Pourquoi même votre mot de passe le plus complexe sera bientôt craqué

Plus de 80 % de toutes les fuites de données sont liées aux mots de passe. L'utilisation de mots de passe complexes et différents pour chaque compte peut accroître la sécurité. Cependant, les comptes clients dotés de mots de passe même très robustes peuvent être piratés.

Lorsque nous parlons de nous connecter à des comptes numériques, que ce soit dans des applications ou sur des sites web, la combinaison d'un nom d'utilisateur et d'un mot de passe nous vient à l'esprit. Les mots de passe secrets sont utilisés depuis des milliers d'années. Il s'agit d'un concept simple : une information partagée, gardée secrète entre des individus et utilisée pour prouver son identité.

À une époque où les gens passent une grande partie de leur vie en ligne, l'utilisation de ce concept simple est très répandue. Des enquêtes ont révélé que le nombre de comptes protégés par un mot de passe par utilisateur a augmenté de manière exponentielle ces dernières années, en réponse à l'explosion de nouvelles applications et de services en ligne. Une étude, commandée par NordPass, a révélé qu'entre 2019 et 2020, le nombre de mots de passe par utilisateur a bondi de 20 %, passant d'une moyenne de 83 à 100.

Le nombre croissant de comptes protégés par mot de passe ne pose pas de problème au premier abord. Cependant, la façon dont les utilisateurs définissent et gèrent les mots de passe en pose effectivement un. Un mot de passe est statique et doit donc être mémorisé par l'utilisateur ou stocké, que ce soit sur un post-it ou dans un gestionnaire de mots de passe. Comme une personne moyenne ne peut retenir qu'une combinaison de 7 lettres ou chiffres, se souvenir de 100 mots de passe individuels peut devenir très pénible. Par conséquent, les utilisateurs ont tendance à utiliser des mots de passe simples comme le nom des membres de leur famille, des dates de naissance ou simplement "123456", qui reste le mot de passe le plus utilisé sur Internet. Mais pourquoi les mots de passe posent-ils un problème de sécurité à la base ?

La réutilisation des mots de passe est la cause numéro 1 des failles de sécurité#

Pour gérer tous leurs comptes, 52 % des utilisateurs réutilisent des mots de passe, ce qui a de graves conséquences. Cela permet aux pirates d'accéder à plusieurs comptes en s'attaquant au maillon le plus faible (le site web ayant les normes de sécurité les plus basses). Par exemple, votre compte Facebook est sécurisé par un mot de passe complexe et des normes de sécurité strictes. Cependant, il y a de fortes chances que vos identifiants aient été impliqués dans une fuite de données antérieure, comme celle subie par MySpace en 2008, où 359 420 698 identifiants ont été volés. Et ce n'est qu'un exemple. Selon Forbes, le nombre d'identifiants volés a augmenté de 300 % depuis 2018. Aujourd'hui, plus de 15 milliards d'identifiants provenant de 100 000 fuites de données peuvent être achetés sur Internet par n'importe qui. Avec ces identifiants, les pirates effectuent des demandes de connexion à grande échelle sur des centaines de plateformes pour accéder à vos comptes (ce que l'on appelle les attaques par bourrage d'identifiants).

Même les mots de passe complexes ne sont pas sécurisés#

Malgré ce risque largement connu, 70 % des identifiants compromis sont toujours utilisés. Généralement, les attaques par bourrage d'identifiants peuvent être évitées en utilisant des mots de passe différents et complexes pour chaque compte sur chaque plateforme, en combinaison avec des gestionnaires de mots de passe. Cependant, même les mots de passe complexes peuvent facilement être craqués en quelques secondes. L'année dernière, un record a été établi par un ordinateur tentant de générer tous les mots de passe imaginables. Il a atteint un rythme supérieur à 100 000 000 000 de tentatives par seconde. L'utilisation de tels scripts pour essayer des combinaisons aléatoires de nom d'utilisateur/mot de passe s'appelle les méthodes par force brute.

