Specops Softwares : rencontre avec un spécialiste de la sécurisation des mots de passe en entreprise

En 2021, on estime à 300 milliards le nombre de mots de passe utilisés dans le monde. Désormais partie intégrante de notre quotidien, ils sont pourtant la cible de 80 % des cyberattaques. Bien que nécessaires, les mots de passe sont malheureusement très sensibles à la compromission et les hackers n’hésitent pas à exploiter leurs moindres faiblesses. Il existe pourtant des mesures simples à appliquer afin d’offrir une meilleure hygiène à ses mots de passe. Darren James, Head of Internal IT pour Specops Software, nous éclaire sur les mesures simples à mettre en place pour renforcer l’hygiène de nos mots de passe.

Bonjour Darren James. Qui êtes-vous, et que propose Specops Software?

Bonjour, je suis le porte-parole de Specops sur les questions de cybersécurité. Specops Software est le leader des solutions de sécurisation des mots de passe en environnement Microsoft et de l’identity-as-a-service. Cela fait maintenant plus de vingt ans que Specops complète les solutions Microsoft et permet aux administrateurs systèmes de renforcer la sécurité de leur organisation face à la vulnérabilité majeure de tout système informatique : les mots de passe.

Pour de nombreuses entreprises, la cybersécurité est devenue un risque majeur. Comment l’expliquez-vous ? 

Depuis 5 ou 6 ans, les cyberattaques se multiplient et causent d’importants dégâts à leurs victimes, entreprises ou particuliers. Au-delà des attaques pilotées par des états, des vastes réseaux de cybercriminels se sont développés et structurés. Les ransomwares et autres cryptolockers sont des outils qui permettent d’obtenir un vrai retour sur investissement pour les hackers facile à mettre en œuvre et peu onéreux. Les cibles sont nombreuses, le déploiement est rapide et presque toujours les entreprises ciblées finissent par payer une rançon pour récupérer leurs données critiques. Ils ont ainsi véritablement industrialisé leurs procédés en exploitant toujours plus de vulnérabilités (faille zero-day) ou tout simplement en abusant des utilisateurs grâce à l’hameçonnage ou à l’ingénierie sociale. Ce phénomène n’est pas près de s’arrêter.

D’après Cybersecurityventures, les dommages provoqués par les cybercriminels devraient s’élever à 6 000 milliards de dollars en 2021 et continuer d’augmenter pour atteindre plus de 10 000 milliards en 2025.

Quelles sont les types d’attaques les plus virulentes et comment s’en protéger ? 

Les attaques font le plus dégâts sur les organismes d’importance vitale (OIV) où se rejoignent à la fois intérêt étatique et missions de service public. On ne compte plus en France les attaques sur les hôpitaux, victimes de ransomware qui cryptent les données et empêchent le bon fonctionnement du système informatique de l’hôpital, paralysant les services de santé. En Allemagne, une patiente est décédée à la suite d’une cyberattaque car elle n’a pas pu être transférée à temps dans un autre hôpital.

Presque toujours, les cybercriminels passent par des attaques leur permettant de récupérer les mots de passe, que ce soit par pulvérisation de mots de passe, brute force, ou tout simplement en réussissant à récupérer les couples identifiants/mots de passe d’un utilisateur.

Une bonne hygiène de sécurité passe par des mots de passe longs, ou des phrases faciles à mémoriser comme le recommande l’ANSSI dans son dernier guide, et une vérification régulière de ces mots de passe pour s’assurer qu’ils ne figurent pas sur des listes de mots de passe compromis. Cela implique à la fois une formation des utilisateurs mais aussi de disposer des bons outils pour sécuriser l’infrastructure de l’entreprise.

Pensez-vous qu’un travail de sensibilisation auprès des employés doit systématiquement être effectué afin de renforcer la sécurité des entreprises ? 

Il est aujourd’hui impensable de déployer une politique de sécurité efficace sans sensibiliser les employés aux risques et leur enseigner les gestes vitaux à respecter, de la même manière que nous avons appris à respecter les gestes barrières face à la Covid-19. Cependant, l’expérience nous montre qu’une solution qui accompagne l’utilisateur, avec par exemple une explication détaillée des restrictions en place lors du changement de mot de passe ou la possibilité de faire varier la date d’expiration du mot de passe en fonction de sa longueur, peut fortement contribuer à diminuer le risque pour l’utilisateur. Il faut inciter l’utilisateur à renforcer sa sécurité en lui donnant un bénéfice en échange, par exemple garde son mot de passe plus longtemps. L’ANSSI ne recommande plus dans ses dernières de recommandations de forcément changer le mot de passe au bout d’un certain nombre de jours pour les comptes sans privilèges.

La formation est nécessaire donc mais il faut que les éditeurs de logiciels de sécurité trouvent le moyen d’inciter les utilisateurs à appliquer ces principes, que ce soit par des phrases de passe mémorisables facilement ou un mot de passe long qui n’expire pas au bout de 30 jours. Il faut également empêcher les procédés prédictifs que l’ANSSI nomme motifs que les utilisateurs ont toujours tendance à reproduire, mots de passe avec un chiffre incrémenté à chaque changement de mot de passe, structure du mot de passe commençant par une majuscule, suivie de minuscule et d’un nombre à la fin etc….

Quels outils et solutions peuvent être envisagés afin de renforcer la robustesse des mots de passe utilisés par les employés ? 

Les solutions Specops sont particulièrement adaptés à ce cas de figure. Dans sa recommandation R27 de son dernier guide, l’ANSSI recommande un outil permettant de :

• Vérifier que les politiques de mots de passe soient bien appliquées
• Définir un mot de passe fort avec une entropie supérieure à 14 caractères
• Bloquer les mots de passe figurant sur des listes de mots passe compromis
• Limiter l’utilisation de motifs type « azerty » ou de répétition de motifs

Ces différents critères correspondent à notre solution Specops Password Policy et son extension Breached Password Protection qui bloque plus de deux milliards de mots de passe.

Chez Specops, nous nous efforçons de réaliser des produits qui remplissent exactement leur rôle, c’est-à-dire renforcer la sécurité des environnements Microsoft Active Directory des entreprises en leur permettant d’affiner les politiques de mots de passe. Nous ne sommes bien sûr pas les seuls à aller dans ce sens mais la solution Specops Password Policy et Breached Password Protection n’a pas de vrai équivalent en termes de rapport coût/efficacité sur le marché à l’heure actuelle.

Plus de 90 % des cyberattaques reposent sur l’ingénierie sociale ? Pouvez-vous nous en dire un peu plus sur ce phénomène ? 

Les chiffres varient si l’on inclut les attaques sur les particuliers ou sur les organisations. Dans tous les cas de figure, l’ingénierie sociale repose sur la manipulation et la psychologie plus que sur une vulnérabilité informatique. En cybersécurité, le maillon faible est toujours l’être humain. Il s’agit pour l’attaquant de récolter au préalable le maximum d’informations sur les processus de sécurité et d’authentification au sein de l’entreprise et de trouver une faille où il peut s’infiltrer et récupérer des identifiants.

Un exemple que nous utilisons souvent dans nos explications est le cas d’un grand acteur du secteur du jeu vidéo, EA, qui a été la victime d’une fuite de données importantes dont les codes sources de certains de ses jeux. L’attaquant s’est fait passer pour un employé ayant perdu son téléphone lors d’une soirée et qui n’était plus en mesure d’activer son authentification multi facteurs pour se connecter au réseau interne de l’entreprise. Il a donc contacté le support de l’éditeur sur le système de messagerie instantanée interne et a demandé une réinitialisation de son jeton d’authentification. Sans moyen d’authentifier l’utilisateur, l’employé du service technique s’est exécuté et a permis à l’attaquant de s’infiltrer. Comme vous le voyez, ces attaques exploitent les failles humaines et organisationnelles. Cela peut passer par de l’hameçonnage avec des données récoltées sur les réseaux sociaux mais les attaquants chercheront toujours la faille où ils pourront s’infiltrer et manipuler leur interlocuteur.

Pour s’en prémunir, il faut constamment s’adapter aux différentes attaques et mettre en place des processus pour chaque cas. C’est fastidieux et 9 fois sur 10, ce n’est pas nécessaire mais il suffit d’une seule tentative réussie pour mettre à mal toute l’organisation et provoquer des dégâts s’élevant à des millions d’euros.

Quelles solutions adopter pour que les services IT ne tombent pas les différents pièges des hackers ? 

Pendant encore probablement des années, nous devrons faire confiance aux mots de passe que ce soit comme premier niveau de sécurité ou au contraire comme alternative si l’authentification multifactorielle est temporairement indisponible.

Une bonne politique de mots de passe restera encore longtemps essentielle mais pas suffisante par elle-même. Il faut allier cela avec un second niveau de sécurité, avec l’authentification multi facteurs (MFA) tout en veillant à ce que le personnel soit formé et ne contourne pas les systèmes de protection mis en place.

Comment garder une longueur d’avance sur les pirates informatiques ?

Je ne vous le cache pas, ce n’est pas facile. Même les entreprises proposant de l’authentification biométrique sont victimes d’attaques de cybercriminels qui souhaitent mettre la main sur les identifiants stockés dans les bases de données.

Le but n’est pas d’être infaillible à 100% malheureusement mais c’est de protéger à 80% votre organisation pour rendre les derniers 20% complexes et trop onéreux en temps pour les pirates.

Je répéterai ici le même mantra que vous entendrez de nombreux experts en cybersécurité :

• Mettez à jour vos logiciels et outils régulièrement
• Équipez-vous des bons outils qui protègeront les vulnérabilités les plus souvent exploités. Cela implique de filtrer impérativement les mots de passe faibles ou trop courts une bonne fois pour toute mais aussi ceux qui sont compromis.
• Implémentez une solution d’authentification multi facteur particulièrement pour les comptes avec privilèges.

<<< À lire également : Julie Boucon et Stéphanie Bourgeois, co-fondatrices de Holy Owly, l’application qui révolutionne l’apprentissage des langues pour les enfants >>>