IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Étude : Lastpass révèle huit réalités sur les menaces que posent les mots de passe
Dans les milieux de travail des entreprises

Le , par Coriolan
6 commentaires

45PARTAGES

13  0 
L’approche standard de la sécurité de mots de passe a échoué, c’est le constat du rapport The Password Exposé publié par Lastpass. Pire encore, les entreprises ne semblent pas réagir rapidement à cet échec.

Les mots de passe occupent une place importante dans la vie moderne, que ça soit à domicile ou au travail, la sécurité des mots de passe est capitale et le fait que les employés prennent au sérieux cette sécurité est essentiel pour protéger les intérêts de toute entreprise.

Le rapport donne un aperçu sur la réalité quotidienne des mots de passe au sein des entreprises. À travers des données d’entreprises anonymisées et cumulées en utilisant Lastpass, la société a pu mesurer l’impact réel des problèmes de mots de passe auxquels font face les entreprises. Le rapport ne se contente pas de rapporter ce que disent les gens, mais révèle plutôt comment les employés utilisent réellement les mots de passe dans leur vie de tous les jours au travail.

Pour la plupart des gens, la peur d’oublier un mot de passe pèse plus lourd que le risque d’être piraté. Que les mots de passe soient vieux, faibles, réutilisés ou compromis, la mauvaise gestion des mots de passe est la cause principale des brèches de sécurité. Avec plus de 4,2 milliards d’identifiants fuités en l’année 2016 seule, les attaquants peuvent facilement utiliser les mots de passe dérobés pour accéder à un réseau d’entreprise et voler des données.

Un seul mot de passe réutilisé peut compromettre la sécurité de toute une organisation. Ce problème n’est pas nouveau et s’aggrave d’année en année puisque les violations de sécurité continuent d’impacter les entreprises de toutes les tailles et dans chaque industrie. Étonnamment, et malgré la présence de données, les entreprises ne donnent pas la priorité à cette crise de la sécurité des mots de passe.

Voici les principales réalités soulevées par le rapport.

Les mots de passe sont un problème pour tout le monde

Les chiffres ne mentent pas : les mots de passe sont hors de contrôle. L’étude estime que le nombre moyen de mots de passe circulant dans une entreprise de 250 employés est de 47 750 mots de passe.

Une entreprise peut-elle vraiment savoir la force de chaque mot de passe ? S’il est réutilisé, faible ou vieux ? Le manque de visibilité rend difficile l’imposition des meilleures pratiques à suivre, sans parler du foisonnement des mots de passe auquel font face les entreprises.

Les employés sont dépassés par les mots de passe

191 mots de passe, oui vous avez bien lu, est le nombre de mots de passe qu’un employé moyen gère en utilisant Lastpass. Pas 10, pas 50, mais 191. Malgré les rapports standards de l’industrie qui parlent de 27 mots de passe détenus par chaque employé, ce rapport a relevé une moyenne sept fois supérieure. Cette différence s’explique par la tendance des gens à sous-estimer le nombre de comptes qu’ils ont réellement : si vous êtes un administrateur de systèmes, combien de serveurs gérez-vous réellement ? Quand ces identifiants sont systématiquement collectés et organisés dans une seule place, une représentation plus adéquate de la réalité émerge.

Le problème des mots de passe continue de s’aggraver

Le rapport révèle qu’en moyenne, un employé commence avec 20 identifiants dans son coffre-fort et double ce nombre après trois mois seulement. C’est pourquoi 61 % des gens ont tendance à réutiliser le même mot de passe ou un autre similaire partout, malgré le fait qu’ils savent qu’il n’est pas sécurisé. En conséquence, les employés sont submergés par les mots de passe, et c’est un problème qui continue de s’aggraver de jour en jour dans leur travail.


Les employés s’identifient constamment

En moyenne, un employé doit taper les identifiants 154 fois chaque mois pour s’authentifier dans leurs sites et applications. Le rapport indique qu’il faut en moyenne 14 secondes pour taper un mot de passe, soit 36 minutes par mois perdues à cause d’une activité qui n’apporte aucune plus-value à l’entreprise. Quand 76 % des employés informent qu’ils font face à des problèmes réguliers d’usage des mots de passe, il est clair qu’il a aussi un impact significatif sur la productivité et ultimement un coût associé aux identifiants. Les employés souffrent d'inefficacités liées aux mots de passe, ce qui affecte directement le résultat de l’entreprise.


Approuvé ou non, le partage de mots de passe est courant

En moyenne, un employé partage quatre mots de passe avec les autres, selon le rapport. Il est souvent conseillé de laisser vos mots de passe privés et pour une bonne raison, vous minimiserez le risque qu’ils soient récupérés par de mauvaises personnes. Cependant, au travail, le partage d’identifiants et d’autres données sensibles est essentiel pour réaliser les objectifs.

