← Article précédent Tous les articles Article suivant →
![Piratage de mot de passe]()
52 secondes… Le temps nécessaire pour pirater le mot de passe d’un employé
Un mot de passe faible utilisé par un employé suffit à rendre toute l’entreprise vulnérable. Malgré des efforts de sensibilisation, les pratiques des employés ne changent pas assez vite, et la gestion des mots de passe demeure le cauchemar des responsables sécurité.
La sécurité des mots de passe, l’un des plus grands défis de l’informatique
80 % des fuites de données en entreprise sont causées par des mots de passe faibles ou volés… La statistique est éloquente. Les mots de passe ne forment qu’une seule couche de protection et sont très facilement usurpés. En effet, il faudrait potentiellement 52 secondes à un pirate pour usurper un mot de passe de 8 caractères, même aléatoires, contre 11 minutes pour un mot de passe qui inclut des chiffres.
Précision : 52 secondes est un temps estimé possible, mais cela suppose que la vérification du mot de passe est instantanée, que la connexion Internet est donc très rapide, qu’aucune sécurité de type anti brute force n’est mise en place, etc.
Pour pirater les mots de passe, les attaquants utilisent diverses méthodes, certaines sont complexes comme l’attaque par table arc-en-ciel (la plus efficace), l’attaque par force brute (la plus connue et répandue) ou l’attaque par dictionnaire. A l’inverse, l’attaque par ingénierie sociale nécessite beaucoup moins de compétences. Elle se décline sous plusieurs formes mais toutes ont un seul et unique objectif : tromper ou manipuler une personne pour qu’elle communique ses identifiants ou agisse d’une manière prédéfinie. Les méthodes les plus couramment utilisées sont les attaques de phishing mais une approche moins courante est le “shoulder surfing” (qui signifie regarder par-dessus l’épaule) qui consiste, pour le pirate, à simplement regarder un utilisateur saisir son mot de passe, à son insu.
Le mot de passe c’est la clé ouvrant sur le système
Une fois le mot de passe dérobé – dans la mesure où celui-ci est toujours valide – lancer une attaque devient un jeu d’enfant. Le pirate se connecte au compte, il explore le système pour identifier les failles et accéder aux privilèges d’un administrateur (le sésame) et il n’a plus alors qu’à lancer son attaque. En partant du cœur même du système, les possibilités d’attaques sont vastes : diffusion d’un ransomware, vol d’informations, destruction d’informations ou de parties ciblées du système d’informations, etc.
Soulignons également que dans environ 80 % des cas, le même mot de passe est utilisé sur plusieurs comptes, et que 6 % des utilisateurs ont recours au même mot de passe pour tous les comptes en ligne qu’ils utilisent. Malgré de vrais efforts de sensibilisation, l’humain reste le maillon faible pour la sécurité de l’entreprise et la mise en place de couches de sécurité complémentaires, est une nécessité.
Et malheureusement, un mot de passe compromis suffit à exposer toute l’entreprise.
Des solutions existent !
