Yubico, fabricant des clés de sécurité YubiKey, propose un état des lieux de la sécurité informatique dans le monde professionnel. Un constat donne le ton : 50 % des professionnels et 39 % des utilisateurs réutilisent leurs mots de passe. Prêchant pour sa paroisse, le constructeur regrette que la double authentification ne soit pas plus présente.

C’est la seconde fois que Yubico publie son rapport State of Password and Authentication Security Behaviors, en partenariat avec le Ponemon Institute. Il dresse un état des lieux de la sécurité (au sens large du terme) en entreprise.

Il s'appuie sur les retours de 2 507 personnes se présentant comme des « professionnels de l'informatique et de la sécurité » – 593 aux États-Unis, 413 au Royaume-Uni, 423 en Allemagne, 377 en France, 365 en Suède, 336 en Australie – et aussi de 563 « utilisateurs individuels », d'employés et clients de sociétés.

L'entreprise livre une première conclusion qui a de quoi faire froid dans le dos : « Contrairement à la croyance populaire, les professionnels de la sécurité informatique – auxquels nous nous attendons à ce qu’ils prennent la plus grande précaution en matière de sécurité – ne s’en sortent pas beaucoup mieux que les utilisateurs individuels dans cette étude ».

C’est notamment vrai sur la réutilisation et le partage des mots de passe, des pratiques pourtant à bannir.

Principales sources d’inquiétudes : vie privée et surveillance étatique

L’étude commence par demander aux personnes interrogées comment elles voient les questions de sécurité et de vie privée et leur évolution sur les deux dernières années.  Mais « seulement » 58 % des responsables informatiques et 47 % des utilisateurs se disent préoccupés ou très préoccupés par ce sujet. 53 % de ces derniers ne sont donc peu ou pas du tout inquiet, contre 41 % des professionnels. Un chiffre qui reste élevé malgré la multiplication des fuites/failles.

Comment perçoivent-ils leur modèle de menace ? Pour 61 % des professionnels, la surveillance étatique arrive en tête des principales sources d’inquiétude concernant la confidentialité et la sécurité. Pour les utilisateurs individuels, c’est le partage des informations personnelles avec des tiers – et notamment les données médicales – qui est en tête (57 %).

Pour les deux catégories, l’utilisation toujours plus intensive des terminaux mobiles est un sujet de préoccupation.

Le rêve d’une sécurité totale sans le moindre effort

Le rapport explique que la plupart des utilisateurs souhaitent obtenir « la meilleure sécurité en ligne, mais ne veulent pas être ennuyés » avec cette problématique. Comprendre en creux qu’ils veulent que leurs données soient aussi sécurisées que possible, pour un faible coût, avec une authentification rapide et aussi simple que possible.

Bref, autant dire que résoudre la quadrature du cercle relèverait presque du jeu d’enfant à côté des attentes des utilisateurs. C’est en plus oublier un peu vite qu’en matière de sécurité c’est toujours le maillon le plus faible qui définit la robustesse de la chaîne : si vous partagez vos mots de passe, les réutilisez, en choisissez des trop faibles, oubliez de les changer en cas de risque de fuites ou autre, vous êtes alors un maillon faible.

Une société peut bien mettre en place des pratiques fortes, si les utilisateurs décident de n'en faire qu'à leur tête, rien ne changera et ils ne seront pas correctement protégés. Même avec les conséquences sous les yeux, certains ont donc du mal à changer leurs habitudes. Être piraté n’est ainsi pas toujours synonyme de prise de conscience, aussi bien chez les professionnels que les utilisateurs individuels, selon l’étude.

Après avoir dû faire face à une telle situation, 65 % « seulement » des professionnels ont procédé à des changements sur leur manière de gérer leur sécurité en ligne, contre 76 % pour les utilisateurs. Lorsqu’ils revoient leur politique de sécurité, les utilisateurs – employés et clients – en profitent majoritairement pour augmenter la force de leurs mots de passe (61 %) et les changer plus fréquemment (52 %). Seuls 36 % d’entre eux affirment ensuite utiliser un mot de passe unique, tandis que 35 % en profitent pour passer à la double authentification dès que possible.