Que ça soit des comptes de médias sociaux gérés par le service marketing ou les configurations de serveurs gérés par l’IT, pour ne citer que ceux-là, les employés de tous les services ont le besoin de partager des mots de passe. Les mots de passe doivent aussi être partagés fréquemment avec des vendeurs, des partenaires, des clients et d’autres. Puisque le partage devient dans ce cas important, il faudra s’assurer que chaque mot de passe partagé soit unique et changé à chaque fois que l’accès n’est plus nécessaire, surtout quand un employé quitte une entreprise.

La ligne reste floue entre les mots de passe personnels et professionnels

Sur les 36 domaines utilisés par les employés dans leur travail, au moins la moitié sont des solutions populaires destinées au grand public. De plus, une étude récente a montré que 23 % des employés utilisent des identifiants de médias sociaux pour se connecter dans les systèmes de travail et les applications. Google, Dropbox, Evernote, pour toutes ces applications populaires, les employés aiment maintenir le contrôle sur ces comptes, malgré le fait qu’ils les utilisent activement au travail et peuvent y sauvegarder ou partager des données sensibles de l’entreprise.


Aujourd’hui, avec l’avènement du BYOD (« bring-your-own-everything »), les employés familiarisés avec la technologie sont devenus la source de services innovants pour le travail. S’ils sont mal gérés, ces applications cachées et comportements vis-à-vis des mots de passe deviennent une menace. Avec une bonne supervision, ces nouvelles technologies favorisent la productivité, l’efficience et même les gains de sécurité à travers l’organisation.

L’authentification unique n’est pas une solution pour les mots de passe

L'authentification unique (en anglais Single Sign-On : SSO) est une méthode permettant à un utilisateur d'accéder à plusieurs applications informatiques (ou sites web sécurisés) en ne procédant qu'à une seule authentification.

Bien que beaucoup d’applications d’entreprises soient compatibles avec la SSO, les données montrent que plus de 50 % des sites web et services les plus populaires ne supportent pas nativement l’authentification unique. De plus, pour les entreprises qui peuvent investir le temps et les ressources afin d’implémenter une solution SSO, elles se contentent d’intégrer les applications de grande valeur qui sont généralisées dans leur organisation. La plupart des applications ne font pas partie de cette catégorie, y compris celles qui ne sont pas contrôlées par le service IT, et sont donc exclues du système et gérées par les employés. Une fois encore, le mauvais contrôle et visibilité laissent ces points d’entrée vulnérables à une mauvaise utilisation de mots de passe.

Pas assez d’entreprises utilisent l’authentification multifacteur

26,5 % d’entreprises utilisent une authentification multifacteur pour protéger leurs coffres-forts de mots de passe. Bien qu’une proportion importante d’entreprises commencent à adopter la MFA, elle n’est pas utilisée de façon suffisante afin de pallier les faiblesses des mots de passe.

Il faut s’attendre à une croissance de l’adoption des solutions d’authentification MFA, avec l’accent mis sur celles qui tirent profit des technologies déjà utilisées, comme les smartphones des employés. De cette façon, le service IT n’a pas à investir dans des appareils additionnels ou onéreux, et les déploiements longs de nouveaux services. Cependant, cette authentification multifacteur ne compense pas les faiblesses d’un mot de passe faible, chaque mot de passe doit être unique et aussi fort que possible afin de se prémunir contre les attaques.

Ces réalités peuvent être consultées dans ce rapport.

Source : blog Lastpass

Et vous ?

Comment gérez-vous les mots de passe dans votre travail ?
Quelles sont les solutions que vous utilisez pour assurer une bonne gestion des identifiants ?

Voir aussi :

forum Sécurité

Une erreur dans cette actualité ? Signalez-nous-la !

6 commentaires
Commenter Signaler un problème
vitch38
Avatar de vitch38
Membre à l'essai https://www.developpez.com
Le 03/11/2017 à 16:45
Pour ma part, j'utilise KeePass 2 comme gestionnaire de mot de passe. Je stocke mon fichier de mot de passe sur un Cloud, tel Google Drive, Dropbox... et je génère un mot de passe différent de 20 caractères pour chacun de mes accès.

C'est plutôt simple d'utilisation, le fichier de mot de passe se met à jour automatiquement entre mes machines synchronisées ce qui me permet d'avoir en permanence mes mots de passe à porté de main. J'utilise cette méthodologie https://www.lecoindunet.com/gestionn...-securite-1340 Seul hic dans cette solution c'est l'authentification à un seul niveau... Mais bon tout dépend du niveau de sécurité souhaité et nécessaire, faut-il être parano ?
1  0 
vitch38
Avatar de vitch38
Membre à l'essai https://www.developpez.com
Le 03/11/2017 à 19:56
Citation Envoyé par Neckara Voir le message
Petit joueur, mes mots de passes font au moins 64 caractères.
20 caractères c'est bien au dessus de la norme. A chacun sa politique, avoir un mot de passe sur Amazon de 64 caractères, perso je n'en vois pas l'intérêt. Pour sécuriser un accès sur un serveur, SSH, une appli critique pourquoi pas encore faut il sécuriser les accès autrement que par un mot de passe (attaque bruteforce ,...)

