Discussion :

[Anthony]

90 % des travailleurs réutilisent leurs mots de passe malgré les protocoles de sécurité, 54 % les stockent dans des documents sur leurs systèmes, et 45 % essaient de s'en souvenir en les mémorisant

Les comptes professionnels compromis par des acteurs malveillants peuvent être dangereux, car ils peuvent permettre aux pirates d'accéder à l'ensemble du système de l'entreprise. La réutilisation répétée d'anciens mots de passe peut faciliter la compromission des comptes, mais malgré cela, environ 90 % des travailleurs ont admis avoir réutilisé des mots de passe de comptes.

C'est ce qui ressort d'un rapport publié par Bitwarden, qui a mené une enquête auprès de 800 professionnels de l'informatique de haut niveau au Royaume-Uni et aux États-Unis. 84 % des personnes ayant répondu à cette enquête ont déclaré utiliser un gestionnaire de mots de passe, mais que de nombreuses méthodes peu sûres sont encore utilisées. 54 % des personnes stockent leurs mots de passe dans des documents sur leurs systèmes, et 45 % essaient de s'en souvenir en les mémorisant, ce qui peut rendre leurs systèmes beaucoup moins sûrs qu'ils ne l'auraient été autrement.

Le partage des mots de passe est nécessaire pour la plupart des entreprises afin que les travailleurs puissent collaborer et utiliser des comptes communs, mais les moyens par lesquels ces mots de passe sont partagés sont très risqués. 41 % des personnes s'envoient apparemment des mots de passe de comptes par courrier électronique, et 38 % utilisent des documents en ligne partagés qui contiennent les mots de passe. Ces modes de partage des mots de passe peuvent être facilement interceptés par des acteurs malveillants, et ils peuvent mettre en danger les données sensibles et la propriété intellectuelle d'une entreprise.

Il y a également de bonnes nouvelles à tirer de ce rapport, notamment que le nombre de personnes utilisant l'authentification multifactorielle est passé de 88 % l'année dernière à 92 %. L'hygiène des mots de passe est un véritable problème dans la culture du lieu de travail, certaines erreurs concernent l'utilisation de mots de passe trop simples tels que des séquences numériques ou des phrases courantes. L'utilisation d'un même mot de passe pour de nombreux comptes est également une grave erreur, tout comme le fait de partager ces mots de passe avec des personnes qui n'ont pas besoin d'accéder à ces comptes, comme des amis ou des membres de la famille.

Source : Bitwarden

Et vous ?

Trouvez-vous cette étude pertinente ?
Comment gérez-vous vos mots de passe au sein de votre organisation ?

Voir aussi

59 % des employés utilisent encore leur identifiant et leur mot de passe pour s'authentifier

Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?

« 123456 » est encore le mot de passe le plus utilisé en France selon l'enquête « Top 200 des MdP les plus utilisés »

[walfrat]

En quoi mémoriser son mot de passe est moins sur que d'utiliser un gestionnaire de mot de passe ? Sur l'aspect sécurité j'entends.

Si tu le perd, tu le perd, mais au moins ça va être difficile de te le voler dans ta tête.

Perso je suis dans la catégorie : reuse (mais pas un seul mdp) + mémoire, je n'arrive pas à accrocher à l'idée de protéger des mots de passe par .. un mot de passe et je n'ai tout simplement pas une tête assez bonne pour retenir les 50 mdp différents qu'il me faudrait retenir pour tout les trucs ou j'ai du faire un compte.

[smarties]

Si on combine les mots de passe perso (mails, banque, administratif, assurance, réseaux sociaux, boutiques en lignes, ...) et pro (OS, ERP, portail client et/ou fournisseur, application métier, ...) à retenir, ça fait beaucoup.

Donc je mutualise mes mots de passe et je fais des variantes... du coup parfois il me faut plus de 5 essais pour me connecter à quelque chose que j'utilise rarement.

