Archives pour la catégorie Mots de passe

Les mots de passe font souvent la une des actualités. Ils sont au coeur de notre quotidien. Tous nos accès, que ce soit privé ou pour le travaille, sont protégés par un mot de passe.

Les experts encouragent les sites web à autoriser le collage de mot de passe

Constamment sur le site web, les mauvais empêchent de coller nos mots de passe en passant de compte à compte.

Et les raisons qui légitimeraient cet obstacle seraient pour des questions de sécurité.

Cet article va aussi vous intéresser : Les sites ont-ils le droit de bloquer les utilisateurs qui refusent d’accepter leurs cookies ?

Mais le débat a été relancé tout récemment par une organisation gouvernementale du Royaume-Uni chargée d’assister et de fournir des conseils au secteur privé et public dans le domaine de la sécurité informatique, la NCSC (National Cyber Security Center). Cette dernière estime que les débats se fondant sur la sécurité comme raison valable pour interdit le collage de mot de passe sur les site web ne permet pas d’améliorer cette même sécurité dont il ait question. À l’inverse, l’agence gouvernementale britannique déclare clairement une vision tout à fait opposée : « nous pensons qu’empêcher le collage de mot de passe est une mauvaise chose qui réduit la sécurité. Nous pensons que les utilisateurs doivent être autorisés à coller leurs mots de passe dans des formulaires, ce qui contribuerait à améliorer la sécurité ».

 La NCSC pense que cela est totalement exagéré voir dérisoire de penser que coller un mot de passe sur un site web est risquée pour la sécurité de l’usager. Dans un billet de blog, l’agence gouvernementale annonce ouvertement que cette pratique a pour avantage d’améliorer la sécurité des utilisateurs : « personne n’a produit un document, une règle, un RFC (un document de normes techniques pour planifier le fonctionnement d’Internet) ou quoi que ce soit d’autre qui ait permis de commencer cette pratique. Si vous en connaissez un, faites-le-nous savoir en utilisant le formulaire de commentaires ci-dessous. Nous pensons que c’est l’une de ces idées de ‘meilleures pratiques’ qui a un attrait instantané de bon sens. Compte tenu de la situation dans son ensemble aujourd’hui, cela n’a vraiment aucun sens ».

Du coup l’on se demande en quoi cette pratique est une bonne chose. L’agence gouvernementale énonce comme principale raison, le fait que cette pratique peut permettre de réduire la surcharge de mot de passe. Elle déclare à cet effet : « autoriser le collage de mots de passe permet aux formulaires Web de bien fonctionner avec les gestionnaires de mots de passe ». Elle a profité pour mettre en avant l’utilisation des gestionnaires de mot de passe qui offrent plusieurs avantages à l’utilisateur, lors de sa connexion sur différents comptes. Non seulement cela lui permet d’utiliser plusieurs mots de passe au lieu d’en n’utiliser qu’un seul pour ses différentes connexions. Mais il est aussi épargné de certaines frustrations tout en le rendant plus productif. Cependant, les gestionnaires de mot de passe ne sont pas des solutions qui résolvent tous les problèmes : « bien que les gestionnaires de mots de passe puissent offrir une meilleure protection que, par exemple, le fait de conserver vos mots de passe dans un document normal (et donc non protégé) sur votre ordinateur, ils ne sont pas une solution miracle pour résoudre tous les problèmes de mot de passe d’une organisation ».

Cependant, la NCSC propose pour accompagner l’autorisation de collage en deux mots de passe sur les sites un certain scénario permettant de le rendre plus utile. « Autorisez votre site Web à accepter le collage de mots de passe, cela le rend plus sûr », réclame le National Cyber Security Center. Pour ce dernier cela est une bonne pratique en matière informatique. Et elle se justifie.

Tout d’abord, Nous avons certains défenseurs de l’anti collage de mot de passe déclare qu’autoriser la pratique voulue par l’agence britannique et une manière de rendre encore plus vulnérables les sites web et d’autres pages face aux logiciels malveillants, ou cela serait de nature à permettre plus facilement les attaques de par force brute. La NCSC contre cette supposition en déclarant que si cela est possible comme beaucoup d’autres possibilités de cyberattaques dans différents domaines, le risque que des cybercriminels puissent utiliser le collage de mot de passe pour initier des attaques de force brute en est très faible. Et cela est peu pratique pour ces derniers.

