Prudence, car la majorité des mots de passe compromis respecte les exigences réglementaires

Alexandre Boero
Chargé de l'actualité de Clubic
30 mai 2022 à 13h40
32
© Song_about_summer / Shutterstock
© Song_about_summer / Shutterstock

L'étude menée par un spécialiste suédois de l'authentification tend à montrer que la conformité des mots de passe aux recommandations des autorités cyber demeure insuffisante pour échapper à la compromission.

Le fournisseur suédois de solutions de gestion de mots de passe et d'authentification Specops Software vient de publier une étude. Celle-ci porte sur l'analyse de mots de passe qui ont été compromis et qui, pourtant, correspondaient aux normes réglementaires de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et de ses homologues européens. Près de 53 % d'entre eux étaient conformes aux recommandations.

Les recommandations de conformité ne suffisent pas toujours

« La complexité et les recommandations d'organisations officielles peuvent aider à renforcer son mot de passe », reconnaît le spécialiste cyber de Specops Software, Darren James. Il tempère toutefois cette affirmation théorique en affirmant que « cela ne protégera pas votre réseau si ce dernier figure sur la liste des mots de passe compromis que possède un pirate. »

Pour éviter les risques de compromission et de piratage de ses mots de passe, l'ANSSI prodigue plusieurs recommandations spécifiques. Il est ainsi vivement conseillé d'adopter un mot de passe :

  • Qui comporte au moins 1 majuscule ou minuscule ou chiffre ou symbole ;
  • Qui ne contient aucun caractère consécutif (du type « 123 » ou « abc ») ;
  • Qui ne présente pas de mots répétitifs (comme « aaaa ») ;
  • Qui ne comporte pas de modèles de mots-clés (les fameux « azerty » et autres) ;
  • Qui fait état d'une longueur minimale à 9, 12 et 15 caractères pour les trois niveaux.

Une autre recommandation consiste à comparer votre mot de passe, au moment où vous êtes en train de le créer, avec une liste de mots de passe communs ou connus pour être compromis.

Les pirates maîtrisent les codes du mot de passe entre la conformité et la facilité

Sur les 800 millions de mots de passe compromis analysés par Specops, 52,95 % très exactement répondaient aux différentes recommandations que nous venons de lister. Et pourtant, bon nombre d'entre eux se retrouvent sur les listes des mots de passe compromis d'un pirate. Avec le temps, les hackers ont en effet constitué une liste de plus de 2 milliards de mots de passe compromis qui respectent bien les recommandations des différentes autorités cyber du monde, mais qui sont peu originaux et se retrouvent sur la liste des mots de passe les plus communs. Prenons quelques exemples.

La plus banale des illustrations reste le mot de passe « password1 », qui suit toutes les recommandations ou presque : un chiffre en plus des lettres, pas de caractère consécutif, une longueur minimale. Mais écrire « password » suivi d'un « 1 » pour un mot de passe n'a rien de sécurisé ni d'original. Cet exemple est volontairement grossier.

Mais étendons-le à des mots de passe qui respectent la quasi-totalité, si ce n'est toutes les recommandations des autorités :

  • yuantuo2012
  • 1q2w3e4r5t
  • startfinding
  • 111222tianya
  • malcolm01
  • magvai87magvai87
  • 21pink657

Tous ces mots de passe, s'ils vous paraissent peu originaux, sont pourtant conformes à presque toutes les recommandations. Certes, les initiés ont acquis les bons réflexes, en utilisant des gestionnaires de mots de passe, des phrases de passe ou des mots de passe qui ne dépendent que du hasard, et non de ce que le pirate connaît ou peut deviner. Néanmoins, une bonne partie du grand public doit encore être convaincue de l'intérêt de rendre plus complexe ce qui demeure le moyen d'authentification le plus utilisé.

