Lorsque les équipes de sécurité analysent les risques liés aux informations d'identification, l'accent est souvent mis sur les menaces telles que le phishing, les logiciels malveillants ou les ransomwares. Ces méthodes d’attaque continuent d’évoluer et attirent à juste titre l’attention. Cependant, l’un des risques les plus persistants et sous-estimés pour la sécurité des organisations reste beaucoup plus courant.
La réutilisation de mots de passe presque identiques continue de contourner les contrôles de sécurité et passe souvent inaperçue, même dans les environnements dotés de politiques de mots de passe établies.
Pourquoi la réutilisation des mots de passe persiste malgré des politiques strictes
La plupart des organisations comprennent que l’utilisation exacte du même mot de passe sur plusieurs systèmes présente un risque. Les politiques de sécurité, les cadres réglementaires et la formation de sensibilisation des utilisateurs découragent systématiquement ce comportement, et de nombreux employés font de véritables efforts pour s'y conformer. À première vue, cela suggère que la réutilisation des mots de passe devrait poser moins de problèmes.
En réalité, les attaquants continuent d’accéder aux informations d’identification qui répondent techniquement aux exigences de la politique. La raison n’est pas toujours une réutilisation flagrante des mots de passe, mais une solution de contournement plus subtile connue sous le nom de réutilisation de mots de passe presque identiques.
Qu’est-ce que la réutilisation de mots de passe presque identiques ?
La réutilisation d'un mot de passe presque identique se produit lorsque les utilisateurs apportent de petites modifications prévisibles à un mot de passe existant plutôt que d'en créer un complètement nouveau.
Bien que ces changements soient conformes aux règles formelles en matière de mots de passe, ils ne contribuent guère à réduire l’exposition dans le monde réel. Voici quelques exemples classiques :
- Ajouter ou modifier un numéro
- Été 2023 ! → Été2024 !
- Ajouter un personnage
- Échanger des symboles ou des majuscules
- Accueillir! → Bienvenue ?
- Administrateurs → Administrateurs
Un autre scénario courant se produit lorsque les organisations attribuent un mot de passe initial standard aux nouveaux employés et que, plutôt que de le remplacer entièrement, les utilisateurs apportent des modifications incrémentielles au fil du temps pour rester conformes. Dans les deux cas, les changements de mot de passe semblent légitimes, mais la structure sous-jacente reste largement intacte.
Quand une mauvaise expérience utilisateur conduit à des solutions risquées
Ces petites variations sont faciles à retenir, c’est précisément pourquoi elles sont si courantes. L'employé moyen est censé gérer des dizaines d'informations d'identification sur des systèmes personnels et professionnels, avec souvent des exigences différentes et parfois contradictoires. Alors que les organisations s’appuient de plus en plus sur des applications Software-as-a-Service, ce fardeau continue de croître.
Du point de vue de l'utilisateur, un mot de passe modifié semble suffisamment différent pour répondre aux attentes de conformité tout en restant mémorable. Ces micromodifications satisfont aux règles d'historique des mots de passe et aux exigences de complexité, et dans l'esprit de l'utilisateur, l'exigence de changer un mot de passe a été satisfaite.
La prévisibilité est exactement ce que les attaquants exploitent
Du point de vue d’un attaquant, la situation est très différente. Ces mots de passe représentent un modèle clair et reproductible.
Les attaques modernes basées sur les identifiants reposent sur la compréhension de la manière dont les utilisateurs modifient leurs mots de passe sous la pression et supposent la réutilisation de mots de passe presque identiques plutôt que de les traiter comme un cas limite. C’est pourquoi la plupart des outils contemporains de piratage de mots de passe et de bourrage d’informations d’identification sont conçus pour exploiter des variations prévisibles à grande échelle.
Comment les attaquants exploitent les modèles de mots de passe
Au lieu de deviner les mots de passe au hasard, les attaquants commencent souvent avec les informations d’identification exposées lors de violations de données précédentes. Ces mots de passe violés sont regroupés dans de grands ensembles de données et utilisés comme base pour de futures attaques.
Les outils automatisés appliquent ensuite des transformations courantes telles que :
- Ajouter des personnages
- Changer les symboles
- Nombres incrémentaux
Lorsque les utilisateurs comptent sur la réutilisation de mots de passe presque identiques, ces outils peuvent passer rapidement et efficacement d'un compte compromis à un autre.