D’autres affirment qu’autoriser et le collège de mot de passe pousserait les utilisateurs à les oubliés plus facilement, car ils n’auront plus besoin de les saisir constamment sur leur clavier. Là encore l’agence britannique confirme que le principe est totalement correct. Cependant, les utilisateurs n’ont pas besoin de toujours se souvenir de leurs mots de passe car les services qui demandent ces mots de passe ne sont pas constamment utilisés par ces derniers. Ce qui veut dire que le risque de l’oubli demeure quand même. Et cela n’est pas exclusivement exclusive au collage de mot de passe.

Au final pour la NCSC: « les avantages l’emportent sur les inconvénients, et par beaucoup (…) Plutôt que d’empêcher le collage de mots de passe, aidez vos ordinateurs à éviter d’attraper des virus en premier lieu en suivant nos conseils sur la sécurisation informatique de l’entreprise. Et installez les mises à jour logicielles – la version informatique de manger cinq fruits et légumes par jour. C’est l’un des meilleurs moyens de sécuriser votre ordinateur ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Il faut renforcer les mots de passe

Les cyber-incidents se sont multipliés depuis 2 mois et il y a de fortes chances que cela continue pendant un peu longtemps.

Les pirates informatiques ont le vent en poupe et ciblent pratiquement tout ce qu’ils peuvent toucher, notamment les applications de visioconférence qui sont à la mode de nos jours, les établissements de santé, l’Organisation mondiale de la santé, les entreprises privées dans une partie de leurs salariés sont en télétravail, à cause des mesures de confinement générale.

Cet article va aussi vous intéresser : La sécurité des mots de passe et de l’authentification

Parlant du télétravail l’un des boosters de la cybercriminalité durant ces 2 derniers mois, il faut noter que les entreprises se sont organisées et ont fait de leur mieux pour sécuriser au maximum la collaboration à distance. Mais tout ceci a été une épreuve dans l’ensemble qui a permis de déceler les insuffisances et les qualités des différents réseaux et systèmes d’information. À ce titre, les sociétés de spécialisée dans la sécurité informatique n’ont jamais été autant sollicitées sur une période aussi courte.

Cependant tous les systèmes de sécurité ont a été confrontés à différent difficultés. En particulier, les mots de passe qui ont été mis en danger par l’explosion des campagnes de phishing. Il y a 3 jours de cela c’était la journée mondiale du mot de passe. Une journée qui a permis de ré visiter et de voir dans quelle mesure l’adapter aux besoins et réalités de l’authentification actuelle, qui pendant très longtemps a été la base de la sécurité de connexion. De nos jours,  le mot de passe est fragile face à l’explosion des services numériques, et au développement constant de méthode de cybercriminalité. Il est d’ailleurs beaucoup critiqué. Les spécialistes sont de plus en plus attirés vers des solutions impliquant les technologie d’authentification biométrique. En début de cela, les spécialistes continuent de le renforcer et expliquer qu’il peut toujours être utile, mais avec un usage discipliné. « Les pirates peuvent déchiffrer un mot de passe à 7 caractères en 0,29 milliseconde. De nombreuses entreprises savent aujourd’hui identifier les problèmes relatifs aux mots de passe, mais beaucoup peinent encore à intégrer le fait que la sécurité doit être au cœur du processus de développement logiciel. Car l’une des parties les plus importantes d’une application Web est le mécanisme d’authentification, qui va au-delà de la barrière du mot de passe. Ce mécanisme sécurise le site et crée également des limites pour chaque compte utilisateur. » explique Nabil Bousselham, architecte de solutions chez Veracode.

Ce dernier explique qu’il est possible de mettre à l’abri des attaques toujours en disant le mot de passe, mais pas seulement ça : « Au cours de cette nouvelle décennie axée sur les données, un simple mot de passe statique ne suffira pas. Bien que les entreprises sont conscientes du rôle que joue la sécurité applicative dans la protection des données, les banques et les autres secteurs doivent s’approprier davantage l’authentification des applications pour aider à détecter les accès frauduleux à un compte », declare Nabil Bousselham.

Par conséquent, il faut noter que le mot de passe comme méthode de sécurisation de l’authentification et de la connexion ne suffit plus à lui seul aujourd’hui. Il faudrait alors l’accompagner avec plusieurs mesures, telle que l’authentification à multiples facteurs par exemple. Il conclura en notant ces derniers conseils aux entreprises : « En cette Journée mondiale du Mot de passe, j’appelle donc les entreprises à responsabiliser les développeurs en les formant aux meilleures pratiques en matière de codage sécurisé et en fournissant les bons outils. L’objectif est d’éviter que les utilisateurs ne soient exposés davantage aux violations de données. Par ailleurs, les utilisateurs doivent activer l’authentification multifactorielle afin de réduire le risque de prise de contrôle par les cyber attaquants (…) De manière générale, les mots de passe doivent toujours être uniques, régulièrement renouvelés et stockés dans un coffre-fort sécurisé. Certaines informations d’identification devront être mémorisées. N’hésitez donc à pas constituer un mot de passe long et difficile à deviner ».