[Fagus]

A mon boulot il y a une politique de mots de passe assez étrange. A la base tout le monde a un MDP par défaut attribué qui est azerty avec trois chiffres évidents... et un autre composé de son nom prénom. .. puis on est sensé le personnaliser au bout d'un certain temps . Ensuite, ce même mot de passe est propagé partout, mais à cause des logiciels héritage parfois il est tronqué, parfois c'est le login qui est tronqué, parfois il faut tout saisir en majuscules et tronquer... et il faut le changer de temps en temps et ça se propage sur tous les logiciels mais pas en même temps et toujours avec les troncatures variables...
Autant dire que à peu près tous les gens normaux sont perdus et n'arrivent pas à utiliser les logiciels métiers ou errent dans le service jusqu'à trouver quelqu'un qui veut bien faire tourner son code. Si la personne appelle le SAV informatique et que c'est une femme elle a droit a des moqueries sexistes inimaginables à notre époque et parfois une aide mais aucune en général. (C'est beau hein ? C'est payé par vos impôts ).

Pour ma part c'est pas bien, mais comme les mots de passe sont très pénibles à saisir à cause de la lenteur du système et de la complexité des troncatures (le système peut sauter des lettres frappées les mauvais jours...), je lance un gestionnaire de mots de passe perso et de scripts perso en un binaire unique depuis un CD et je retire le CD... comme ça le binaire qui n'a pas de GUI lance des script et des pass selon des commandes claviers improbables et se termine avec la session ou l'inactivité, sans traces. ..


Chez moi, truecrypt plus gestionnaire offline plus 2FA plus yubikey, et aucune redondance de pass et des comptes non liés. .. c'est un peu mieux qu'au boulot je crois.

[Invité]

Bonjour

90 % des travailleurs réutilisent leurs mots de passe malgré les protocoles de sécurité, 54 % les stockent dans des documents sur leurs systèmes, et 45 % essaient de s'en souvenir en les mémorisant

Trouvez-vous cette étude pertinente ?

Oh oui tout à fait !

Comment gérez-vous vos mots de passe au sein de votre organisation ?

Certains utilisent les gestionnaires de mots de passes de Google Chrome / Edge / Firefox. D'autres stockent dans des Excel / Google Sheet . Aussi du Onenote / Google Keep

Pour la question de la reutilisation , forcement quand l'AD / LDAP permet d'accéder au compte machine / Windows / email / RSE ... on "reutilise" le même mdp ^^

S'en souvenir , à minima celui de la session Windows (le post it est planqué sous le clavier ou la souris

[d_d_v]

Personnellement, j'utilise 3 mots mots de passe de "base" qui servent de préfixes aux vrais mots de passe. Un mot de passe faible (pour les sites dont le niveau de sécurité m'importe peu), un moyen, un fort.
Je combine ce mot de passe avec le nom du site, dont je change une ou deux lettres par une autre, via un mini algorithme tout simple, et j'écris cette combinaison codée dans un fichier ou un papier en clair.
Par exemple (exemple de codage totalement fictif ) "<faible><Site>666,e:$"
Si mot de passe faible (<faible>) = 'gaga', <Site> = 'developpez' (nom de domaine sans le .net), et je remplace 'e' par '$', ça donne gagaD$v$lopp$z666
A chacun de faire ses propres systèmes de codage.
Et autant je me fiche un peu qu'on me pirate mon compte developpez.net, c'est une toute autre histoire pour mon compte mail.

[Jade Emy]

La réutilisation des mots de passe est endémique : près de la moitié des connexions d'utilisateurs observées sont compromises, à cause de mots de passe réutilisés sur plusieurs comptes malgré la sensibilisation

La réutilisation des mots de passe est endémique : près de la moitié des connexions d'utilisateurs observées sont compromises, car malgré une sensibilisation croissante à la sécurité en ligne, les utilisateurs continuent de réutiliser leurs mots de passe sur plusieurs comptes. Selon un rapport de Cloudflare, 41 % des connexions réussies sur des sites web protégés par Cloudflare impliquent des mots de passe compromis.

L'accès à des contenus privés en ligne, qu'il s'agisse de consulter son courrier électronique ou de regarder sa série préférée, commence presque toujours par une étape de "connexion". Sous cette tâche quotidienne se cache une erreur humaine très répandue qui n'est toujours pas résolue : la réutilisation des mots de passe. De nombreux utilisateurs recyclent leurs mots de passe sur plusieurs services, ce qui crée un effet d'entraînement lorsque leurs informations d'identification sont divulguées.

En 2022, un rapport avait révélé que 90 % des travailleurs interrogés lors d'une enquête réutilisent leurs mots de passe malgré les protocoles de sécurité des entreprises. Pourtant, cette pratique est dangereuse, car les comptes professionnels compromis par des acteurs malveillants peuvent permettre aux pirates d'accéder à l'ensemble du système de l'entreprise.

