Afrique et Moyen Orient ? Pratiquement la moitié des violations (49 %) dans la région EMEA sont initiées en internes, suggérant une forte incidence de l’utilisation abusive des privilèges et d’autres erreurs humaines.

...

La suite est réservée aux abonnés payants
Déjà abonné ? Se connecter
image_author_Frédéric_Simottel
Frédéric Simottel Éditorialiste High-Tech sur BFM BUSINESS et BFMTV. Ingénieur télécoms et réseaux de formation, ce journaliste spécialisé occupe depuis plus de 28 ans une position privilégiée en tant qu’observateur du marché high-tech.
A lire aussi dans BFM Business Cybersécurité