Un générateur de mots de passe aléatoire pour la sécurité des entreprises
Dans un contexte cyber toujours plus tendu, la force des mots de passe revêt une importance capitale.
Selon le rapport 2023 du CESIN, le phishing, qui consiste à récupérer des identifiants, en particulier des mots de passe, reste le principal vecteur d’attaque contre les entreprises.
Près de 75% des attaques subies commencent par du phishing car même un mot de passe, à première vue sans impact pour la sécurité, peut mener à de lourdes conséquences si des hackers l'utilisent habilement. Dans ce contexte, l'utilisation d'un coffre-fort de mots de passe est non seulement une solution pratique mais est aussi un impératif de sécurité.
Pourquoi les identifiants sont cruciaux pour la sécurité des entreprises ?
Nos modes de travail évoluent, le nombre de mots de passe explose.
Avec la digitalisation forte de nos organisations, qui a d’ailleurs connu un second boom lors du COVID, le nombre d’outils et d’applications numériques permettant aux collaborateurs de gérer, partager ou accéder à de l’information a fortement augmenté.
Les solutions “SaaS” (software as a service) sont par exemple passées de 16 par collaborateurs en 2017 à plus de 130 en 2022 ! (Etude Better Cloud).
Cette multiplication d’outils a mécaniquement augmenté le nombre de mots de passe à gérer par chaque personne, provoquant l’apparition de mauvaises pratiques bien connues :
Mots de passe identiques pour toutes les applications.
Mots de passe stockés dans les navigateurs web.
Mots de passe écrit dans des carnets ou sur des post-it.
Mots de passe conservés dans un fichier csv sur le bureau.
En effet, pour chacun de nos outils, un mot de passe unique doit être créé, géré, stocké et même renouvelé régulièrement afin de limiter le risque de fuites.
Les mots de passe : Un enjeu essentiel pour les entreprises
Les mots de passe sont donc la porte d’entrée à une multitude de ressources numériques.
Ils sécurisent les accès à des données cruciales comme :
Les données personnelles des collaborateurs ou des clients (via le CRM par exemple)
Des accès aux outils internes de l’entreprise (Back-Office par exemple)
Les réseaux sociaux de l’entreprise
Des comptes appartenant à des clients (Pour les agences)
Les accès aux ressources de la DSI
Des bilans financiers ou comptables (via les outils de trésorerie)
Il est donc évident que confier la création de ces accès à chaque collaborateur peut engendrer un risque considérable de cyberattaque.
Les employés, pour des raisons de commodité, tendent souvent à créer des mots de passe simples et mémorisables ou à utiliser le même mot de passe partout, une porte ouverte pour les cyber attaquants.
Un projet nommé Projet Richelieu a d’ailleurs été développé en 2019 afin d’aider les responsables de la sécurité des données au sein des entreprises à mieux protéger les accès dont voici la genèse :
“Richelieu est une liste des mots de passe français les plus communs. Elle est basée sur des fuites de données connues du public. Ces fuites ont été retravaillées afin de conserver uniquement les mots de passe liés aux adresses email finissant en “.fr”. De plus, la liste obtenue est fréquemment soumise à des analyses afin de trouver les mots de passe les plus communs.
L’objectif est de fournir aux CISO et DSI français un dictionnaire plus précis pour mener des tests de sécurité sur leur infrastructure via des attaques brute force.”
Les attaques par dictionnaire sont souvent utilisée en cryptanalyse pour tester la robustesse des accès. Elles consistent simplement à tester tous les mots de passe présent dans un "dictionnaire" (une liste d'identifiants couramment utilisés) afin de vérifier si l'accès utilisé est bien unique et robuste et que sa longueur est suffisante.
Les mots de passe faibles : Une porte d’entrée pour les cyberattaques.
Tout le monde a utilisé au moins une fois : "1234" comme mot de passe.
On pourrait penser que ces mots de passe faibles sont uniquement utilisés pour des comptes inutiles et que tout le monde se sert de chaines de caractères plus complexe, contenant des majuscules, des minuscules, des chiffres et même des caractères spéciaux afin de sécuriser au mieux ses comptes en ligne.
