Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise
Particuliers, ne rigolez pas trop…
Le 24 février 2020 à 13h56
7 min
Internet
Internet
Yubico, fabricant des clés de sécurité YubiKey, propose un état des lieux de la sécurité informatique dans le monde professionnel. Un constat donne le ton : 50 % des professionnels et 39 % des utilisateurs réutilisent leurs mots de passe. Prêchant pour sa paroisse, le constructeur regrette que la double authentification ne soit pas plus présente.
C’est la seconde fois que Yubico publie son rapport State of Password and Authentication Security Behaviors, en partenariat avec le Ponemon Institute. Il dresse un état des lieux de la sécurité (au sens large du terme) en entreprise.
Il s'appuie sur les retours de 2 507 personnes se présentant comme des « professionnels de l'informatique et de la sécurité » – 593 aux États-Unis, 413 au Royaume-Uni, 423 en Allemagne, 377 en France, 365 en Suède, 336 en Australie – et aussi de 563 « utilisateurs individuels », d'employés et clients de sociétés.
L'entreprise livre une première conclusion qui a de quoi faire froid dans le dos : « Contrairement à la croyance populaire, les professionnels de la sécurité informatique – auxquels nous nous attendons à ce qu’ils prennent la plus grande précaution en matière de sécurité – ne s’en sortent pas beaucoup mieux que les utilisateurs individuels dans cette étude ».
C’est notamment vrai sur la réutilisation et le partage des mots de passe, des pratiques pourtant à bannir.
Principales sources d’inquiétudes : vie privée et surveillance étatique
L’étude commence par demander aux personnes interrogées comment elles voient les questions de sécurité et de vie privée et leur évolution sur les deux dernières années. Mais « seulement » 58 % des responsables informatiques et 47 % des utilisateurs se disent préoccupés ou très préoccupés par ce sujet. 53 % de ces derniers ne sont donc peu ou pas du tout inquiet, contre 41 % des professionnels. Un chiffre qui reste élevé malgré la multiplication des fuites/failles.
Comment perçoivent-ils leur modèle de menace ? Pour 61 % des professionnels, la surveillance étatique arrive en tête des principales sources d’inquiétude concernant la confidentialité et la sécurité. Pour les utilisateurs individuels, c’est le partage des informations personnelles avec des tiers – et notamment les données médicales – qui est en tête (57 %).
Pour les deux catégories, l’utilisation toujours plus intensive des terminaux mobiles est un sujet de préoccupation.
Le rêve d’une sécurité totale sans le moindre effort
Le rapport explique que la plupart des utilisateurs souhaitent obtenir « la meilleure sécurité en ligne, mais ne veulent pas être ennuyés » avec cette problématique. Comprendre en creux qu’ils veulent que leurs données soient aussi sécurisées que possible, pour un faible coût, avec une authentification rapide et aussi simple que possible.
Bref, autant dire que résoudre la quadrature du cercle relèverait presque du jeu d’enfant à côté des attentes des utilisateurs. C’est en plus oublier un peu vite qu’en matière de sécurité c’est toujours le maillon le plus faible qui définit la robustesse de la chaîne : si vous partagez vos mots de passe, les réutilisez, en choisissez des trop faibles, oubliez de les changer en cas de risque de fuites ou autre, vous êtes alors un maillon faible.
Une société peut bien mettre en place des pratiques fortes, si les utilisateurs décident de n'en faire qu'à leur tête, rien ne changera et ils ne seront pas correctement protégés. Même avec les conséquences sous les yeux, certains ont donc du mal à changer leurs habitudes. Être piraté n’est ainsi pas toujours synonyme de prise de conscience, aussi bien chez les professionnels que les utilisateurs individuels, selon l’étude.
Après avoir dû faire face à une telle situation, 65 % « seulement » des professionnels ont procédé à des changements sur leur manière de gérer leur sécurité en ligne, contre 76 % pour les utilisateurs. Lorsqu’ils revoient leur politique de sécurité, les utilisateurs – employés et clients – en profitent majoritairement pour augmenter la force de leurs mots de passe (61 %) et les changer plus fréquemment (52 %). Seuls 36 % d’entre eux affirment ensuite utiliser un mot de passe unique, tandis que 35 % en profitent pour passer à la double authentification dès que possible.
