Mot de passe pro piraté : comment sécuriser vos accès ?
En 2022 déjà, Microsoft annonçait que plus de 1 200 attaques de mots de passe avaient lieu chaque seconde, soit 111 millions chaque jour, via des attaques par bourrage d’identifiants, phishing ou encore force brute. C’est dire l’ampleur de la menace. Et dans plus de 80 % des cas, les violations de sécurité sont directement liées à une gestion négligente des mots de passe.
L’utilisation d’un mot de passe simple, sa réutilisation ou encore son non-renouvellement régulier créent autant de failles exploitables par les cybercriminel·les. Près de 68 % des employé·es admettent réutiliser leurs mots de passe sur plusieurs comptes. Ce qui menace à la fois la confidentialité des données sensibles de l’entreprise, sa réputation auprès des partenaires et des clients, ainsi que sa sécurité financière.
Plusieurs articles ont même révélé qu’en 2024, des bases de données contenant plusieurs milliards de mots de passe piratés, accumulés pendant plus de 20 ans, circulaient désormais en masse sur le dark web, notamment sur les sites de revente de données. Bref, la menace est là, et il est temps pour votre organisation de réagir pour éviter la fuite de données, les piratages et des répercussions désastreuses pour vos activités.
Définition : qu’est-ce qu’un mot de passe « compromis » ?
Un mot de passe est dit « compromis » lorsqu’il est exposé à la suite d’une violation de données ou qu’il devient accessible à des personnes non autorisées. Concrètement, cela signifie que ce mot de passe est rendu vulnérable aux cybercriminels, qui peuvent s’en servir pour accéder à des comptes privés, personnels ou professionnels, voire en tirer profit pour réaliser des attaques en chaîne.
Un mot de passe compromis, c’est bien plus qu’un simple code dévoilé. C’est un accès direct aux informations confidentielles et une porte d’entrée vers des données stratégiques de l’entreprise. Si l’accès aux comptes bancaires ou aux applications internes sensibles tombe entre de mauvaises mains, les conséquences peuvent être lourdes :
- usurpation d’identité
- perte de données
- fuite d’informations clients et personnelles
- compromission des finances de l’entreprise
- propagation de virus et malwares
Les méthodes utilisées pour compromettre un mot de passe sont variées et redoutablement efficaces. Parmi les techniques les plus fréquentes, citons :
- le phishing : l’attaquant·e se fait passer pour une source de confiance (comme une banque ou un collègue) pour amener l’utilisateur à divulguer son mot de passe, souvent via un faux e-mail ou site web.
- l’attaque par force brute : tester toutes les combinaisons possibles de caractères jusqu’à découvrir le mot de passe. Très efficace contre les mots de passe courts ou simples, mais exige une forte puissance de calcul.
- l’attaque par dictionnaire : variante de la force brute qui utilise des listes de mots de passe courants ou de termes fréquemment utilisés par les utilisateurs, réduisant ainsi le nombre de tentatives nécessaires.
- le bourrage d’identifiants (Credential Stuffing) : exploite des mots de passe volés lors de précédentes fuites de données. Les attaquants tentent de réutiliser les mêmes identifiants sur différents sites, espérant que l’utilisateur emploie le même mot de passe pour plusieurs comptes.
- l’ingénierie sociale : manipulation psychologique de la victime pour lui soutirer ses informations d’identification. Par exemple : appels téléphoniques où l’attaquant se fait passer pour un support technique ou un administrateur.
- le malware : logiciel malveillant installé sur l’appareil de la victime (parfois à son insu) qui enregistre ses frappes clavier (keylogging) ou vole directement ses informations d’identification.
- l’attaque par pulvérisation de mots de passe : tester des mots de passe courants (comme « 123456 » ou « password ») sur une large gamme de comptes, espérant qu’un utilisateur utilise l’un de ces mots de passe simples.
Comment savoir si un mot de passe est compromis ?
Attribut alt image : comment savoir si un mot de passe est compromis
Détecter un mot de passe compromis, c’est un peu comme essayer de repérer une fuite invisible dans un grand réseau de canalisations : il faut savoir quoi chercher et utiliser les bons outils. Voici comment procéder pour déceler les signes d’une compromission et sécuriser vos comptes en entreprise.
Surveiller les connexions suspectes
Imaginez que votre compte se connecte soudainement depuis un autre continent, ou qu’un appareil inconnu accède à vos données. Les cyberattaquant·es savent que la majorité des utilisateurs ne regardent jamais les détails de leurs connexions, alors qu’une anomalie géographique ou des connexions à des heures inhabituelles sont souvent des indicateurs précoces de compromission.
Le plus simple est de mettre en place des alertes de connexion suspecte et de surveiller en continu, notamment avec des outils comme Microsoft 365 Security Center, Google Workspace Alert Center ou encore Okta. Cela permet aux entreprises de réagir avant même que des actions ne soient entreprises par les intrus·es.
Utiliser des services de détection de fuites
Des outils comme Have I Been Pwned fonctionnent comme des éclaireurs qui parcourent en permanence le dark web et les sites de revente de mots de passe. En inscrivant votre domaine d’entreprise, ces services envoient une alerte dès qu’un identifiant ou mot de passe est détecté dans une fuite, ce qui vous offre une longueur d’avance sur les cybercriminel·les.
Analyser les journaux d’activité des comptes
Les journaux d’activité, ou logs, sont des archives numériques qui détaillent les actions sur vos comptes :
- connexion
- modifications de paramètres
- tentative d’accès infructueuse
Ces journaux révèlent des informations précieuses, surtout en cas d’attaque par force brute, où un·e attaquant·e essaie des centaines de combinaisons de mots de passe.
Une surveillance régulière ou des alertes automatiques sur les activités anormales sont des solutions efficaces pour repérer les compromissions. Parmi les outils envisageables, citons Splunk, LogRhythm et Microsoft Sentinel.
Activer les notifications des gestionnaires de mots de passe
Les gestionnaires de mots de passe modernes proposent et sauvegardent des mots de passe forts, tout en détectant ceux qui sont compromis. Des outils comme KeePass, LastPass, Dashlane, Bitwarden ou encore Trousseau sur Mac vous signalent automatiquement si un mot de passe stocké dans leur base figure dans une brèche connue.
Cette fonctionnalité agit comme une alarme : elle informe les utilisateurs, mais aussi les équipes IT, des mots de passe qu’il faut changer d’urgence.
Effectuer des audits de sécurité périodiques
Un audit de sécurité est une évaluation approfondie des points faibles de votre système de sécurité, incluant la gestion des mots de passe. En analysant chaque aspect, depuis les politiques de connexion jusqu’aux pratiques de rotation des mots de passe, vous êtes en mesure de détecter les failles avant qu’elles ne soient exploitées.
Une telle démarche proactive permet de corriger les erreurs et d’adapter les protocoles pour faire face aux nouvelles menaces. Il existe des solutions logicielles comme Nessus et Qualys. Mais vous pouvez aussi très bien solliciter des services d’audit en cybersécurité, ou bien créer votre propre service interne.
Que faire immédiatement en cas de compromission de mots de passe ?
Imaginons : une alerte tombe. Un ou plusieurs de vos mots de passe sont compromis. Pas de panique, mais pas de temps à perdre non plus. Voici les actions immédiates à prendre pour contenir la menace et restaurer la sécurité de vos comptes.
Déconnectez les comptes affectés
Première étape : forcez la déconnexion de tous les appareils sur les comptes concernés. Cette action empêche les accès non autorisés en cours et limite le risque d’actions malveillantes immédiates. Dans de nombreuses applications et plateformes, la fonction « déconnexion de tous les appareils » est accessible directement dans les paramètres de sécurité.
Changez les mots de passe compromis sans attendre
Ne faites pas de compromis ici ! Remplacez les mots de passe touchés par des nouveaux, robustes et uniques pour chaque compte. Utilisez un générateur de mots de passe si nécessaire, afin de maximiser la complexité et réduire la possibilité de devinette. C’est l’outil idéal pour sauvegarder ces identifiants et garantir que vous ne retomberez pas dans le piège de la réutilisation.
Activez ou renforcez l’authentification multifactorielle (MFA)
Si ce n’est pas déjà en place, activez immédiatement la MFA sur les comptes critiques. Ce mécanisme est une couche de sécurité additionnelle : même si un mot de passe est compromis, un attaquant ne pourra pas accéder au compte sans cette seconde vérification. Vous pouvez utiliser des applications d’authentification comme Google Authenticator, Duo Security, Authy, Microsoft Authenticator ou même une clé de sécurité physique.
Informez vos équipes en interne sur la cybersécurité
La sécurité en entreprise est un effort collectif. Informez immédiatement les responsables IT et cybersécurité afin qu’ils prennent des mesures de protection supplémentaires, comme renforcer les contrôles de sécurité ou bloquer temporairement certains accès.
Si cela n’est pas déjà fait, il est aussi temps d’échanger avec vos équipes afin qu’elles prennent conscience de l’importance des bonnes pratiques d’hygiène informatique en entreprise.
Surveillez les activités des comptes touchés
Une fois les mots de passe changés et les accès coupés, restez vigilant. Consultez les journaux d’activité de vos comptes pour déceler toute action inhabituelle, comme des tentatives de connexion multiples, des modifications de données sensibles, ou des connexions depuis des lieux géographiques suspects.
Documentez chaque étape de votre cyber-protection
Il est plus que recommandé d’utiliser un espace de documentation pour enregistrer toutes les actions entreprises, incluant les modifications effectuées, les comptes touchés et les notifications envoyées. Cette documentation sert à affiner les protocoles de réponse et à garantir une traçabilité en cas de vérification future. En cas de turnover ou de départ à la retraite, c’est aussi l’assurance qu’il y aura un suivi efficace.
Prévenir les futures compromissions de mots de passe
La meilleure défense, et souvent celle qui est la moins onéreuse, reste toujours la prévention. Après une compromission, le renforcement de la sécurité des mots de passe est impératif pour éviter de futures attaques. Voici quelques exemples de pratiques que vous pouvez mettre en place facilement et dès maintenant pour garantir une protection durable de vos accès en entreprise.
Imposez des mots de passe robustes et uniques
Il existe quelques règles de base simples à retenir pour créer vos mots de passe, dont voici un tableau inspiré des recommandations de la CNIL pour créer des mots de passe robustes.
| Conseil | Exemples |
|---|---|
| Utilisez un mot de passe de 12 caractères minimum | Essayez une phrase de passe : ‘CerfPapier!OrangeSavon2024’. Plus long est plus sûr : 16 caractères minimum est idéal pour les comptes critiques. |
| Mélangez des lettres, chiffres et symboles | Combinez majuscules, minuscules, chiffres et symboles : par exemple, ‘Zebra!4Planeurs2022’. Cela complique le travail des attaques par force brute. |
| Évitez les informations personnelles | Évitez les informations faciles à deviner comme ‘Marie1985’. Utilisez des termes sans lien personnel, comme ‘CactusRouge!47’. |
| Évitez les suites logiques ou mots communs | Écartez les suites comme ‘123456’ ou les mots trop simples comme ‘password’ ou ‘azerty’. Préférez une combinaison unique, ex: ‘Voyage3!Hiver2025’. |
| Créez des phrases mnémotechniques pour mieux retenir | Choisissez une phrase connue en gardant les premières lettres et chiffres : ‘Un tiens vaut mieux que deux tu l’auras’ devient ‘UtvmQ2tlA’. |
| Changez les mots de passe tous les 6 mois | Pour les mots de passe bancaires ou email, un rappel semestriel est idéal. Un gestionnaire de mots de passe aide à automatiser ces renouvellements. |
| Créez un mot de passe unique pour chaque usage | Un mot de passe différent pour chaque :
|
Utilisez un gestionnaire de mots de passe robustes
Le gestionnaire de mots de passe reste la solution la plus pratique et la plus sécurisée pour générer des mots de passe d’entreprise robustes, sans avoir besoin de s’en souvenir.
Non seulement cet outil centralise tous les mots de passe dans un coffre-fort numérique chiffré, mais il permet aussi de générer des mots de passe complexes pour chaque utilisateur et chaque application. Avec un mot de passe principal fort, vous limitez la mémoire à un seul identifiant tout en sécurisant l’accès à l’ensemble des comptes.
Déployez l’authentification multifactorielle (MFA) partout où c’est possible
La MFA ajoute une couche de sécurité indispensable, en exigeant une seconde preuve d’identité, comme un code SMS ou un appareil d’authentification. Même si un mot de passe est compromis, la MFA bloque l’accès tant que le second facteur n’est pas validé. Insistez pour que tous les services sensibles de l’entreprise l’adoptent systématiquement.
Cette solution peut parfois sembler contraignante, car elle exige plusieurs manipulations, mais au regard des risques encourus (la fuite de vos données), c’est un moindre mal.
Formez les collaborateurs aux bonnes pratiques de cybersécurité
Impossible d’envisager la cybersécurité sans mettre à jour les connaissances des salarié·es de votre entreprise sur le sujet. Nous vous renvoyons au chiffre donné en introduction : 80% des violations de données sont dues à des négligences dans la création ou l’utilisation de mots de passe faibles.
Autrement dit, rien ne sert de faire appel à des solutions techniques et onéreuses si les utilisateurs finaux n’ont pas les bons réflexes de base. Pour remédier à cela, nous vous proposons de découvrir notre module de formation intensive (2 heures) pour acquérir les bons gestes dans la création de mots de passe et apprendre à utiliser le gestionnaire gratuit KeePass.