Cela fait désormais plus de 10 ans que le World Password Day nous rappelle chaque année l'importance des bonnes pratiques en matière de mots de passe. Mots de passe forts et uniques, utilisation d'un gestionnaire de mots de passe, ajout de la double authentification sur ses comptes… Autant d'actions à entreprendre pour protéger ses comptes des attaques, notamment brute force. Mais si nous devons insister cette année sur un point, c'est sur l'utilisation d'un gestionnaire de mots de passe : en plus de permettre de créer et gérer facilement des mots de passe complexes, une partie d'entre eux commencent à prendre en charge l'authentification passwordless, à l'aide de clés plutôt qu'un mot de passe. Si cette méthode de connexion n'est pas encore très répandue, son adoption augmente et il est intéressant de commencer à se préparer.
Lire la suite

Source : communiqué de presse Specops

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (32)

norwy
La plupart des recommandations strictes imposent au moins 8 caractères, un chiffre, une majuscule et un caractère spécial.<br /> Les exemples dans l’article ne sont plus vraiment autorisés dans les sites réellement soucieux de la sécurité.
D_Sponge
Et pourquoi ne pas en tirer la conclusion suivante : quelle que soit la « force » de votre mot de passe, il y a 53 % de chances de vous faire pirater votre compte ? Autrement dit, le fait que votre mdp soit balèze n’a aucune incidence sur la sécurité du compte ? Parce qu’il est quand même bien facile de rejeter la faute sur l’utilisateur quand pour plus de la moitié des cas, il n’a rien à voir là-dedans…
Bombing_Basta
Mais grave, les mots de passe donnés en exemple cochent même quasiment toutes les proscriprions données dans le paragraphe :<br /> Pour éviter les risques de compromission et de piratage de ses mots de passe, l’ANSSI prodigue plusieurs recommandations spécifiques. Il est ainsi vivement conseillé d’adopter un mot de passe :<br /> Mention spéciale au 1q2w3e4t5
idhem59
Dans tous les cas il faut partir du principe qu’un mot de passe peut toujours être compromis.<br /> Mais d’où l’intérêt d’assurer un maximum ses arrières en ayant des mots de passes robustes (qui évitent une partie des compromissions, notamment le brute force), mais surtout uniques (pour ne compromettre que le compte en question et non tout le reste en cas de soucis), et d’utiliser le 2FA dès que le compte est sensible.<br /> C’est complètement faux de penser que la complexité n’a aucune incidence sur la sécurité du compte. Ce qui est vrai par contre, c’est que le risque zéro n’existe pas.
norwy
Il y a de multiples soucis et dérives à n’avoir qu’un mot de passe par compte :<br /> Beaucoup de comptes = beaucoup de mots de passe (similaires ou différents ?)<br /> Les gens n’ont pas une mémoire d’éléphant pour se rappeler de tous<br /> Les banques imposent la connaissance des numéros de comptes<br /> Les banques et d’autres services (ex : PIN du smartphone) imposent des suites de chiffres<br /> .<br /> Evidemment, beaucoup proposent de stocker ses mots de passes en les enregistrant directement sur son navigateur web ou autres trousseaux soit disants « 100% sûrs ».<br /> Bref, pas de solution idéale, si ce n’est d’essayer de compartimenter au maximum (par groupe par exemple), mais pas au niveau extrême que tu proposes (1 compte = 1 mot de passe), c’est beaucoup trop !
artik1024
Mais c’est exactement ça! les mots de passe se retrouvent dans la nature suite à un leak de donnée d’un grossite. Si le mot de passe fait 120 caractères, une fois décrypté, ça change rien.<br /> Ce qu’il faut IMPERATIVEMENT expliquer aux utilisateurs, c’est d’utiliser un mot de passe différent par site. Le jour ou un de ses sites est piraté, les hackers n’auront pas accès aux autres.<br /> Moi j’ai une technique par exemple, ou j’utilise toujours les 6 premiers caractères toujours les mêmes, ensuite dedans je met un chiffre qui correspond au nombre de lettres que contient le domaine (8 pour facebook) et la 2ieme lettre du domaine en capitale (A pour facebook), et la fin un caractère spécial.<br /> Ca permet d’avoir un pattern pour pas les oublier, mais d’en avoir un different à chaque fois.
v1rus_2_2
Le 2FA ne sert à pas grand chose, c’est facilement « bypassable ». Il suffit de taper 2FA authentification hacker sur google et t’a plein de truc qui apparait pour contourner cette protection
max6
D’ou l’existence de gestionnaires de mots de passe un seul à retenir et si la base est le locale il faut d’abord avoir accès à la machine pour tenter de le casser.<br /> Mais la sécurité 100 % cela n’existe pas en avoir conscience c’est déjà la renforcer
norwy
Stocker ses mots de passe où que ce soit est la plus grand erreur de sécurité que quelqu’un puisse faire…
Nmut
Ce n’est pas tout à fait vrai. On parle de brut force à partir de dictionnaire qui est grandement facilité par certains usages qui pourtant respectent les règles imposées. Un « bon » mot de passe aléatoire est bien plus robuste, le point faible est ALORS le site ou le phishing (ici encore la « faute » de l’utilisateur, entre guillemets parce tout le monde peut se faire avoir).
KlingonBrain
Le problème, c’est que ces règles que tout le monde répète depuis des années ne sont pas bonnes…<br /> Bien sûr, sur le plan technique, elles ont une influence positive sur la complexité des mots de passe, donc on peut dire qu’elles diminuent le risque de piratage.<br /> Le problème, c’est juste qu’elles ne sont pas du tout la base du principe qui rends un mot de passe sûr. Ce sont juste des « adjuvants ».<br /> Je propose des règles plus simples et plus efficaces.<br /> -Un mot de passe doit être basé sur des caractères TOTALEMENT aléatoires. Aucun mot reconnaissable. Le mieux est d’utiliser un bon générateur.<br /> -Un mot de passe doit être suffisamment long. Pas juste 8 ou 12 caractères, mais plus de 20. Plus long, c’est mieux et ça ne coûte rien.<br /> -Un mot de passe doit absolument être à usage unique, c’est à dire un mot de passe différent par site.<br /> -Attention à ne pas utiliser n’importe quel gestionnaire de mot de passe.<br /> -Pensez à vider votre « presse papier » si vous faites du copier coller.
NumLOCK
« Stocker ses mots de passe où que ce soit est la plus grand erreur de sécurité que quelqu’un puisse faire… »<br /> Ah bon ? selon qui ?
KlingonBrain
Bref, pas de solution idéale, si ce n’est d’essayer de compartimenter au maximum (par groupe par exemple), mais pas au niveau extrême que tu proposes (1 compte = 1 mot de passe), c’est beaucoup trop !<br /> Pourtant, c’est la seule solution que l’on puisse considérer comme réellement sûre.<br /> Bien sûr, vous avez parfaitement raison sur le fait que cela nécessite d’avoir une solution de stockage des mots de passe auquel on puisse faire confiance. Mais il en existe.<br /> Mais si vous essayez d’expliquer à une mamie les techniques de variation de mot de passe, vous verrez que c’est encore plus compliqué.<br /> Stocker ses mots de passe où que ce soit est la plus grand erreur de sécurité que quelqu’un puisse faire…<br /> Sauf que pour la plupart des gens, le cerveau n’a pas la capacité de mémoriser un grand nombre de mots de passe de complexité suffisante.<br /> Sans compter qu’un mot de passe stocké dans notre mémoire peut être intercepté presque aussi facilement que s’il était stocké sur la machine, avec un programme d’interception des frappes clavier.
Elysah
Ce qui est dommage c’est qu’encore beaucoup de sites ou d’applications limitent la longueur des MDP et oui 12 caractères je trouves ça court, un bon kyepass réglé sur tout type de caractères, longueur 20 à 30 serait idéal aujourd’hui.<br /> D’ailleurs vu qu’on peut copier/coller les MDP, peu importe la longueur de celui-ci, vu que normalement on va pas le retenir ni le taper manuellement.
