La chose la plus classique est d’avoir un poste bloqué, faute d’avoir changé son mot de passe en temps et en heure. Cela ne soulève pas d’enthousiasme. Certains employés attendent la dernière minute pour modifier leur mot de passe. Ils ne sont pas à l’abri d’une panne informatique, d’un arrêt de travail. Et finalement, la mise à jour de leur mot de passe ne peut pas se réaliser dans les temps, regrettent des spécialistes en cybersécurité.
La sécurisation des mots de passe n’est pas prise au sérieux par les Français, notamment en entreprise. Au lieu d’en faire un drame, des professionnels de la cybersécurité ont réalisé une vidéo humoristique avec cette présentation vidéo diffusée au Symposium sur la sécurité des technologies de l’information et des communications (Sstic).
Au niveau des mauvaises pratiques, le cas le plus classique est l’utilisation de son prénom, de son diminutif, ou encore de son numéro de département. Expert de la cybersécurité dans le domaine de la santé, Charles Blanc-Rolin se souvient d’un utilisateur qui avait employé comme mot de passe le prénom de sa collègue qui travaillait juste à côté de lui. Il fait également part de cet employé qui s’inquiétait de recevoir énormément de spams. Après enquêtes et recherches, son adresse mail professionnelle avait bien fuité à plusieurs reprises. En particulier auprès des « leaks » qui visaient des sites de rencontre. « On voit également des partages d’un même mot de passe, une façon de se connecter au compte du collègue pendant ses congés. Pourtant, la plupart du temps, les boîtes de messagerie sont basées sur des mailing-lists. Ils ont donc accès aux mêmes contenus sans avoir besoin de s’identifier sur chaque compte.
Consultant en cybersécurité, toujours dans le domaine de la santé, Rémi Gascou se rappelle d’un audit inquiétant réalisé sur les mots de passe dans une entreprise. Sur les 1 500 comptes, ils avaient tous un mot de passe composé des initiales des personnels de santé. « La direction des systèmes d’information disait que c’était inadmissible, les personnels rappelaient eux qu’ils sauvaient des vies », se souvient le chercheur en sécurité.
Lire aussi : Cybersécurité : les métiers de demain
Les entreprises musclent leurs défenses
Autre pratique à éviter : les mots de passe qui font référence à la ville, au département, et terminent avec un caractère spécial comme le point d’exclamation. « Le problème de ce type de mot de passe, c’est qu’ils correspondent à toutes les règles de complexité demandées par les entreprises. Mais cela donne une fausse impression de sécurité, car c’est le mot de passe le plus évident pour les attaquants. Quand je débute une mission d’audit, c’est ce que je commence à tenter sur tous les comptes », souligne, souligne Rémi Gascou.
Malgré tout, ces experts en cybersécurité constatent que les entreprises musclent sérieusement leurs défenses, notamment en recourant à des cartes à puce ou des clés d’authentification. D’autres sociétés imposent une double authentification avec des recommandations où l’utilisation de mots de passe personnels est proscrite.