Plus récemment, Cloudflare a publié un rapport qui révèle que malgré une sensibilisation croissante à la sécurité en ligne, les utilisateurs continuent de réutiliser leurs mots de passe sur plusieurs comptes. Sur la base du trafic observé par Cloudflare entre septembre et novembre 2024, 41 % des connexions réussies sur des sites web protégés par Cloudflare impliquent des mots de passe compromis.

Le rapport explore l'impact généralisé de la réutilisation des mots de passe, en se concentrant sur la façon dont elle affecte les systèmes de gestion de contenu (CMS) populaires, le comportement des robots par rapport aux humains dans les tentatives de connexion, et la façon dont les attaquants exploitent les informations d'identification volées pour prendre le contrôle des comptes à l'échelle.

Fait intéressant, un rapport de 2023 s'était déjà penché sur les mots de passe en se concentrant sur leurs solidités. Le rapport avait notamment montré que l'utilisation de mots de passe faibles reste largement répandue parmi les internautes du monde entier malgré les sensibilisations des experts en cybersécurité. Le pire mot de passe le plus utilisé dans le monde en 2023 était de loin "123456". Rien qu'en France, le rapport a compté plus de 86 000 entrées de ce mot de passe.

En outre, presque la totalité des dix premiers mots de passe les plus utilisés dans le monde peut être déchiffrée en moins d'une seconde à l'aide de simples outils de force brute. Toujours en France, les mots de passe les plus fréquents en 2023 comprenaient également : "motdepasse", "marseille", "azerty", "admin", etc. Ces différents rapports devraient permettre à la majorité des utilisateurs de repenser les pratiques en matière de mots de passe.

Présentation du rapport de Cloudflare

Dans le cadre de son offre de sécurité des applications, Cloudflare propose une fonctionnalité gratuite qui vérifie si un mot de passe a été divulgué lors d'une violation de données connue d'un autre service ou d'une autre application sur Internet. Lorsque de ces vérifications, Cloudflare affirme ne pas accéder aux mots de passe en clair des utilisateurs finaux et ne les stocke pas.

Ils auraient mis en place un service de vérification des informations d'identification qui préserve la vie privée et protège les utilisateurs des informations d'identification compromises. Les mots de passe sont hachés, c'est-à-dire convertis en une chaîne aléatoire de caractères à l'aide d'un algorithme de chiffrement, afin de les comparer à une base de données d'identifiants divulgués. Cela permet non seulement d'avertir les propriétaires de sites que les informations d'identification de leurs utilisateurs finaux peuvent être compromises, mais aussi de réinitialiser le mot de passe ou d'activer le MFA.

Ces protections aident à prévenir les attaques qui utilisent des tentatives automatisées pour deviner des informations, comme les noms d'utilisateur et les mots de passe, afin d'accéder à un système ou à un réseau.

L'analyse de données du rapport de Cloudflare se concentrait donc sur le trafic des propriétés Internet sur ce plan gratuit, qui inclut la détection des fuites d'informations d'identification en tant que fonctionnalité intégrée. Les fuites d'informations d'identification désignent les noms d'utilisateur et les mots de passe exposés lors de violations de données connues ou de vidages d'informations d'identification.

Pour ce rapport, l'analyse s'est concentré spécifiquement sur les fuites de mots de passe. Avec 30 millions de propriétés Internet, soit environ 20 % du web, derrière Cloudflare, cette analyse fournit des informations significatives. Les données reflètent principalement les tendances observées après le lancement du système de détection pendant la semaine des anniversaires en septembre 2024.

Près de 41 % des connexions sont à risque

L'un des plus grands défis de l'authentification est de distinguer les utilisateurs humains légitimes des acteurs malveillants. Pour comprendre le comportement humain, l'analyse s'est concentré sur les tentatives de connexion réussies (celles qui renvoient un code d'état 200 OK), car elles fournissent l'indication la plus claire de l'activité de l'utilisateur et du risque réel pour le compte. Les données révèlent qu'environ 41 % des tentatives d'authentification humaine réussies impliquent une fuite d'informations d'identification.

Malgré une sensibilisation croissante à la sécurité en ligne, une grande partie des utilisateurs continuent de réutiliser leurs mots de passe sur plusieurs comptes. Selon une étude récente de Forbes, les utilisateurs réutilisent en moyenne leur mot de passe sur quatre comptes différents. Même après des brèches importantes, de nombreuses personnes ne modifient pas leurs mots de passe compromis ou continuent d'utiliser des variantes de ceux-ci sur différents services. Pour ces utilisateurs, la question n'est pas de savoir "si" les attaquants utiliseront leurs mots de passe compromis, mais "quand".

Lorsqu'on inclut dans cette analyse le trafic généré par les bots, le problème des fuites d'informations d'identification devient encore plus évident. Les données révèlent que 52 % de toutes les demandes d'authentification détectées contiennent des fuites de mots de passe trouvés dans la base de données Cloudflare de plus de 15 milliards d'enregistrements, y compris l'ensemble de données de fuites de mots de passe Have I Been Pwned (HIBP).

Ce pourcentage représente des centaines de millions de demandes d'authentification quotidiennes, provenant à la fois de bots et d'humains. Même si toutes les tentatives ne sont pas couronnées de succès, le simple volume de fuites de mots de passe dans le trafic réel illustre à quel point la réutilisation des mots de passe est courante. Un grand nombre de ces informations d'identification divulguées permettent toujours un accès valide, ce qui amplifie le risque de prise de contrôle d'un compte.


Les attaquants utilisent massivement des ensembles de données de mots de passe ayant fait l'objet d'une fuite

Les données indiquent que 95 % des tentatives de connexion impliquant des fuites de mots de passe proviennent de bots, ce qui indique qu'ils font partie d'attaques par bourrage de mots de passe.

Équipés d'informations d'identification volées lors de violations, les bots ciblent systématiquement les sites web à grande échelle, testant des milliers de combinaisons de connexion en quelques secondes.

Les données du réseau Cloudflare révèlent cette tendance, en montrant que les attaques menées par des bots restent alarmantes au fil du temps. Les plateformes populaires telles que WordPress, Joomla et Drupal sont des cibles fréquentes, en raison de leur utilisation répandue et de leurs vulnérabilités exploitables.

Une fois que les bots ont réussi à s'introduire dans un compte, les attaquants réutilisent les mêmes informations d'identification dans d'autres services afin d'élargir leur champ d'action. Ils tentent même parfois d'échapper à la détection en utilisant des tactiques d'évasion sophistiquées, telles que la diffusion des tentatives de connexion sur différentes adresses IP sources ou l'imitation du comportement humain, en essayant de se fondre dans le trafic légitime.

Il en résulte un vecteur de menace constant et automatisé qui défie les mesures de sécurité traditionnelles et exploite le maillon le plus faible : la réutilisation des mots de passe.


Attaques par force brute contre WordPress

Les systèmes de gestion de contenu (CMS) sont utilisés pour créer des sites web et s'appuient souvent sur des plugins d'authentification et de connexion simples. C'est pratique, mais cela en fait aussi des cibles fréquentes d'attaques par bourrage de mots de passe en raison de leur adoption généralisée. WordPress est un système de gestion de contenu très populaire, dont le format de page de connexion est bien connu. C'est pourquoi les sites web construits sur WordPress deviennent souvent des cibles pour les attaquants.

Sur l'ensemble du réseau Cloudflare, WordPress représente une part importante des demandes d'authentification. Cela n'a rien de surprenant compte tenu de sa part de marché. Cependant, ce qui est frappant, c'est le nombre alarmant de connexions réussies à l'aide de mots de passe divulgués, en particulier par des bots.

76 % des tentatives de connexion à l'aide de mots de passe fuités pour des sites web construits sur WordPress sont couronnées de succès. Parmi ces tentatives, 48 % sont le fait de bots. Ce chiffre choquant indique que près de la moitié des connexions réussies sont exécutées par des systèmes non autorisés conçus pour exploiter des informations d'identification volées. Un accès non autorisé réussi est souvent la première étape d'une attaque par prise de contrôle d'un compte (ATO).

Les 52 % restants proviennent d'utilisateurs légitimes qui ne sont pas des robots. Ce chiffre, supérieur à la moyenne de 41 % sur l'ensemble des plateformes, montre à quel point la réutilisation des mots de passe est répandue parmi les utilisateurs réels, ce qui expose leurs comptes à un risque important.

Seules 5 % des tentatives de connexion par mot de passe fuité aboutissent à un refus d'accès.

Ce chiffre est faible par rapport aux tentatives de connexion réussies par des bots, et pourrait être lié à l'absence de mesures de sécurité telles que la limitation du débit ou l'authentification multifactorielle (MFA). Si de telles mesures étaient en place, la proportion de tentatives refusées devrait être plus élevée. Notamment, 90 % de ces demandes rejetées sont le fait de bots, ce qui renforce l'idée que si certaines mesures de sécurité bloquent les connexions automatisées, un grand nombre d'entre elles passent encore à travers les mailles du filet.

La présence écrasante de bots dans cette catégorie indique que des tentatives automatisées d'accès par force brute sont en cours.

Les 19 % de tentatives de connexion restantes relèvent d'autres résultats, tels que les dépassements de délai, les connexions incomplètes ou les utilisateurs qui ont changé leur mot de passe, de sorte qu'elles ne sont ni comptabilisées comme des "succès" directs, ni comme des "refus".

Pour conclure son rapport, Cloudflare a partagé quelques recommandations :

Si vous êtes un utilisateur, commencez par changer les mots de passe réutilisés ou faibles et utilisez des mots de passe uniques et forts pour chaque site Web ou application. Activez l'authentification multifactorielle (MFA) sur tous vos comptes qui la prennent en charge, et commencez à explorer les passkeys comme une alternative plus sûre et résistante au phishing que les mots de passe traditionnels.

Pour les propriétaires de sites web, activez la détection des fuites d'informations d'identification pour surveiller et traiter ces menaces en temps réel et émettre des flux de réinitialisation de mot de passe en cas de correspondance avec une fuite d'informations d'identification.

En outre, activez des fonctions telles que la limitation du débit et les outils de gestion des bots pour minimiser l'impact des attaques automatisées. Auditez les modèles de réutilisation des mots de passe, identifiez les fuites d'informations d'identification dans vos systèmes et appliquez des politiques d'hygiène des mots de passe robustes pour renforcer la sécurité globale.

En adoptant ces mesures, les individus et les organisations peuvent garder une longueur d'avance sur les attaquants et construire des défenses plus solides.

À propos de Cloudflare

Cloudflare est un leader dans le domaine du cloud de connectivité et s'est donné pour mission de contribuer à bâtir un Internet meilleur. Ils fournissent aux entreprises les moyens nécessaires pour rendre leurs collaborateurs, leurs applications et leurs réseaux plus rapides et plus sûrs, partout dans le monde, tout en réduisant la complexité et les coûts. Le cloud de connectivité Cloudflare propose une plateforme unifiée complète en matière de produits et d'outils de développement cloud-native, permettant aux entreprises de bénéficier des mesures de contrôle dont elles ont besoin pour travailler, développer et dynamiser leur activité.


Source : Cloudflare

Et vous ?

Pensez-vous que ce rapport de Cloudflare est crédible ou pertinent ?
Quel est votre avis sur la situation ?

Voir aussi :

Le NIST propose d'interdire certaines des règles les plus contrariantes et les plus absurdes en matière de mot de passe, comme l'utilisation obligatoire de certains caractères ou de questions de sécurité

Cloudflare, acteur clé d'Internet, bloque Pale Moon et d'autres navigateurs, alimentant les inquiétudes des utilisateurs

Les gestionnaires de mots de passe sont les nouvelles cibles des hackers : 25 % des logiciels malveillants ciblent désormais ces magasins de mots de passe, selon une nouvelle étude de Picus Security

[smarties]

Avec le site HaveIBeenPowned je vérifie plusieurs fois par ans les compromissions comme ça ça me permet de supprimer les comptes sur des sites que je n'utilise plus... sinon je change de mot de passe avec quelque chose de nouveau dans mon gestionnaire de mot de passe (KeePassXC).

Mais il devient pénible pour s'inscrire sur le moindre site visité.

OpenID Connect gagnerait à se développer pour réduire les besoin d'inscription en dehors des sites tech.

[JP CASSOU]

Les mots de passe sont un calvaire sans nom, et les outils comme Lastpass et consorts ne sont que des béquilles.
La solution: Puce RFID implantable, ou bien clé USB + code PIN

[kain_tn]

[...]La solution: Puce RFID implantable[...]

J'espère que c'est du troll
Pourquoi pas un plug anal connecté, aussi?