Pourtant essentiels et gardiens de notre vie numérique, les mots de passe restent les maillons faibles de la protection de nos données. Volés, faibles et réutilisés, ils sont la principale porte d’entrée des violations de données. A l’approche des élections européennes et des Jeux Olympiques et Paralympiques de Paris 2024, les attaques vont se démultiplier, appelant les experts de la cybersécurité, mais aussi les entreprises et les particuliers à une extrême vigilance.
Des mots de passe à l’origine de 80% des violations de données
Alors que le développement des usages digitaux oblige les utilisateurs à gérer de multiples comptes en ligne, le mot de passe reste le principal moyen d’authentification pour accéder à la plupart des services numériques. Si les risques liés aux mots de passe faibles sont largement connus, ils demeurent largement répandus, exposant les individus et les organisations à une variété de risques de sécurité.
Selon le rapport annuel 2023 de la société Verizon, jusqu’à 80% des violations de données réussies résultent de la compromission d’identifiants de connexion. Dernier exemple d’ampleur en date, les données de 33 millions d’assurés français ont été exposées en février 2024, à la suite de la cyberattaque ayant touché les opérateurs de tiers payant français Viamedis et Almerys. L’attaque a pu avoir lieu grâce à l’usurpation d’identifiants et la compromission de mots de passe de professionnels de santé.
Objets de commerce sur le dark web, les bases de mots de passe sont revendues entre cybercriminels ou utilisées pour lancer de nouvelles attaques. Les milliards d’informations d’identification disponibles sur le dark web entraînent le vol et la revente de données, des demandes de rançon, des opérations bancaires non autorisés ou, dans le cas des réseaux sociaux, des escroqueries usurpant l’identité des utilisateurs.
« 123456 », « azerty » ou « marseille » : des mots de passe trop faibles.
Depuis 2016, ce sont en effet plus de 24 milliards de code d’accès qui ont été dérobés sur Internet. Selon une étude de 2023 du spécialiste de la protection des données NordPass, la faiblesse de ces mots de passe est souvent en cause. Un mot de passe faible est très peu complexe et peut être facilement deviné. Il se compose généralement de mots faciles à mémoriser trouvés dans le dictionnaire, ou de suites courtes de chiffres. « 123456 », « azerty » ou « loulou » sont ainsi dans le Top 10 des mots de passe les plus utilisés en France, alors qu’ils sont piratables en moins d’une seconde.
Classement | Mdp | Temps nécessaire pour le déchiffrer | Décompte |
1 | 123456 | < 1 seconde | 86 656 |
2 | 123456789 | < 1 seconde | 38771 |
3 | azerty | < 1 seconde | 36579 |
4 | admin | < 1 seconde | 17388 |
5 | 1234561 | 1 seconde | 14994 |
6 | azertyuiop | 1 minute | 13441 |
7 | loulou | < 1 seconde | 11330 |
8 | 000000 | < 1 seconde | 11169 |
9 | doudou | < 1 seconde | 10204 |
10 | password | < 1 seconde | 99552 |
11 | marseille | 1 jour | 9085 |
12 | motdepasse | 14 heures | 7457 |
13 | 12345678 | < 1 seconde | 7446 |
14 | chouchou | < 1 seconde | 7125 |
15 | soleil | < 1 seconde | 6995 |
En effet, la firme américaine de cybersécurité Hive Systems a récemment publié son tableau annuel détaillant le temps requis maximum pour craquer un mot de passe grâce [1] à une attaque par force brute (voir encadré). Si l’étude explique que le délai croît à mesure que le mot de passe se complexifie et s’allonge, elle démontre qu’un mot de passe de 8 caractères peut être déchiffré en moins d’une heure avec une carte graphique disponible sur le marché grand public, la GeForce RTX 4090 de Nvidia, peu importe l’ajout de majuscules, de chiffres ou de caractères spéciaux. En revanche, il faudrait plusieurs milliards d’années pour obtenir un mot de passe complexe de 16 caractères, alternant des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Hive Systems précise toutefois que si l’entreprise a utilisé une méthode d’attaque par force brute, nombreux sont les mots de passe compromis par l’ingénierie sociale. Alors que 31% des utilisateurs avouent ne jamais avoir changé leur mot de passe depuis leur création, les combinaisons trop simples, l’utilisation de données personnelles partagées sur les réseaux sociaux publics (date de naissance, prénom des enfants, club de football préféré, etc.) et la réutilisation des mêmes mots de passe sur les environnements personnels et professionnels facilitent le travail des pirates et augmentent la vulnérabilité des données personnelles et des entreprises.
Hive Systems a testé plusieurs cartes graphiques de Nvidia pour déchiffrer des mots de passe hachés par bcrypt, au lieu de la technologie MD5 utilisées les années précédentes et qui s’avère moins robuste. L’entreprise précise toutefois que la puissance de calcul augmentera dans les années à venir, ne cessant de réduire le temps nécessaire pour déchiffrer des mots de passe même complexes.
Les principaux types d’attaques sur les mots de passe
- Ingénierie sociale : les attaquants exploitent la confiance des utilisateurs pour obtenir leurs mots de passe, en manipulant les victimes. Les pirates se renseignent sur leurs victimes, utilisant des informations sur les réseaux sociaux, des interactions directes (par hameçonnage) ou des données d’anciennes compromissions.