Si l’évidence montre qu’aujourd’hui, le mot de passe n’arrive plus à sécuriser convenablement les connexions, il m’en demeure pas moins, que l’on ne peut s’en débarrasser aussi précipitamment. Son utilité demeure et peut renforcer pas différentes méthodes qui aujourd’hui existe bel et bien.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Journée mondiale du mot de passe : doit-on se débarrasser du mot de passe ?

Le mot de passe existe depuis 1960.

Il a fait son temps, il reste et encore bien utile. Cependant, suites à de nombreux problèmes, les fournisseurs de solutions numériques, les spécialistes de la sécurité informatique et même les utilisateurs commencent de plus en plus à se projeter vers d’autre alternatives d’authentifications. Aujourd’hui, avec le développement de l’intelligence artificielle et du machine learning, les méthodes de reconnaissance faciale, la reconnaissance vocale et de lecteurs d’empreintes digitales sont de plus en plus en train de se démocratiser et prendre de l’ampleur. Est-ce suffisant pour inquiéter le mot de passe ? Bien sûr l’avenir nous le dira.

Cet article va aussi vous intéresser : La journée mondiale du mot de passe

Par ailleurs, on ne peut pas nier une forte évolution des systèmes d’authentification biométrique, qui se fondent essentiellement sur les caractéristiques du corps humain, qui sont uniques, pour valider une identité. Leur particularité les rendent un peu plus sûres que le mot de passe classique, c’est un pour cette raison que les spécialistes ont tendance à les privilégier. « Au cours des dernières semaines, nous avons pu constater une augmentation flagrante du volume de fraudes : entre +200 % et +400 % selon les secteurs d’activité. Du social engineering au phishing en passant par la création de faux sites internet, les cybercriminels tirent profit de toute faille de sécurité favorisée par la pandémie actuelle et les changements qu’elle a induits. C’est en particulier la sécurité des mots de passe et PIN, fondée sur un « savoir », qu’ils mettent à rude épreuve. A l’heure où l’activité en ligne bat des records et les entreprises sont contraintes de déployer le télétravail à grande échelle sans compromettre leur sécurité, le recours à la biométrie est plus que jamais nécessaire, explique Brett Beranek, Vice-président et Directeur général de la division Sécurité et Biométrie chez Nuance Communications, une firme spécialisée solution de sécurité. La Journée mondiale du mot de passe est l’occasion d’appeler à une extrême prudence : les fraudeurs sont à l’affût de toute vulnérabilité dans la nouvelle organisation des entreprises, et exploitent les craintes des consommateurs. Gardons cependant à l’esprit que l’innovation émerge souvent de contextes incertains, et que cette période pourrait donc aider à déployer les solutions qui nous protégeront mieux à l’avenir. ».

Pour résumer, le mot de passe en lui-même présente un risque indéniable aujourd’hui. De ce fait, migrer vers les solutions de sécurité à la base biométrique sera une chance de rattraper un peu le retard des spécialistes de la sécurité, sur les cybermalveillants.

Simon Marchand, Chef de la prévention de la fraude au sein de la division Sécurité et Biométrie de la firme Nuance expliquait les principaux inconvénients liés à l’usage continue des mots de passe, démontrant la fiabilité technologie biométrique de l’importance adaptation rapide des habitudes en la matière : « A mesure que les consommateurs vont être confrontés à une activité frauduleuse en plein essor – particulièrement en ces temps de pandémie – ils attendront une meilleure protection de la part des entreprises avec lesquelles ils échangent. Beaucoup d’entre eux prendront même les devants, cessant d’utiliser des services basés sur des méthodes de protection archaïques comme les mots de passe, pour se tourner vers des approches plus innovantes et rassurantes comme les technologies biométriques.

La biométrie a fait ses preuves pour aider à attraper des cybercriminels au moment-même où ils essayent de commettre une fraude, et pour permettre de prévenir cette situation. Plus d’un tiers (36%) des consommateurs se déclarent disposés à collaborer avec des entreprises qui utilisent la biométrie. Un quart (25%) d’entre eux souhaitent même que davantage d’entreprises y aient recours.

Les organisations doivent en permanence travailler à équilibrer une expérience utilisateur fluide et facilement accessible avec de solides mesures de sécurité. Les consommateurs se servent de plus en plus des canaux digitaux, sur lesquels ils attendent un certain niveau de sécurité. En revanche, ils ne souhaitent pas ressentir la moindre frustration en utilisant ces services. Les mots de passe sont non seulement une contrainte pour les utilisateurs, mais ils présentent par essence un degré de protection limité. En cette Journée mondiale du mot de passe, il est grand temps de repenser nos méthodes d’authentification. ».