Cependant l'importance de protéger ses données n'est pas encore ancrée pour tous et beaucoup utilisent des identifiants simplistes ou basés sur des informations personnelles comme leur date de naissance donc peu robustes.
Les statistiques sont d'ailleurs alarmantes : une étude récente de Verizon montre qu'une large majorité des violations de données sont dues à des mots de passe faibles ou volés. Ces chiffres illustrent l'ampleur du danger que représentent les mots de passe peu robustes pour la sécurité des entreprises.
Il faut donc réussir à bannir les mauvaises pratiques des collaborateurs afin de permettre de protéger efficacement toutes vos données, tout en instaurant des méthodes et politiques de sécurité claires pouvant être appliquées simplement par l’ensemble des collaborateurs.
Pourquoi utiliser un générateur de mots de passe aléatoires ?
L’avantage de générer des mots de passe aléatoires
L'utilisation d'un générateur de mots de passe aléatoires offre une double garantie : robustesse et unicité.
Robustesse : Vous êtes certains que vos mots de passe seront forts et sécurisés.
Unicité : Tous vos accès seront générés de la même manière, aucun ne peut donc représenter une faiblesse.
Un mot de passe généré aléatoirement est presque impossible à deviner, car il ne suit aucun schéma logique ou prévisible.
Attention cependant, si la longueur de l'identifiant est insuffisante où s'il n'utilise qu'un seul type de caractères (uniquement des chiffres ou des minuscules) il pourra quand même être sensible à une attaque de brute force bien qu'étant à priori robuste.
Mais un autre défi demeure : La gestion et le stockage de ces mots de passe.
Noter ces mots de passe sur un post-it un fichier Excel ou sur son téléphone n'est clairement pas la solution, compte tenu des risques de perte ou de vol. C’est pourtant un comportement souvent observé par les RSSI ou responsable cyber au sein des entreprises.
Malheureusement, il est parfois complexe de changer les habitudes des collaborateurs les moins techniques concernant la gestion de leurs mots de passe. Ces derniers ne sont pas opposés à l’idée d’adopter des pratiques plus sécurisées mais cela doit rester rapide et simple d’utilisation pour ne pas nuire à leur productivité.
Nous verrons plus tard comment bien gérer ses mots de passe, une fois générés aléatoirement.
Le respect des règles de cybersécurité
Plusieurs référentiels existent aujourd’hui autour des mots de passe et de leur génération.
Ces référentiels permettent de donner un cadre aux organisations quant à la sécurisation de leurs accès.
Nous vous en partageons trois ci-dessous :
Les recommandations de l’ANSSI ;
Les recommandations de la CNIL ;
La norme ISO27001.
L’un des points importants quand on choisit de générer des mots de passe aléatoires c’est que l’on peut plus simplement faire respecter les recommandations de l’ANSSI (Agence nationale de la sécurité des systèmes d'information) au sein de son entreprise.
En effet, selon l'ANSSI, un mot de passe doit comporter au minimum 15 caractères et mélanger majuscules, minuscules, chiffres et caractères spéciaux pour être considéré comme fort.
Bien que ces règles puissent être respectées sans l'aide d'un générateur, les utilisateurs ont tendance à créer des mots de passe prévisibles, pour mieux s’en souvenir, en incorporant des chiffres et des symboles de manière transparente, par exemple en transformant "password" en "p@ssw0rd".
Ces versions à priori robustes de mots de passe sont bien connues des hackers et ne représentent pas une sécurité fiable face à eux.
Un outil type générateur aléatoire évite ces pièges en créant des combinaisons imprévisibles, complexes et donc plus sécurisées.
En plus de réduire les risques de cyberattaques l’utilisation d’un générateur de mots de passe permet de s’aligner avec les directives de la CNIL.
Bien que cette dernière conseille l’utilisation d’une double authentification plutôt qu’un seul mot de passe, elle admet que le seul mot de passe sécurisé est suffisant pour de nombreux cas d’usages notamment ceux n’impliquant pas de données personnelles.
Enfin, que vous cherchiez à obtenir ou renouveler la certification ISO 27001, cette dernière pose également un cadre clair autour de la question du “Qui a accès à quoi ?”.