- Attaque par force brute : les pirates utilisent un logiciel pour tenter de deviner les identifiants, en saisissant différentes combinaisons de caractères jusqu’à ce qu’ils trouvent une correspondance. Ce type d’attaque est particulièrement efficace sur les mots de passe courts et peu complexes ;
- Attaque par dictionnaire : les pirates utilisent des logiciels automatisés pour tester des mots de passe courants, provenant de bases de données de mots de passe ou des mots du dictionnaire ;
- Bourrage d’identifiants : les cybercriminels utilisent des outils spécifiques pour automatiser les tentatives d’authentification à une application sur la base de listes d’identifiants précédemment volés. Seules les combinaisons fructueuses sont enregistrées.
- Pulvérisation de mots de passe : Cette attaque à base d’identifiants tente d’accéder à de nombreux comptes en ne testant que quelques mots de passe courants.
- Attaque par Rainbow table : les pirates utilisent une table spéciale pour tenter de déchiffrer des mots de passe hachés.
[1] Hive Systems a testé plusieurs cartes graphiques de Nvidia pour déchiffrer des mots de passe hachés par bcrypt, au lieu de la technologie MD5 utilisées les années précédentes et qui s’avère moins robuste. L’entreprise précise toutefois que la puissance de calcul augmentera dans les années à venir, ne cessant de réduire le temps nécessaire pour déchiffrer des mots de passe même complexes.
La sécurisation des mots de passe, première ligne de défense
Face aux risques engendrés par les mots de passe faibles, leur sécurisation demeure la première ligne de défense pour assurer la confidentialité de nos données. A ce titre, le Royaume-Uni vient d’adopter une loi pour interdire aux constructeurs de livrer des appareils connectés avec des mots de passe par défaut faibles. Avec la publication du Cyber Resilience Act, l’Union Européenne est allée encore plus loin en exigeant des constructeurs l’intégration de dispositifs de sécurité dans les appareils connectés dès leur conception.
Au-delà des textes normatifs, les entreprises comme les particuliers ont un rôle à jouer dans la sécurisation de leurs mots de passe. Voici quelques bons réflexes à adopter :
- À titre individuel :
- Augmentez la complexité de vos mots de passe : l’ANSSI recommande des mots de passe composés de 12 caractères minimum, mêlant majuscules, minuscules, chiffres et caractères spéciaux. France Num conseille d’aller jusqu’à 17 caractères. N’incluez pas d’informations personnelles dans vos mots de passe, comme des prénoms, votre date de naissance, votre département ou le nom de vos animaux ;Créez des mots de passe différents pour chaque site. Ainsi, un code compromis ne le sera pas sur l’ensemble des plateformes utilisées ;Changez-les régulièrement, au moins une fois par an, et à la moindre suspicion ;Activez la double authentification ;
- Ne les divulguez pas. Évitez de noter vos mots de passe sur des post-it ou de les stocker dans les navigateurs (Chrome, Edge, Firefox…). Des gestionnaires de mots de passe permettent de gérer l’ensemble de ses identifiants et mots de passe dans un coffre-fort, évitant à l’utilisateur de mémoriser tous ses codes. Il existe de nombreuses solutions, gratuites ou payantes : Bitwarder, KeePass, NordPass, 1Password, Dashlane, etc.
- Pour les entreprises :
- Sensibilisez vos collaborateurs : la sensibilisation demeure la clé de voûte de la sécurité des données ;Vérifiez les mots de passe faibles avec des scans réguliers de l’Active Directory et le blocage des termes de base ;Mettez en place des KPI de suivi des demandes de réinitialisation des mots de passe par les utilisateurs : une augmentation soudaine du nombre d’échecs de connexion ou de tentatives de réinitialisation peut être le signe d’une cyberattaque.
- Surveillez vos comptes à privilèges et assurez-vous de leur bonne sécurisation (mots de passe longs et complexes recommandés).
Les mots de passe voués à disparaître ?
Si les mots de passe sont aujourd’hui un moyen de protection systématique de nos données en ligne, ils sont voués à disparaître dans un paysage numérique en constante évolution. L’informatique quantique pourrait notamment entraîner une révolution de l’authentification. En effet, la puissance de calcul des ordinateurs quantique permet de déchiffrer des clés de chiffrement courantes dans nos systèmes. Dès 2019, les chercheurs Craig Gidney (Google) et Martin Ekerå (KTH Royal Institute of Technology) démontraient qu’un ordinateur quantique pouvait casser un chiffrement RSA sur 2048 bits en à peine 8 heures. Le temps nécessaire pour compromettre des mots de passe après une attaque par force brute pourrait ainsi se réduire considérablement.
Il existe déjà plusieurs alternatives aux mots de passe. L’authentification multifacteurs offre une sécurité supplémentaire. Les passkeys deviennent également de plus en plus populaires, permettant de se connecter à un service sans utiliser de mot de passe. Ils s’appuient sur une donnée biométrique (empreinte digitale, reconnaissance faciale) ou sur le code de verrouillage d’écran de l’appareil utilisé. Ce double usage d’une clé publique et d’une clé privée directement générée en local augmente le niveau de sécurité tout en maintenant une facilité d’usage.
Enfin, des solutions utilisant des clés de sécurité physique, externalisant ainsi l’authentification, ou un système d’identité numérique inclus dans un portefeuille numérique (wallet) sont de plus en plus déployées.