Pour conclure, plusieurs solutions existent aujourd’hui pour remplacer le mot de passe. Les développements continuent et peu à peu, il ne sera pas étonnant de voir moins d’utilisation de cet ancien protocole de sécurité. Mais pour l’heure, mot de passe demeure.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La journée mondiale du mot de passe

Pour ceux qui ne le savent pas encore, la journée mondiale du mot de passe sera célébré cette année, exactement le 7 mai.

Un événement assez inédit mais dont l’importance n’est pas négligeable. Dans un certain sens cette célébration est quand même ironique dans dans la mesure où depuis un certain moment, plusieurs professionnels, fournisseurs et spécialistes œuvrent activement pour éliminer ce tout premier protocole de sécurisation accès ou de connexion. Alors pourquoi célébrer quelque chose qui est destiné à disparaître, de sorte, pour des chercheurs d’évoquer pour 2021, une journée sans mot de passe.

Cet article va aussi vous intéresser : Créer des mots de passe hyper solides

Il faut mettre en évidence que l’élimination du mot de passe est un concept qui existent depuis longtemps. L’idée est de débarrasser les utilisateurs de certains inconvénients que le mot de passe a malheureusement montré depuis l’explosion des services numériques exigeant sont utilisation. En effet, l’utilisateur peut par exemple oublier son mot de passe, il peut le transmettre à quelqu’un sans faire exprès, ce qui le met grandement danger. Le mot de passe devient de plus en plus facilement piratable, ce qui pousse dorénavant les plateformes à exiger des compositions de mots de passe qui sont toujours plus difficile pour les utilisateurs quant à leur rétention en mémoire. En d’autre terme, cet excellent outil informatique d’antan commence à perdre de sa superbe et il devient de plus en plus dangereux de l’utiliser sans prendre au préalable certaines précautions, tel que l’authentification à multiples facteurs. Ce qui n’est pas fait pour faciliter la vie aux utilisateurs qui dans la majeure partie des cas, négligent les mesures et recommandations. « Les utilisateurs se lassent de créer de nouveaux mots de passe pour différents services et de devoir changer de combinaisons régulièrement, selon les impératifs des politiques de sécurité. Pour réduire la mémorisation, nombreux sont ceux qui finissent par se fier à des mots de passe simplistes, faciles à déchiffrer ou à réutiliser sur plusieurs sites. » expliquait le Directeur de vente France chez Yubico, Laurent Nezot. Dans un tel contexte, les spécialistes jugent les mots de passe comme étant les maillons faibles de la sécurité informatique.

Pour Gartner, à l’horizon 2022, la majorité des entreprises et établissements publics seront en mesure de déployer un ensemble de méthodes d’authentification sans le mot de passe à 50 % de leurs matériels et programmes informatiques. Pour Laurent Nezot, cela ne sera pas si facile que ça. Car même s’il est beaucoup critiqué, le mot de passe est fortement ancré dans les pratiques, il sera donc difficile de changer les habitudes du jour au lendemain. Mais il ne néglige pas pour autant les pratiques à risque concernant l’usage des mots de passe. « Aujourd’hui, les entreprises cherchent des moyens de tirer parti de la digitalisation et de l’usage massif des smartphones afin de fournir des produits et des services améliorés plus rapidement et plus efficacement. Toutefois, les organisations qui poursuivent des plans ambitieux de rationalisation des parcours clients et collaborateurs se trouvent confrontés à des enjeux liés à la protection de leurs ressources. Des technologies et des contrôles de sécurité sont mis en place pour protéger l’entreprise, mais ces mêmes contrôles peuvent frustrer les individus, notamment lorsqu’il est question de mot de passe. » note-t-il

Selon une étude menée par Yubico, 48 % des professionnels du secteur de l’IT, et 39 % de particuliers ont tendance à définir pour plusieurs comptes les mêmes mots de passe. Ce qui les exposes grandement en cas de piratage informatique.  Car il suffit pour la Cybercriminels de découvrir une faille dans l’un de ses comptes. Avec l’explosion des phishing, il faut commencer véritablement à s’inquiéter à propos de ce genre de négligence. « Les faux emails parfaitement imités invitent les utilisateurs à saisir leurs identifiants afin de récupérer ces derniers, puis de prendre le contrôle des comptes et d’accéder aux données personnelles. Ainsi, même les mots de passe les plus complexes ne suffisent plus à empêcher les hackers de s’infiltrer. ».