Cette question fait en effet partie intégrante de la norme et doit donc aussi orienter vos réflexions et travaux.
Plus précisément, l’annexe A.9 de la norme aborde l’enjeu du contrôle d’accès logique à travers 4 sous-sections que nous avons synthétisées ci-dessous :
A.9.1 Exigences métier du contrôle d’accès : Définir les processus détaillant qui doit avoir ou accès à quoi.
A.9.2 Gestion des accès utilisateurs : Définir les processus permettant de gérer les accès aux informations par les collaborateurs dans le temps (attribution et révocation de droits d’accès).
A.9.3 Responsabilité de l’utilisateur : Définir les processus permettant aux collaborateurs de générer des accès suffisamment robustes (générateur de mots de passe) et de les partager aux bonnes personnes (gestionnaire centralisé).
A.9.4 Responsabilité d’accès aux systèmes et aux applications : Définir les habilitations de chacun au sein de l’organisation.
Des mots de passe fort pour toute votre entreprise
Utiliser un générateur de mots de passe aléatoire de manière individuelle est une première étape pour réduire le risque de cyberattaques et doit devenir une habitude.
Pour autant, l'idéal est que cette pratique devienne une habitude pour un maximum de personnes au sein des équipes.
Plusieurs leviers peuvent être mise en place et doivent, dans l’idéal, être activés conjointement :
Mettre à disposition un générateur aléatoire de mots de passe à l’ensemble des collaborateurs.
Définir une ou plusieurs politiques de mots de passe et l’imposer en fonction des droits et du niveau de privilège de chacun.
Communiquer sur les bonnes pratiques à intégrer et sur les outils à utiliser.
Ce levier "communication" est indispensable afin d’ancrer les bons réflexes dans le quotidien de l’ensemble des collaborateurs :
Utiliser un générateur de mots de passe aléatoire pour créer et/ou renouveler ses mots de passe.
Générer des mots de passe via le générateur en respectant la politique de mots de passe de l’entreprise.
Utiliser un gestionnaire centralisé de mots de passe pour gérer ses mots de passe au quotidien et accéder directement aux bonnes ressources.
En déployant un générateur de mots de passe aléatoires à chaque niveau de l'entreprise avec une politique de mot de passe adaptée, on assure ainsi une uniformité de la sécurité autour des mots de passes.
Cette unicité est essentielle en cybersécurité car, rappelons le, même un accès qui parait, à l’origine, anodin peut simplifier la latéralisation d'un attaquant au sein du système d'information de l'entreprise et la récupération d'informations critiques.
Une attaque type phishing réussie auprès d'un collaborateur au sein d’une équipe peut permettre à terme d’atteindre un dirigeant et de lui extorquer des données confidentielles. Cela s’appelle la fraude par ingénierie sociale et on en parle juste ici.
Comment bien utiliser un générateur de mots de passe aléatoire ?
Quels paramètres utiliser quand on génère un mot de passe fort ?
"Comment créer un mot de passe sécurisé ?" Vous vous êtes sans doute déjà posé la question.
En réalité c'est assez simple.
Il existe deux paramètres principaux influant sur la robustesse d’un mot de passe :
Le nombre de caractères utilisés, tout simplement la longueur du mot de passe.
Le jeu dans lequel ces caractères sont piochés. On entend par jeu l’ensemble des caractères pouvant être inclus dans votre mot de passe.
Lors de la création d'un mot de passe, les recommandations de l'ANSSI suggèrent un minimum de 15 caractères issus d'un large éventail de symboles, incluant majuscules, minuscules, chiffres et caractères spéciaux.
Chez LockSelf, nous conseillons d'aller au-delà, en optant pour une longueur de 18 caractères. Cette recommandation, bien que semblant plus exigeante, offre une sécurité accrue pour un coût minime en termes de complexité. Et avec les outils adéquats rien ne vous empêche d'opter pour des longueurs bien plus importantes afin de toujours proposer des accès plus robustes.
En effet, selon une étude de Hive Systems, un mot de passe de 18 caractères augmente exponentiellement le temps nécessaire à un potentiel piratage, renforçant ainsi considérablement la barrière de sécurité face aux pirates.
