Choisir un mot de passe complexe ne servirait presque à rien...
Choisir un mot de passe complexe et long n’aurait en réalité que très peu d’utilité. Un expert en sécurité de Microsoft explique pourquoi et recommande d'avoir recours à une authentification à double facteur.
Utilisez des mots de passes complexes, longs et contenant des caractère spéciaux... Aujourd’hui bien connue, cette pratique élémentaire de sécurité n’aurait en fait que peu d’importance selon un expert de Microsoft. Group Program Manager for Identity Security and Protection au sein de la firme de Redmond, Alex Weinert explique dans un billet de blog détaillé pourquoi la composition et la longueur d’un mot de passe n’ont rien de déterminant pour se prémunir contre les cyberattaques. Il apparaît que les pirates informatiques ne chercheraient qu’une chose: voler les mots de passe pour pouvoir accéder aux comptes. «Votre attaquant ne fera des choses vraiment farfelues et créatives dont vous entendez parler lors de conférences (ou ailleurs) que lorsqu'il n'y a pas de moyen plus simple et que la cible de l'attaque justifie l'effort supplémentaire», estime l'expert.
Les attaques les plus fréquentes donnent accès au mot de passe exact
Se basant sur des statistiques provenant de comptes Azure Active Directory connectés, l’équipe en charge de la protection et de la sécurité chez Microsoft a constaté que le type d’attaque la plus fréquente (plus de 20 millions de comptes ciblés par jour) est le «credential stuffing», qui passe par des identifiants volés ou achetés sur le dark web. Avec des outils d'automatisation, les pirates testent ces identifiants sur de nombreux sites web. L'attaquant possédant le mot de passe exact, sa complexité n’importe dès lors pas du tout.
Il en va de même pour les mots de passe obtenus par phishing, des attaques fréquentes (tout de même 0,5% des tous les mails entrants selon les données rapportées par l’expert).
D’autres moyens utilisés par les cybercriminels, plus ou moins sophistiqués mais de fréquence modérée, permettent aussi d’avoir accès au mot de passe exact. C’est le cas des logiciels malveillants enregistrant la saisie au clavier (keystroke logging), des manoeuvres d’extorsion ou de la recherche d’identifiants dans du code ou des scripts de maintenance en scannant un réseau.
Le mot de passe importe dans deux cas
Sur son blog, l’expert de Microsoft souligne que le choix d’un mot de passe n’a d’importance que dans deux cas de figure. Premièrement, quand les attaquants emploient la méthode du «Password Spraying», consistant à tester un ensemble limité de mots de passe les plus courants. Pour se prémunir contre ces attaques, il suffit de ne pas opter pour l’un des pires mots de passe connus (à lire >> les pires mots de passe de 2018).
En second lieu, se servir de mots de passe longs, très complexes et uniques, tels que ceux générés par un gestionnaire de mots de passe, peut apporter une protection supplémentaire dans un cas de figure précis: quand un pirate s’est infiltré dans un système et a pu extraire une base de donnée de mots de passe chiffrés. Décoder des mots de passe longs et complexes s’avère alors trop compliqué et chronophage. «En cas de brèche, le mot de passe n'a pas d'importance - à moins qu'il ne dépasse 12 caractères et n'ait jamais été utilisé auparavant», résume l’expert.
L’authentification à double facteur reste la meilleure parade
En conclusion, l’expert recommande de systématiquement activer, quand c’est possible, l’authentification à double facteur. Cette méthode permet de bloquer 99,9% des attaques automatisées, qu'il s'agisse d’un code unique envoyé par SMS ou de solutions biométriques avancées.