Si dans le passé le mot de passe a prouvé par son utilité. Aujourd’hui l’évolution de la cybercriminalité, et la multiplication des services numériques rendent son utilisation peu ergonomique et moins sécuritaire. Les entreprises dépensent de plus en plus pour améliorer leurs systèmes informatiques, et le mot de passe fait partie des problèmes qu’elles ont tendance le plus souvent à soulever. Alors, la solution semble évidente, trouver moyen pour se passer du mot de passe n’est plus une simple exigence mais une nécessité pour ces dernières. « Tant que les services informatiques des entreprises devront s’appuyer sur des mots de passe pour l’authentification, les exigences en matière d’assistance seront coûteuses. Sans compter sur une sécurité insuffisante et des expériences frustrantes pour les clients qui sont inévitables. Mots de passe oubliés et volés dégradent leur niveau de satisfaction, réduisent la fidélité à la marque et contribuent à la perte de revenus. Il est donc temps que les entreprises mesurent l’intérêt de s’affranchir des mots de passe et prennent conscience de la nécessité d’abandonner leurs méthodes d’authentification traditionnelles qui ne sont plus adaptées aux menaces et aux technologies actuelles, qui ont évolué de façon significative au cours de la dernière décennie. » conclut Laurent Nezot.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La sécurité des mots de passe et de l’authentification

Yubico Ponemon Institute a mené des études portant sur les différents comportements liés à l’utilisation des mots de passe mais aussi au mode d’authentifications.

Le rapport a été intitulé « State of Password and Authentication Security Behaviours ». L’étude a pour objectif de mieux appréhender certaines pratiques liées aux habitudes en matière d’utilisation de modèle de tentes ification et de mot de passe des professionnels de la sécurité informatique et des différents utilisateurs des services numériques. Et il faut noter qu’elle n’est pas la première du genre.

Ce mot de passe va aussi vous intéresser : Des pirates informatiques chinois arrivent à contourner la double authentification

Pour mener à bien ce rapport Ponemon Institute interroger exactement 2507 professionnel de la sécurité informatique pousse actif. Ces derniers ont été interrogés en France, en Australie, en Suède, au Royaume-Uni, en Allemagne et aux États-Unis. En plus des spécialistes, 563 utilisateurs actifs ont été aussi approchés.

La conclusion de l’étude a démontré, qu’il demeure toujours un risque quant aux comportement des spécialistes et utilisateurs finaux quand il s’agit de l’utilisation des modes d’authentification et des mots de passe classique. Par ailleurs, un écart conséquent entre les exigences de la sécurité informatique et les attitudes adoptées par les différents acteurs du milieu est à observer. On se demande alors si nous sommes face à une négligence ou tout simplement un manque de maîtrise de l’univers numérique. C’est alors que l’on se penche du côté de la nature même les outils déployés lors de l’instauration des systèmes d’information dans les entreprises par exemple.

Il a été démontré à ce niveau que les utilisateurs finaux ont cette tendance à ne pas adopter facilement les exigences souhaitées ou mises en avant par les fournisseurs de solution numériques. Et l’une des raisons qui peut expliquer cela est développé par le CEO et cofondatrice de Yubico de Stina Ehrensvärd : « Professionnels de l’informatique ou non, les utilisateurs ne veulent pas que la sécurité soit un fardeau. Elle doit être facile à utiliser et doit fonctionner instantanément.  Pendant des années, il a été quasiment impossible de faire rimer sécurité et simplicité d’utilisation. Aujourd’hui, les nouvelles technologies d’authentification permettent enfin d’atteindre cet équilibre. Avec la disponibilité de clés de sécurité et de connexions sans mot de passe, il est grand temps que les entreprises franchissent un palier en matière de sécurité. Elles peuvent faire bien mieux qu’utiliser des mots de passe et c’est d’ailleurs ce que les utilisateurs exigent. ».

Du côté des menaces informatiques, plus de 57 % des professionnels de la sécurité informatique qui ont été interrogés en France ont affirmé avoir été victime d’une attaque informatique. Environ 17 % d’entre eux ont reconnu avoir été victime de vol d’identifiant et 8 % signifie avoir subi un man-in-the-middle.

En outre, 44 % des utilisateurs finaux approchés ont reconnu avant été victime d’une attaque informatique par hameçonnage (phishing) au boulot. D’un autre côté, 58 % des spécialistes de la sécurité ont aussi affirmé que leurs entreprises avaient dû modifier leur méthode d’usage des moyens d’authentification dont les mots de passe. Les raisons ont été évoquées plus haut.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage