Les pires mots de passe de 2023 (certains dépassent l'entendement)

Imaginez toutes choses qui sont faisables en moins d’une seconde : cligner des yeux, tousser, éteindre la radio pour éviter d’écouter une énième fois les plus grands succès de Céline Dion…

Eh bien, si vous étiez un pirate informatique, vous pourriez ajouter à cette liste la capacité de craquer les 10 pires mots de passe de 2023.

Pour la cinquième année consécutive, l’entreprise de logiciels de gestion de mots de passe NordPass a fait équipe avec des chercheurs indépendants en cybersécurité pour analyser une base de données de 4,3 téraoctets contenant les mots de passe de millions d’individus répartis dans 35 pays. Ils ont été obtenus à partir d’une grande variété de sources ouvertes au public, dont le Web clandestin.

Accrochez-vous les amis, car les pires mots de passe de 2023 ne se contentent pas d’être nuls; ils sont si inutiles et désespérants qu’ils frôlent le comique.

Voici donc sans plus tarder les 10 mots de passe les plus couramment utilisés de l’année, suivis du temps qu’il faut aux pirates pour les craquer :

Les 190 autres mots de passe les plus populaires de 2023 se conforment à cette triste tendance. « 10103 », par exemple, se classe au 120e rang, « password 123 » au 142e, et le sempiternel « aaaaaaaa » au 196e. Ces trois mots de passe pathétiques, bien sûr, se craquent en quelques fractions de seconde.

« Mais attendez une seconde, me dites-vous, il doit bien y avoir quelques mentions dans le top 200 qui demandent un peu plus d’effort à craquer, pas vrai? ». Effectivement. Contemplez le 175e mot de passe le plus populaire de 2023 : « Aa102030 », qui prend 10 secondes à craquer. N’oublions pas au passage « user 1234 », à la syntaxe plus complexe, qui oblige les pirates à gaspiller 41 secondes de leur précieux temps et qui occupe la 188e position du palmarès.

Tout n’est pas noir pour autant (disons plutôt gris foncé)

Dans l’éventualité où vous seriez un professionnel de la sécurité de l’information furetant furieusement le Web à la recherche d’une autre planète où vivre sur laquelle les pirates ont la tâche un peu plus ardue : sachez qu’il y a encore de l’espoir! Certains mots de passe dans le top 200 ne sont pas si mal. Par exemple :

• vodafone (113e rang, temps de craquage requis : trois heures)
• Kumar@123 (127e rang, temps de craquage requis : trois heures)
• theworldisinyourhand (173e rang, temps de craquage requis : des siècles)

En passant, si vous avez un copain nommé Kumar qui ne s’y connaît pas beaucoup en cybersécurité, c’est peut-être l’occasion de lui apprendre que son mot de passe favori figure à la 127e position et que seulement trois heures le séparent d’un long et coûteux enfer.

Les cadres et les dirigeants font sûrement exception à la règle, non?

Eh non! Une autre étude a révélé que les dirigeants et les PDG ont eux aussi la fâcheuse habitude d’utiliser des mots de passe faibles, ce qui augmente significativement leurs chances de causer d’énormes fuites de données. Voici les 10 mots de passe les plus populaires chez les PDG :

• 123456
• Password
• 12345
• 123456789
• qwerty
• 1234
• qwerty123
• 1q2w3e
• 111111
• 12345678

Il n’est donc pas nécessaire de porter le blâme sur les stagiaires et les tech nouilles de ce monde; les dirigeants d’expérience sont eux aussi susceptibles de créer des mots de passe faibles.

Que faire?

Certains problèmes sont pratiquement insurmontables. Se débarrasser d’un anneau enchanté dans les flammes de la Montagne du destin? Très difficile. Provoquer l’explosion de l’Étoile de la mort? Plutôt ardu. Empêcher une tentative d’assimilation Borg? 0/10, l’expérience est très négative.