Mais même si votre mot de passe n'a pas été craqué par force brute, il n'est toujours pas totalement sécurisé. En tant que client, vous devez faire confiance aux normes de sécurité des plateformes sur lesquelles vous vous connectez. En cas de protection insuffisante, n'importe quel mot de passe, aussi complexe soit-il, peut être volé.

Les pirates sont créatifs et améliorent constamment leurs méthodes#

Malheureusement, le bourrage d'identifiants et la force brute ne sont pas les seules méthodes pour obtenir un accès non autorisé aux comptes clients. Une autre technique très répandue est le hameçonnage (phishing), où une fausse interface utilisateur du site original est utilisée pour inciter les utilisateurs à saisir leurs identifiants. D'autres méthodes incluent les attaques de l'homme du milieu, où les flux de communication comme les réseaux WiFi publics sont interceptés, ou l'enregistrement de frappe (keylogging), où un logiciel malveillant est installé sur un ordinateur pour capturer les identifiants.

Tant qu'il y aura des mots de passe, les comptes clients seront piratés#

Les problèmes soulignés ci-dessus expliquent pourquoi plus de 80 % de toutes les fuites de données et des attaques informatiques sont dues aux mots de passe, et soulignent que nous avons besoin d'une meilleure approche que le simple duo nom d'utilisateur et mot de passe pour gérer l'authentification. Des évolutions telles que l'authentification à deux facteurs (2FA) vont dans la bonne direction en termes de sécurité, mais l'adoption par les utilisateurs est assez faible. Alors pourquoi ne pas supprimer complètement les mots de passe et passer au sans mot de passe ? Cela vous semble intéressant ? Explorez les solutions sans mot de passe de Corbado et ayez un premier aperçu de l'authentification du futur !

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →

Foire aux questions#

Pourquoi l'utilisation d'un mot de passe unique et complexe n'est-elle pas suffisante pour sécuriser mon compte ?#

Même un mot de passe complexe peut être compromis si la plateforme qui le stocke présente des normes de sécurité faibles, car tout mot de passe peut être volé sur un serveur vulnérable, quelle que soit sa force. Des techniques comme le hameçonnage, l'enregistrement de frappe et les attaques de l'homme du milieu capturent les identifiants avant même que le chiffrement ne s'applique, faisant du mot de passe lui-même le maillon le plus faible, quelle que soit sa complexité.

Qu'est-ce que le bourrage d'identifiants et en quoi l'ampleur des identifiants volés le rend-il si dangereux ?#

Le bourrage d'identifiants consiste à prendre des paires de noms d'utilisateur et de mots de passe volées lors d'une fuite de données et à les tester automatiquement sur des centaines d'autres plateformes. Avec plus de 15 milliards d'identifiants provenant de 100 000 fuites de données disponibles à l'achat en ligne, les pirates disposent d'énormes ensembles de données pour travailler, et la seule fuite de MySpace en 2008 a exposé plus de 359 millions d'identifiants qui restent exploitables partout où les victimes ont réutilisé ces mots de passe.

Pourquoi tant d'utilisateurs continuent-ils à s'appuyer sur des mots de passe faibles ou réutilisés alors qu'ils connaissent les risques ?#

Une personne moyenne ne peut mémoriser de manière fiable qu'une combinaison d'environ 7 lettres ou chiffres, ce qui rend pratiquement impossible la mémorisation de 100 mots de passe complexes uniques. Cette limite cognitive conduit 52 % des utilisateurs à réutiliser des mots de passe pour plusieurs comptes, ce qui permet à son tour aux pirates d'accéder à de multiples services en ciblant la plateforme la moins sécurisée sur laquelle un utilisateur s'est inscrit.

Les solutions comme l'authentification à deux facteurs sont-elles suffisantes pour remplacer entièrement les mots de passe ?#

L'authentification à deux facteurs va dans la bonne direction pour la sécurité, mais l'article note que l'adoption par les utilisateurs reste assez faible, ce qui limite son impact pratique. La direction la plus prometteuse consiste à éliminer entièrement les mots de passe grâce à l'authentification sans mot de passe, qui supprime le secret partagé statique qui sous-tend les attaques de hameçonnage, de force brute et de bourrage d'identifiants à leur racine.