Il est important de noter que les modèles de modification des mots de passe ont tendance à être très cohérents selon les différentes données démographiques des utilisateurs. L'analyse des mots de passe Specops a montré à plusieurs reprises que les gens suivent des règles similaires lors de l'ajustement des mots de passe, quel que soit leur rôle, leur secteur d'activité ou leurs capacités techniques.
Cette cohérence rend la réutilisation des mots de passe, y compris les variantes quasi identiques, hautement prévisible et donc plus facile à exploiter pour les attaquants. Dans de nombreux cas, un mot de passe modifié est également réutilisé sur plusieurs comptes, amplifiant encore le risque.
Pourquoi les politiques de mots de passe traditionnelles ne parviennent pas à empêcher une réutilisation quasi-identique
De nombreuses organisations pensent qu'elles sont protégées car elles appliquent déjà des règles de complexité des mots de passe. Ils incluent souvent des exigences de longueur minimale, un mélange de lettres majuscules et minuscules, des chiffres, des symboles et des restrictions sur la réutilisation des mots de passe précédents. Certaines organisations exigent également une rotation régulière des mots de passe pour réduire l’exposition.
Bien que ces mesures puissent bloquer les mots de passe les plus faibles, elles ne suffisent pas à résoudre le problème de la réutilisation de mots de passe presque identiques. Un mot de passe tel que FinanceTeam!2023 suivi de FinanceTeam!2024 passerait avec succès toutes les vérifications d'historique et de complexité, mais une fois qu'une version est connue, il est trivial pour un attaquant d'en déduire la suivante. Avec un symbole ou une majuscule bien placé, les utilisateurs peuvent se conformer aux règles tout en faisant confiance au même mot de passe sous-jacent.
Un autre défi réside dans le manque d'uniformité dans la manière dont les politiques de mots de passe sont appliquées dans l'environnement numérique plus large d'une organisation. Les employés peuvent être confrontés à des exigences différentes concernant les systèmes d'entreprise, les plateformes cloud et les appareils personnels qui ont toujours accès aux données de l'organisation. Ces incohérences encouragent en outre des solutions prévisibles qui sont techniquement conformes à la politique tout en affaiblissant la sécurité globale.
Étapes recommandées pour réduire le risque lié aux mots de passe
Réduire le risque associé à la réutilisation de mots de passe presque identiques nécessite d'aller au-delà des règles de base en matière de complexité. La sécurité commence par la compréhension de l'état des informations d'identification dans l'environnement. Les organisations ont besoin de savoir si des mots de passe sont apparus dans des violations connues et si les utilisateurs s'appuient sur des modèles de similarité prévisibles.
Cela nécessite une surveillance continue des données sur les violations combinée à une analyse de similarité intelligente, et non à des contrôles statiques ou ponctuels. Cela signifie également revoir et mettre à jour les politiques de mot de passe pour bloquer explicitement les mots de passe trop similaires aux anciens, empêchant ainsi les solutions de contournement courantes avant qu'elles ne deviennent un comportement enraciné.
Combler l'écart grâce à des contrôles de mots de passe plus intelligents
Les organisations qui négligent cet aspect fondamental de la politique en matière de mots de passe se retrouvent inutilement exposées. Specops Password Policy consolide ces fonctionnalités en une solution unique, permettant aux organisations de gérer la sécurité des mots de passe de manière plus structurée et transparente.
 |
| Politique de mot de passe Specops |
Specops Password Policy permet une gestion centralisée des politiques, ce qui facilite la définition, la mise à jour et l'application des règles de mot de passe dans Active Directory à mesure que les exigences évoluent. Il fournit également des rapports clairs et faciles à comprendre qui aident les équipes de sécurité à évaluer les risques liés aux mots de passe et à démontrer leur conformité. De plus, cet outil analyse en permanence les mots de passe Active Directory par rapport à une base de données de plus de 4,5 milliards de mots de passe violés connus.
Vous souhaitez comprendre quels outils Specops s'appliquent à l'environnement de votre organisation. Réservez dès aujourd'hui une démo en direct de la politique de mot de passe Specops.