Mel92
Il y a une chose que je ne comprends pas : comment se fait-il qu’une attaque de force brute soit possible ? Normalement, après un petit nombre d’essais infructueux, le compte est bloqué d’une manière ou d’une autre (temporairement par exemple). Je me trompe ?
dredre
Et des sites qui n’accepte toujours pas les caractères spéciaux. Autant dire que sur ces sites j’ai vraiment limité un max les infos personnels. J’en connais même un toujours à 8 caractère max…
Nmut
Oui. Si ce n’est pas le cas, c’est le site qui est fautif, ça fait partie des principes de base, comme le passage par un compte non privilégié pour accéder au compte admin / root=&gt; 2 fois une double authentification.<br /> Le troisième grand principe: il ne FAUT JAMAIS se baser sur les procédures de sécurité des tiers, ils ont forcément aussi des failles.
KlingonBrain
Il y a une chose que je ne comprends pas : comment se fait-il qu’une attaque de force brute soit possible ? Normalement, après un petit nombre d’essais infructueux, le compte est bloqué d’une manière ou d’une autre (temporairement par exemple). Je me trompe ?<br /> Malheureux, ça voudrait dire que quelqu’un aurait fait son boulot correctement.<br /> Imagine que tu est un professionnel qui fait de la programmation.<br /> Un client t’appelle pour avoir un devis, on va l’appeler Monsieur Radin.<br /> L’ambition et l’ego de Monsieur Radin sont inversement proportionnelle à la taille de son microbudget (il faut bien qu’il paye les traites de sa supercar).<br /> Que fait tu :<br /> (1) Le prix le plus bas possible pour remporter l’appel d’offre, ce qui suppose d’enlever tout ce qui n’est pas absolument indispensable et dont le client n’a pas conscience de l’utilité.<br /> (2) Tu met tout ce que tu estime nécessaire pour faire un bon produit… au risque de perdre le boulot parce que le prix est trop cher pour monsieur « poches trouées ».<br /> Donc la normalité en informatique est simple à comprendre. (fuyez).
artik1024
je suis pas en France, donc c’est pas azerty !<br />
Blap
Son petit doigt, mais il est de source sure t’inquiete
tux.le.vrai
oui, d’autant que tu ne l’aurais pas craqué<br /> c’est 1q2w3e4r5t
Bombing_Basta
Ohhh, je suis si triste d’avoir raté une lettre si tu savais…
Khonar_LeBarban
Alors, pour ceux que ça intéresse, il existe une solution, bien meilleure que tous ces passwords managers : le carnet de notes en papier, avec le nom du site et le mot de passe compliqué écrit dedans. Personne du multiverse ne pourra jamais vous le prendre…<br /> De même qu’il suffit d’écrire la clé de son portefeuille de crypto sur un simple papier, il suffit de ne JAMAIS conserver les mots de passe en ligne ou en local sur votre PC.<br /> Sans accès à votre carnet, PERSONNE ne peut casser vos mots de passe (qu’il faut EVIDEMMENT garder très complexe, si vous ne vous pouvez pas vous en souvenir, c’est qu’ils sont bons).<br /> Et pour ceux et celles qui me citerons le cas du gars « qui a perdu 50 millions de dollars en bitoin » parce qu’il a perdu son papier, je répondrai: Ben oui, mais si vous aimez les applis, c’est peut-être que vous chercher un moyen d’oublier que VOUS etes votre pire ennemi en matière de sécurité. Pas facile à assumer…c’est mieux si c’est la faute des autres…
enrico69
"…les mots de passe se retrouvent dans la nature suite à un leak de donnée d’un grossite. Si le mot de passe fait 120 caractères, une fois décrypté, ça change rien…<br /> Si le mot de passe est déchiffrable, il y a aussi un autre problème
Mel92
Donc la normalité en informatique est simple à comprendre. (fuyez).<br /> Si je comprends bien, et c’est aussi ce que disait @Nmut, les mots de passe costaux ne sont indispensables (utiles ?) que pour l’authentification sur des sites médiocres ou codés avec les pieds.<br /> Bon alors soyons concrets : est-ce que je me connecte à des sites ou des services de ce type ? A priori non. Je ne me souviens pas d’un site/service où il soit possible d’utiliser la force brute. Je veux bien cependant admettre que ça existe. Il me semble qu’il vaudrait mieux les dénoncer plutôt que d’embêter les utilisateurs, mais c’est un autre sujet.<br /> Pour répondre à ta remarque, je vais aller un peu plus loin : supposons qu’un site/service soit codé avec les pieds pour faire des économies et qu’il n’y ait pas de protection contre les tentatives multiples de connexion, autorisant ainsi une attaque par force brute. Je prétends que dans ce cas, le serveur n’est pas un foudre de guerre, c’est à dire que tous les moyens ne sont pas mis en œuvre pour qu’il soit hyper rapide. Tant qu’à faire des économies, on ne prend pas des machines au top des performances mondiales.<br /> De ce fait, chaque tentative de connexion prend du temps. Mettons 10μs (c’est déjà rapide et permet des centaines de milliers d’utilisateurs simultanés). Ça fait 100 000 tentatives par seconde. Combien de temps faut-il pour casser un bête mot de passe de 8 lettres toutes en minuscules ? Réponse : 24 jours.<br /> Qui va passer 24 jours pour casser mon mot de passe ? Personne en fait. Je suis donc safe.
Nmut
Ton raisonnement me semble correct, mais il faut tenir compte que justement les dictionnaires (ou les bases de données de mots de passe…) permettent de réduire grandement le nombre d’essais, donc on n’est pas du tout sur tes 24 jours. J’admets cependant que l’attaquant ne va pas passer 3 jours sur le mot de passe de Kevin 14 ans pour un obscure jeu en ligne free to play…
artik1024
Mel92:<br /> Bon alors soyons concrets : est-ce que je me connecte à des sites ou des services de ce type ?<br /> C’est bien le soucis de ces sites, soit ils ont été déchiffrés, soit les mots de passe étaient stockés en clair :S
KlingonBrain
Désolé mais si le « professionnel » est incapable d’utiliser des librairies éprouvées il faudrait qu’il évite de rejeter la faute sur Monsieur Radin.<br /> Le stagiaire qui code le projet gratos en échange de 3 cacahuète dit qu’il s’en fout
KlingonBrain
Si je comprends bien, et c’est aussi ce que disait @Nmut, les mots de passe costaux ne sont indispensables (utiles ?) que pour l’authentification sur des sites médiocres ou codés avec les pieds.<br /> Non, ce n’est pas du tout ce que j’ai dit. Bien au contraire. Relisez mes premiers posts.<br /> Bon alors soyons concrets : est-ce que je me connecte à des sites ou des services de ce type ? A priori non. Je ne me souviens pas d’un site/service où il soit possible d’utiliser la force brute. Je veux bien cependant admettre que ça existe. Il me semble qu’il vaudrait mieux les dénoncer plutôt que d’embêter les utilisateurs, mais c’est un autre sujet.<br /> Pour répondre à ta remarque, je vais aller un peu plus loin : supposons qu’un site/service soit codé avec les pieds pour faire des économies et qu’il n’y ait pas de protection contre les tentatives multiples de connexion, autorisant ainsi une attaque par force brute. Je prétends que dans ce cas, le serveur n’est pas un foudre de guerre, c’est à dire que tous les moyens ne sont pas mis en œuvre pour qu’il soit hyper rapide. Tant qu’à faire des économies, on ne prend pas des machines au top des performances mondiales.<br /> De ce fait, chaque tentative de connexion prend du temps. Mettons 10μs (c’est déjà rapide et permet des centaines de milliers d’utilisateurs simultanés). Ça fait 100 000 tentatives par seconde. Combien de temps faut-il pour casser un bête mot de passe de 8 lettres toutes en minuscules ? Réponse : 24 jours.<br /> Qui va passer 24 jours pour casser mon mot de passe ? Personne en fait. Je suis donc safe.