Citation Envoyé par Neckara Voir le message
Après, j'aimerais bien utiliser une Yubikey avec KeePass2, mais il faut que je creuse un peu plus.

Pour info, utiliser une Yubikey avec Keepass c'est tout à fait possible https://keepass.info/help/kb/yubikey.html et http://www.kahusecurity.com/2014/sec...second-factor/
1  0 
LSMetag
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 06/11/2017 à 13:21
Je ne suis pas vraiment étonné vu que je suis passé par ce genre d'écueils.

Par contre j'ai tiqué là-dessus : "Les employés souffrent d'inefficacités liées aux mots de passe, ce qui affecte directement le résultat de l’entreprise."

36 minutes par mois, mon dieu ! Quelle horreur ! Mais que fait la police !
Bon, me concernant, je ne perds "que" 2 minutes par mois. Ca impacte donc directement les résultats de l'entreprise ^^
1  0 
Neckara
Avatar de Neckara
Inactif https://www.developpez.com
Le 03/11/2017 à 18:30
Citation Envoyé par vitch38 Voir le message
et je génère un mot de passe différent de 20 caractères pour chacun de mes accès.
Petit joueur, mes mots de passes font au moins 64 caractères. Bon le problème, c'est que certains sites n'aiment pas .

Mais oui, c'est super-pratique d'avoir un KeePass2 avec une synchronisation de la base entre ses différents ordinateurs. Un petit Seafile auto-hébergé, et le tour est joué. Après, j'aimerais bien utiliser une Yubikey avec KeePass2, mais il faut que je creuse un peu plus.
0  0 
Neckara
Avatar de Neckara
Inactif https://www.developpez.com
Le 03/11/2017 à 21:27
Citation Envoyé par vitch38 Voir le message
20 caractères c'est bien au dessus de la norme. A chacun sa politique, avoir un mot de passe sur Amazon de 64 caractères, perso je n'en vois pas l'intérêt. Pour sécuriser un accès sur un serveur, SSH, une appli critique pourquoi pas encore faut il sécuriser les accès autrement que par un mot de passe (attaque bruteforce ,...)
Comme on utilise un gestionnaire de mot de passe, la longueur du mot de passe n'est plus vraiment un problème ou un coût. D'ailleurs, à ce niveau là, il serait peut-être plus juste de parler de clé que de mot de passe.

Le mot de passe à 64 caractères équivaut à "383 bits", un attaquant aurait presque plus vite fait d'attaquer les clés TLS (RSA/AES). Ainsi je m'assure que le "mot de passe", ne sera pas le "maillon faible" du système de sécurité. Même pour une appli critique, c'est tout à fait utilisable.

Bon... c'est aussi parce que je raisonne en puissance de 2 : 64 = 2^6. J'aurais pu prendre 16 (2^4) ou 32 (2^5), mais avec 64, c'était plus marrant .

Quant à du brute force sur un mot de passe à 64 caractères... On va dire 1h pour brute forcer un mot de passe de 8 caractères (cela reste optimiste), à 64 caractères, il faudrait 2^262 machines, soit autant que d'atomes dans l'Univers, et attendre 2^26 heures, soit 7 660 années. Donc l'attaque par brute force, j'y crois pas trop .

Citation Envoyé par vitch38 Voir le message
Pour info, utiliser une Yubikey avec Keepass c'est tout à fait possible https://keepass.info/help/kb/yubikey.html et http://www.kahusecurity.com/2014/sec...second-factor/
Je sais, mais il faut que je me trouve le temps de me pencher correctement dessus et de tout installer. Là je dois m'occuper de la sauvegarde de sauvegarde, et de la sauvegarde de ma sauvegarde de sauvegarde (en RAID1 évidemment ).

Bon j'exagère, la sauvegarde, c'est une synchronisation entre mes différents postes, la sauvegarde de sauvegarde, c'est une sauvegarde en local au cas où le logiciel de synchro devient fou (et en même temps cela me sauvegarde d'autres données non-synchronisées comme mon calendrier), et le dernier niveau de sauvegarde, c'est sur une machine distante... au cas où l'appart' prend feu, je me fais cambrioler, ou que sais-je encore.

Bon, j'avoue, c'est aussi pour m'amuser un peu.
0  0 
BufferBob
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 06/11/2017 à 14:17
Citation Envoyé par LSMetag Voir le message
36 minutes par mois, mon dieu ! Quelle horreur ! Mais que fait la police !
continue de faire le malin toi et on va te remplacer par un robot avec moins d'humour tu vas voir
0  0 
Commenter Signaler un problème