Il existe toutefois des situations faciles à résoudre (plus que de s’en prendre à Sauron, au côté obscur de la force ou aux Borgs). Faire des mots de passe une force plutôt qu’une vulnérabilité fait partie de cette catégorie. Pour ce faire, les entreprises, et tout particulièrement les PME qui sont les cibles de toutes les cyberattaques en ce moment, devraient adopter nos 10 meilleures pratiques en matière de mots de passe :

• Utiliser l’A2F ou l’AMF;
• Préférer les phrases de passe aux mots de passe, car elles sont longues et difficiles à craquer tout en étant plus faciles à mémoriser pour les utilisateurs finaux;

Utiliser un gestionnaire de mots de passe réputé. Sachez toutefois qu’il ne s’agit pas d’une solution miracle (voir la prochaine meilleure pratique);

• Implémenter une solution PAM et imposer l’usage d’accès juste-à-temps aux comptes privilégiés. Petit rappel : les gestionnaires de mots de passe sont essentiellement des outils visant à empêcher l’interruption des affaires, et non des solutions de sécurité, car ils ne proposent pas une foule de fonctionnalités indispensables, parmi lesquelles : l’injection sécurisée d’identifiants, la découverte de compte, la rotation automatique de mots de passe, les alertes et notifications, ou encore un processus d’approbation de réservation. Cliquez ici pour plus de détails.
• Comparer tous les mots de passe possibles à une liste de mots de passe compromis et faibles selon NIST (selon le guide du NIST SP-800-63B section 5.1.1.2 paragraphe 5);
• Changer immédiatement les mots de passe compromis (SP-800-63B section 5.1.1.2 paragraphe 9);
• Mettre en place une politique d’historique des mots de passe pour empêcher les utilisateurs finaux de réutiliser de vieux mots de passe (voir le site Web du Center for Internet Security, qui conseille de définir cette valeur à 24 ou plus, voir section 1.1.1);
• Permettre aux utilisateurs finaux de copier/coller les mots de passe. Autrement, ils seront tentés d’employer des mots de passe simples, courts et faciles à retenir (SP 800-63b section 5.1.1.2 paragraphe 10);
• Offrir de la formation en cybersécurité aux utilisateurs finaux (voir ci-dessous).

La valeur de la formation en cybersécurité

Afin d’appuyer sur ce dernier point, il convient de revisiter la tentative de cyberattaque sur Reddit plus tôt cette année. L’incident s’est déroulé comme suit : des pirates ont envoyé des demandes vraisemblables aux employés de Reddit qui les redirigeait vers un site Web qui reproduisait fidèlement l’apparence et les comportements de la passerelle intranet de l’entreprise. Malheureusement, un employé s’est fait piéger.

En revanche, et justement parce que cet employé avait suivi une formation en cybersécurité, l’activité illicite a été immédiatement repérée et signalée à des spécialistes. Ainsi, la campagne d’hameçonnage a pu être contenue et les dommages minimisés. Sans cette formation, la situation aurait tourné au vinaigre assez rapidement.

En conclusion

Bien qu’il soit techniquement impossible de garantir la sécurité des mots de passe à 100 %, il existe de nombreuses méthodes concrètes et efficaces de compliquer la tâche aux pirates au plus haut point. L’objectif, bien sûr, est de faire en sorte que les pirates se heurtent à des barrières si infranchissables qu’ils en viennent à baisser les bras. Après tout, le pragmatisme pur et dur fait la loi parmi ces crapules du Web.

Si vous ne l’avez pas encore fait dans votre entreprise, il est grand temps de mettre en pratique les quelques méthodes mentionnées dans cet article dès que possible. Il va sans dire que vous devez aussi veiller à ce que tout le monde — y compris la direction — cesse définitivement de choisir des mots de passe faibles (ex. : « 12345 » et « aaaaaaaa »).

Témoignages et conseils

Durant votre parcours d’expert en TI, vous avez sans doute tout vu en matière de gestion des mots de passe. Votre expérience et vos conseils pourraient profiter aux autres membres de la communauté de Devolutions. Quelles autres mesures les entreprises devraient-elles mettre en place pour réduire le risque d’incidents? Avez-vous remarqué des changements dans la façon d’aborder le problème au cours de votre carrière? Votre opinion est importante et votre sagesse pourrait éviter bien des maux à beaucoup de gens.