Les fausses « bonnes idées » : utiliser sa mémoire et partager son mot de passe
Selon le rapport, 28 à 31 % des personnes interrogées utilisent un gestionnaire de mots de passe. La majorité – 59 % aussi bien pour les professionnels que les autres utilisateurs – préfère visiblement faire confiance à sa mémoire, avec finalement le risque d’utiliser des mots de passe trop courts, faciles à deviner ou tous dans la même veine.
Si certains y arrivent certainement bien, ce n’est pas donné à tout le monde et nécessite une certaine gymnastique pour y arriver. Pire, entre 41 et 42 % écrivent leurs mots de passe sur des post-its. Ils sont enfin 29 à 30 % à utiliser une… feuille de calcul. 66 % des professionnels reconnaissent partager leurs mots de passe avec des collègues, dont 16 % de manière fréquente et 33 % de temps en temps. Sur les autres utilisateurs (employés et clients), ce n’est pas franchement mieux avec respectivement 64 %, 14 % et 37 %.
50 % réutilisent un même mot de passe, 40 % ont la double authentification
Le rapport de Yubico évoque un autre sujet tout aussi important : 50 % des professionnels et 54 % des utilisateurs reconnaissent réutiliser le même mot de passe sur plusieurs comptes, une pratique pourtant à bannir pour rappel.
Une réponse qui a de quoi inquiéter en 2020, surtout après les multiples fuites de données sensibles de ces dernières années. Car en cas de problème sur un compte, les pirates peuvent se servir des données récupérées pour se connecter à d’autres services. Ils ne sont également que 36 et 40 % à utiliser la double authentification, alors que cette technique permet d'ajouter une couche de protection supplémentaire, ce qui est toujours bon à prendre.
Lorsqu'elle l'est, c’est principalement pour les messageries (53 à 55 % des personnes interrogées), suivi par les boutiques en ligne (51 à 55 %), les réseaux sociaux (47/48 %) et les services bancaires (43 %). On tombe ensuite à moins de 30 % pour les services en ligne, l’identification sur un ordinateur, les cryptomonnaie (!), les jeux et les outils pour développeurs.
Pour les utilisateurs, deux points reviennent pour tenter de justifier que la double authentification n’est pas pratique au quotidien : une « perturbation » dans le travail et le fait qu’il soit « irritant de devoir copier des codes d'une application ou d’appareil à un autre ». Yubico en profite bien entendu pour mettre en avant ses YubiKey en affirmant que 52 à 56 % des sondés pensent que la sécurité informatique serait renforcée avec une double authentification passant par un élément matériel. C'est d'une certaine manière le sens de l'histoire, avec l'intégration plus forte des standards FIDO2 et WebAuthn.
Principaux vecteurs d’attaques (en France) : phishing et rançongiciels
Enfin, 51 % des professionnels de l’informatique indiquent que leur entreprise a été victime de phishing, contre 16 % pour les rançongiciels, 12 % de vols d’identifiants et 8 % d’une attaque de type homme du milieu (plusieurs réponses étaient possibles sur cette partie du sondage). 32 % affirment par contre que leur société n’a pas subi une de ces attaques, ou bien a préféré passer cet épisode sous silence.
Parmi les pays participants à cette étude, la France arrive en tête niveau phishing avec 57 % des sondés ayant été confronté à une telle situation, mais aussi sur le vol d’identifiants (17 %). Nous sommes en seconde position sur la question des rançongiciels (17 % également), derrière les États-Unis (21 %) cette fois-ci.
Concernant les rançongiciels, ce n’est pas Bouygues Construction qui dira le contraire avec deux cyberattaques du genre en l’espace d’un an, la dernière datant de fin janvier. Sur l’année 2019, l’ANSSI est ainsi intervenue pas moins de 69 fois en France et l’année 2020 commence sur les chapeaux de roues avec Bouygues et la région Grand Est.
Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise
-
Principales sources d’inquiétudes : vie privée et surveillance étatique
-
Le rêve d’une sécurité totale sans le moindre effort
-
Les fausses « bonnes idées » : utiliser sa mémoire et partager son mot de passe
-
50 % réutilisent un même mot de passe, 40 % ont la double authentification
-
Principaux vecteurs d’attaques (en France) : phishing et rançongiciels
Commentaires (39)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 24/02/2020 à 14h09
Donc en gros, il faut durcir les mots de passe mais les principales attaques sont le fishing et les rançongiciels (qui n’ont rien à voir avec les mots de passe).
Le 24/02/2020 à 14h10
Le phising sert à récupérer quoi en général ? " />
Le 24/02/2020 à 14h11
faut dire qu’entre les mdp qui expirent à des périodes différentes, la poussée du SSO mais pas vraiment parce qu’il reste toujours un vieux machin à part ou un système séparé (ex messagerie vs mail vs autres applis) on a pas envie de s’ennuyer non plus " />
pour le coup la biométrique serait plus fluide je pense " />
Le 24/02/2020 à 14h19
Chez nous, on a un mot de passe Windows AD / Office 365 (avec la synchro) qui expire tous les 60 jours, sinon, le reste des mots de passe est dans un Bitwarden local avec une session pour chaque personne, et c’est pratique justement pour le partage de mot de passe.
Le 24/02/2020 à 14h20
Bah, Yubiko qui parle des mots de passe texte, ce n’est pas un peu gonflé ? :-)
Leur business c’est bien d’utiliser leurs produits plutôt que des mots de passe, donc même s’il y a surement du vrai dans leur rapport, ce n’est clairement pas l’acteur qu’il faut écouter. Ça serait comme écouter Verisure parler des cambriolages et des serrures traditionnelles ^^.
Le 24/02/2020 à 14h20
Et en quoi le durcissement des mots de passe empêche le fishing " />
Le 24/02/2020 à 14h23
La biométrie d’une personne étant difficilement dissimulable, et non révocable, elle est un bien piètre moyen de sécurisation.
Le 24/02/2020 à 14h25
Le 24/02/2020 à 14h36
Le but du phishing est de récupérer un mot de passe….
Le 24/02/2020 à 14h37
Et donc : si le mot de passe est très complexe le fishing ne marche pas ?
Le 24/02/2020 à 14h38
Forcer le changement régulier de mot de passe tout les 36 du mois est peut être la cause du “postit-age” " />
Le 24/02/2020 à 14h46
Mea culpa, j’avais compris dans ton commentaire initial que phishing et ransomwares n’ont rien à voir avec les mots de passe (les deux, pas uniquement les rw).
Le 24/02/2020 à 14h48
Le 24/02/2020 à 14h49
Le 24/02/2020 à 14h50
Tu as raison j’aurais dû préciser “(…) avec la faiblesse des mots de passe”
Le titre de l’article c’est :
Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise
Et la conclusion :
Principaux vecteurs d’attaques (en France) : phishing et rançongiciels
D’où mon interrogation
Le 24/02/2020 à 14h58
Le 24/02/2020 à 15h01
le 2FA, la fédération, l’esso, MFA, OTP, les certificats, la biométrie, les keepass, …
Y’a 40 façons de faire pour sécuriser, tout ça mais ça coute du temps, de l’argent et le support par tous les éditeurs de la même solution…
Le 24/02/2020 à 15h09
Merci pour l’article, c’est le problème que je rencontre avec mes collègues dans l’entreprise avec surtout la multiplication des comptes/mdp.
Nous devons nous connecter plusieurs fois par jour à différentes applications/sites web avec des comptes différents et une sécurité différente sur les mots de passes (Parfois 6 caractères, 8 caractères, majuscules, caractère spécial….)
Résultat : Tout le monde note les accès sur du papier ou classeur excel comme indiqué dans l’article…
Le 24/02/2020 à 15h18
L’idéal selon moi serait d’avoir 2 “clés” : une qui t’identifie et une qui t’authentifie. Le reste c’est le serveur/logiciel qui te laisse accès ou qui te dégage. Bien sur ne pas avoir les 2 clés sur le même trousseau…
Le 24/02/2020 à 15h30
" />
je pensais plus à un appairage avec smartphone ou watch, comme ce que permet macOS. Mais effectivement si c’est compromis une fois, impossible de le modifier.
Le 24/02/2020 à 15h43
Keepass est ton meilleur allié!!
Le 24/02/2020 à 15h58
Des mot de passe imprimé sur une feuille sans obligation d’en changer trop souvent ca me semble pas trop mal.
La sécurité physique de l’entreprise pouvant être facilement élevé et devrait l’être.
Ne pas avoir à le changer trop souvent ca évite également d’avoir un pass avec la date du jour/mois dedans…
Parfois à vouloir trop sécurisé c’est ce qui créé les points faibles.
Le 24/02/2020 à 16h41
au taf, on n’a pas le droit au post-it ni au calepin pour noter nos mdp (c’est pas BPF), du coup ils nous ont mis a dispo keepass
mais bon, reste que j’ai un mot de passe pour windows, un pour le logiciel de saisie des données, un pour un marque d’HPLC , l’autre marque ayant la version plus récente du logiciel et c’est mon login windows, un pour les dissolutest, un pour un autre appareil de dissolution, l’infrarouge c’est via mon login windows…
c’est un vrai bordel, et c’est mini 8⁄10 chara + mini/maj/chiffres/spéciaux (au moins 3 des 4) " />
quand tout sera centralisé avec nos ID windows, ça sera un peu plus simple, mais pour le moment c’est pas le cas :/
Le 24/02/2020 à 18h06
Le 24/02/2020 à 18h46
Le 24/02/2020 à 18h47
Le 24/02/2020 à 19h09
+1 pour la bêtise de forcer à changer de mot de passe (surtout de façon trop régulière…)
L’entreprise où je bosse c’est encore pire :
…et on multiplie ça par 2 avec le mot de passe de session administrateur pour mes travaux, et on ajoute à ça que le SSO ne fonctionne pas du fait qu’il faut être sur le réseau de la boite et je suis systématiquement à distance / VPN…
Résultat prévisible : mot de passe hyper simple, avec uniquement 2 lettres qui changent, tous les 2 mois.
Histoire de faire les choses de façon propre, sur mon post-it (collé au PC " />) je ne note que les 2 caractères qui changent, justement.
Le 24/02/2020 à 19h16
Le 24/02/2020 à 19h17
Perdu..!
Le 24/02/2020 à 19h31
Le 24/02/2020 à 20h10
Le 24/02/2020 à 20h44
Le 24/02/2020 à 22h36
Je n’aurais pas mieux dit !
Le 25/02/2020 à 06h55
Le 25/02/2020 à 07h47
Le 25/02/2020 à 08h37
Un effet de bord dont on ne parle pas trop mais qui a du poids c’est la charge sur le Help desk
Il y a quelques années en arrivant dans une nouvelle boite, j’ai fait changer la politique de MDP de 1 mois à 186 jours.
Résultat : 300 appels par mois au help desk en moins
Le patron du help desk m’a offert une bouteille de Glenmorangie
" />
Le 25/02/2020 à 09h09
Le 25/02/2020 à 18h27
En effet… mais maintenant que vous le dites….. HUUUUUM…
Faudrait que j’y pense à la prochaine modification de mot de passe, mais quelque chose me dit qu’ils stockent en clair nos mot de passe bidons ..!
Sachant qu’ils veulent au moins 2 caractères de différents des 6 derniers mots de passe… Punaise et ça se dit entreprise du CaC40…
Le 26/02/2020 à 06h27
T’es pas obligé de stocker en clair pour obtenir le mot de passe pour faire une comparaison. N’importe quel outil de stockage de secrets type “Vault” a toute sa base chiffrée, mais derrière il est capable de ressortir l’info en clair au moment de l’utiliser puisque c’est là son but.
C’est juste que le gestionnaire dispose d’une clé lui permettant de déchiffrer le mot de passe lorsqu’il en a besoin. Clé qui est bien évidemment, en principe, inaccessible ou extrêmement restreinte.
Exemple : Active Directory 2003 (l’annuaire d’entreprise de Microsoft) chiffrait les mots de passe avec un couple de clé privée/publique il y a déjà bien longtemps tout en étant capable de gérer la complexité et la comparaison avec l’ancien.