Les fausses « bonnes idées » : utiliser sa mémoire et partager son mot de passe

Selon le rapport, 28 à 31 % des personnes interrogées utilisent un gestionnaire de mots de passe. La majorité – 59 % aussi bien pour les professionnels que les autres utilisateurs – préfère visiblement faire confiance à sa mémoire, avec finalement le risque d’utiliser des mots de passe trop courts, faciles à deviner ou tous dans la même veine.

Si certains y arrivent certainement bien, ce n’est pas donné à tout le monde et nécessite une certaine gymnastique pour y arriver.  Pire, entre 41 et 42 % écrivent leurs mots de passe sur des post-its. Ils sont enfin 29 à 30 % à utiliser une… feuille de calcul. 66 % des professionnels reconnaissent partager leurs mots de passe avec des collègues, dont 16 % de manière fréquente et 33 % de temps en temps. Sur les autres utilisateurs (employés et clients), ce n’est pas franchement mieux avec respectivement 64 %, 14 % et 37 %.

50 % réutilisent un même mot de passe, 40 % ont la double authentification

Le rapport de Yubico évoque un autre sujet tout aussi important : 50 % des professionnels et 54 % des utilisateurs reconnaissent réutiliser le même mot de passe sur plusieurs comptes, une pratique pourtant à bannir pour rappel.

Une réponse qui a de quoi inquiéter en 2020, surtout après les multiples fuites de données sensibles de ces dernières années. Car en cas de problème sur un compte, les pirates peuvent se servir des données récupérées pour se connecter à d’autres services. Ils ne sont également que 36 et 40 % à utiliser la double authentification, alors que cette technique permet d'ajouter une couche de protection supplémentaire, ce qui est toujours bon à prendre. 

Lorsqu'elle l'est, c’est principalement pour les messageries (53 à 55 % des personnes interrogées), suivi par les boutiques en ligne (51 à 55 %), les réseaux sociaux (47/48 %) et les services bancaires (43 %). On tombe ensuite à moins de 30 % pour les services en ligne, l’identification sur un ordinateur, les cryptomonnaie (!), les jeux et les outils pour développeurs.

Pour les utilisateurs, deux points reviennent pour tenter de justifier que la double authentification n’est pas pratique au quotidien : une « perturbation » dans le travail et le fait qu’il soit « irritant de devoir copier des codes d'une application ou d’appareil à un autre ». Yubico en profite bien entendu pour mettre en avant ses YubiKey en affirmant que 52 à 56 % des sondés pensent que la sécurité informatique serait renforcée avec une double authentification passant par un élément matériel. C'est d'une certaine manière le sens de l'histoire, avec l'intégration plus forte des standards FIDO2 et WebAuthn.

Principaux vecteurs d’attaques (en France) : phishing et rançongiciels

Enfin, 51 % des professionnels de l’informatique indiquent que leur entreprise a été victime de phishing, contre 16 % pour les rançongiciels, 12 % de vols d’identifiants et 8 % d’une attaque de type homme du milieu (plusieurs réponses étaient possibles sur cette partie du sondage). 32 % affirment par contre que leur société n’a pas subi une de ces attaques, ou bien a préféré passer cet épisode sous silence.

Parmi les pays participants à cette étude, la France arrive en tête niveau phishing avec 57 % des sondés ayant été confronté à une telle situation, mais aussi sur le vol d’identifiants (17 %). Nous sommes en seconde position sur la question des rançongiciels (17 % également), derrière les États-Unis (21 %) cette fois-ci.

Concernant les rançongiciels, ce n’est pas Bouygues Construction qui dira le contraire avec deux cyberattaques du genre en l’espace d’un an, la dernière datant de fin janvier. Sur l’année 2019, l’ANSSI est ainsi intervenue pas moins de 69 fois en France et l’année 2020 commence sur les chapeaux de roues avec Bouygues et la région Grand Est. 

• Rançongiciels : l’ANSSI dresse un inquiétant état des lieux et des menaces à venir