Une tendance confirmée, par le classement annuel des mots de passe faibles les plus utilisés de SplashData qui confirme pour la 7ème année consécutive « 123456 » comme mot de passe le plus usité. Force est de constater que malgré les campagnes de sensibilisation, les utilisateurs ne mesurent probablement toujours pas la portée réelle de mots de passe forts ; soit une combinaison de lettres majuscules, de minuscules, de chiffes et de caractères spéciaux, ne devant pas former un mot intelligible du dictionnaire pour éviter toute prise de contrôle de leur compte, toute usurpation d’identité ou tout vol de données personnelles.

De nos jours, la multiplication des appareils connectés dans les foyers ainsi que le nombre croissant de comptes et de profils en ligne compliquent la gestion de plusieurs mots de passe. Face à ce phénomène, il n’est pas facile de résister à la tentation de n’en utiliser qu’un seul, aussi robuste semble-t-il. En outre, que cela soit dans la sphère professionnelle ou personnelle, chaque personne détient beaucoup de mots de passe, dont certains donnent accès à des informations sensibles ou à des systèmes critiques.

La fiabilité du gestionnaire de mots de passe

Avoir un mot de passe complexe pour chaque compte ou profil en ligne est aujourd’hui la solution la plus sûre, mais gérer autant d’identifiants peut se révéler être un casse-tête. Aussi, pour faciliter la vie de ses utilisateurs, certains navigateurs offrent des gestionnaires de mots de passe par défaut qui proposent aux internautes d’entrer leurs identifiants à leur place à chaque connexion.

Bien que pratique de prime abord, cette méthode présente toutefois un défaut majeur : le recours à cette pratique par un grand nombre d’utilisateurs fait de ces derniers les cibles idéales pour le vol d’identifiants. Les cybercriminels comptent en effet sur les utilisateurs qui préfèrent la praticité à la sécurité. Les identifiants sauvegardés dans un navigateur sont donc des cibles privilégiées ; et les attaques qui les visent peuvent être menées depuis un seul poste en collectant les mots de passe des profils sur les réseaux sociaux ou d’autres identifiants sauvegardés sur l’appareil.

Les gestionnaires de mots de passe dédiés

Ces systèmes autorisent la sauvegarde, génèrent et mettent à jour tous les mots de passe depuis un coffre-fort numérique chiffré et protégé par un seul mot de passe renforcé ou par une phrase secrète. Ces outils sont de plus en plus populaires, tant parmi les consommateurs que les entreprises, mais, à l’instar de la plupart des outils et technologies, ne réduisent pas à néant les cyber-risques. Il existe pourtant des bonnes pratiques simples pour sécuriser son gestionnaire de mot de passe :

• Un mot de passe unique par session : même si un mot de passe est fort, il n’est pas recommandé de l’utiliser pour plusieurs comptes. En effet, si l’un d’eux est compromis, les autres le seront probablement aussi. Chaque mot de passe doit être créé exclusivement pour un seul compte. Pour faciliter les choses, les gestionnaires de mots de passe proposent des identifiants forts et se chargeront de s’en rappeler pour l’utilisateur ;

• Mot de passe général fort : il est la clé qui permettra d’accéder à chaque mot de passe stocké dans le gestionnaire. L’Agence nationale de sécurité des systèmes informatiques (ANSSI) conseille sur son site internet de changer son mot de passe tous les 90 jours environ et de les créer via une combinaison de lettres, de chiffres et de caractères spéciaux avec une certaine logique secrète (comme une expression ou les paroles d’une chanson), qui aidera à s’en souvenir et n’est connue que de son propriétaire ;

• Authentification multifactorielle : il s’agit de s’assurer que plusieurs méthodes d’authentification sont requises pour accéder à un compte en ligne. Cette approche est non seulement importante pour accéder à son gestionnaire de mots de passe, mais également à d’autres services sensibles comme la banque, les comptes email et les profils sur les réseaux sociaux ;

• Tentatives de phishing : selon Verizon, le phishing représentait 32 % des fuites de données confirmées et 78 % des actes de cyber-espionnage en 2019. C’est pourquoi il est important de rester vigilant et de ne jamais cliquer sur les liens ou d’ouvrir les pièces jointes envoyées par des personnes que l’on ne connait pas.

Particuliers vs entreprises : des besoins de sécurité différents

Les gestionnaires de mots de passe dédiés sont une option viable pour les usages personnels et peuvent aider à renforcer la sécurité de leurs appareils et l’information numérique. Cependant, concernant les entreprises, il est plus judicieux de se tourner vers des solutions taillées sur mesure et adaptées à leurs besoins. Les gestionnaires de mots de passe ne gèrent en effet que les identifiants d’une seule personne. Or, les employés d’une entreprise peuvent être nombreux et ont des besoins différents quant aux accès aux systèmes. Un gestionnaire de mots de passe n’est pas en mesure de gérer les accès spécifiques propres à chaque collaborateur.

Des outils professionnels sur-mesure

Toutefois, la technologie s’est adaptée aux besoins de l’entreprise pour réduire les accès au strict nécessaire selon le principe de « moindre privilège » ; empêchant ainsi les cybercriminels d’utiliser un compte compromis pour accéder directement aux informations les plus vitales. La fonction clé repose sur la gestion des accès à privilèges, c’est-à-dire une stratégie de cybersécurité qui contrôle, dirige, sécurise et scrute tout ce qui se déplace dans un environnement informatique, ainsi que toutes les activités des utilisateurs.

Le gestionnaire de mots de passe est une couche de sécurité qui permet de ne pas avoir à mémoriser tous ses mots de passe, ou de laisser cette tâche à un navigateur. Ils font gagner du temps, optimisent la sécurité et simplifient le quotidien des utilisateurs. Toutefois, une entreprise désireuse de gérer les accès aux réseaux de manière agile devrait plutôt se tourner vers une gestion des accès à privilèges. Cette dernière est en effet plus adaptée aux cybermenaces actuelles et aux besoins évolutifs d’une organisation.

Par Mathieu Richard, Directeur Commercial France chez CyberArk