<br /> Oui, sauf que l’attaque « brute force » n’est qu’une des méthode employées par les hackers. Imaginez si par exemple, ils parviennent à obtenir les données de la base, ça changerait complètement votre raisonnement, parce que le temps d’accès devient alors bien plus rapide.<br /> Je vous renvoie à des ouvrages de sécurité informatique pour comprendre la pléthore de méthodes d’attaque que les hackers modernes sont capable d’aligner. Et pourquoi c’est un domaine ou il faut surtout éviter d’avoir trop vite des certitudes.<br /> Utiliser des mots de passe courts ne vous simplifiera pas la vie. Parce qu’il est de toute manière nécéssaire d’utiliser des mots de passe distincts par site/service. Donc vous ne les retiendrez de toute façon pas de tête, même s’ils sont courts.<br /> Et quitte à les stocker, quelle importance qu’ils soient longs ou courts ? Autant leur donner un maximum de longueur, parce que l’excès de prudence, ça ne nuit pas. Et ça donne toujours une marge face aux progrès du matériel et aux éventuels progrès des techniques permettant d’accélérer les calculs pour hacker les mots de passe.
1nsan3
Mel92:<br /> Il y a une chose que je ne comprends pas : comment se fait-il qu’une attaque de force brute soit possible ? Normalement, après un petit nombre d’essais infructueux, le compte est bloqué d’une manière ou d’une autre (temporairement par exemple). Je me trompe ?<br /> Oui en passant par l’interface du site internet, si la base de donnée est piratée, dans ce cas la ils peuvent essayer de trouvé les mot de passe sans aucune restriction<br /> Pour éviter les risques de compromission et de piratage de ses mots de passe, l’ANSSI prodigue plusieurs recommandations spécifiques. Il est ainsi vivement conseillé d’adopter un mot de passe :<br /> Qui comporte au moins 1 majuscule ou minuscule ou chiffre ou symbole ;<br /> Qui ne contient aucun caractère consécutif (du type « 123 » ou « abc ») ;<br /> Qui ne présente pas de mots répétitifs (comme « aaaa ») ;<br /> Qui ne comporte pas de modèles de mots-clés (les fameux « azerty » et autres) ;<br /> Qui fait état d’une longueur minimale à 9, 12 et 15 caractères pour les trois niveaux.<br /> Il faut remettre un peu les choses en place… un mot de passe sécurisé est un mot de passe long, plus il est long, plus il sera sécurisé car la complexité de déchiffrement (car un mot de passe ne se décrypte pas, il se « trouve » car les technologies de chiffrement sont en sens unique, si le site est bien fait du moins…) augmente exponentiellement avec la longueur.<br /> Donc 123456789123456789 est bien plus sécurisé que 1H+k9P$<br /> Dans les recommandations sur la sécurités des mots de passes les moins restrictives il est fortement conseillé d’utilisé un mot de passe de plus de 8 caractères contenant majuscule, minuscule, chiffre et caractère spécial, car pour une attaque par brute-force ça augmente le nombre de possibilités.<br /> Mais si vous voulez un mot de passe sécurisé qui est facile à retenir, vous pouvez bien entendu utilisé des mots du dictionnaires, mais ne pas faire de phrase.<br /> Bleuvoiturestylocaféécranfenetres<br /> Ceci est un mot de passe convenable contrairement à :<br /> jevaismangerchezburgerkingcemidi<br /> Et bien entendu avoir un mot de passe sécurisé ne suffit pas, si le mot de passe est le même partout il suffit de l’utiliser sur un mauvais site pour que celui-ci puisse être réutilisé sur d’autres.<br /> Et bien entendu, il existe pléthores de techniques de piratage qui font que le mot de passe peux être subtilisé. (failles XSS, Clickjacking, Phishing…)<br /> Et pour ce qui est des attaques sur les mots de passes stockés par brute-force, cela dépend de la technologie de chiffrement utilisé, voici un petit tableau qui récapitule le temps de récupération d’un mot de passe selon sa complexité ET la technologie de chiffrement utilisé pour un « petit » monstre de calcul :<br /> terahash-brutalis-hash-combo-100878058-orig1920×1200 319 KB<br />
Voir tous les messages sur le forum