Nombre de caractères | Seulement des nombres | Minuscules | Nombres, minuscules, majuscules | Nombres, minuscules, majuscules, caractères spécifiques |
---|---|---|---|---|
12 | 2 semaines | 2 000 ans | 97 millions d'années | 419 millions d'années |
13 | 4 mois | 75 000 ans | 6 milliards d'années | 29 milliards d'années |
14 | 3 ans | 1 millions d'années | 376 milliards d'années | 2 trillions d'années |
15 (Recommandation de l'ANSSI) | 30 ans | 50 millions d'années | 23 trillions d'années | 144 trillions d'années |
16 | 303 ans | 1 milliards d'années | 1 qd d'années | 10 qd d'années |
17 | 3 000 ans | 34 milliards d'années | 89 qd d'années | 705 qd d'années |
18 | 30 000 ans | 894 milliards d'années | 5 qn d'années | 49 qn d'années |
Pour terminer sur les bonnes pratiques autour de la génération de mots de passe aléatoire, une des méthodes existante est la phrase de passe ou passphrase. C’est une alternative intéressante aux mots de passe traditionnels car elles comportent bien plus de caractères.
Ces séquences de mots forment souvent des phrases ayant un sens, ce qui les rend plus faciles à mémoriser tout en étant relativement robustes. Cependant, les passphrases ne sont pas exemptes de failles. Leur génération n'est pas toujours aléatoire, et elles peuvent manquer de diversité en termes de caractères, limitant ainsi leur efficacité. Par exemple, toujours selon une étude de hive système, le simple fait de combiner des chiffres avec des lettres minuscules peut multiplier la robustesse d’un mot de passe par 100 et bien plus.
C’est pourquoi les passphrases souvent uniquement composées de lettres peuvent être problématiques.
De plus si vous n'utilisez pas d'outil afin de stocker vos identifiants une passphrase peut s'avérer complexe à mémoriser, bien qu'ayant un sens.
Comment combiner le générateur avec d'autres mesures de sécurité.
Il est impératif de rappeler à vos collaborateurs et à vos directions que, bien que les mots de passe robustes soient essentiels, ils ne constituent qu'une facette de la stratégie globale de sécurité. En effet les mots de passe peuvent être volés via des attaques de phishing par exemple et dans ce cas, leur robustesse importe peu.
L'ANSSI recommande donc l'utilisation de l'authentification multifacteur (MFA) pour renforcer la protection des comptes. La combinaison de mots de passe forts générés aléatoirement avec d'autres formes d'authentification, telles que la validation par téléphone ou les clés de sécurité, forment un rempart bien plus solide contre les tentatives d'intrusion.
Le stockage des mots de passe : Une erreur trop commune
Nous l’évoquions plus haut dans cet article mais l'un des écueils les plus courants dans la gestion des mots de passe est leur stockage inadéquat.
"Avoir un verrou difficile à forcer est un excellent début, mais si la clé est laissée à la vue de tous, les efforts sont vains."
Nous avons souvent rencontrés des DSI inquiets sur les sujets des mots de passe car leurs collaborateurs stockaient ces derniers sur :
Des posts-its laissés à la vue de tous
Des fichiers excel échangés par drive
Directement dans des messageries instantanées (Slack par exemple)
Dans des mails échangés parfois depuis plusieurs mois
Dans leur téléphone sur une note.
L'utilisation conjointe de générateurs de mots de passe et de gestionnaires de mots de passe est donc cruciale.
Ces derniers permettent de stocker de manière sécurisée l'ensemble des mots de passe, éliminant ainsi la nécessité de les mémoriser ou de les noter sur des supports vulnérables.
Et pour encore plus de rapidité et de simplicité, les gestionnaires de mots de passe proposent des outils d'auto remplissage des champs via des plugins navigateurs pour vous connecter en deux clics ou pour enregistrer vos nouveaux accès lors de la création d’un compte.
Une fonctionnalité très pratique quand on connait le nombre de mot de passe qu'une seule personne doit gérer chaque jour.
Intégrez le générateur de mots de passe de Lockself à votre système d'information
Comme nous l’avons évoqué précédemment pour sécuriser au mieux vos accès il est nécessaire d’utiliser un générateur de mots de passe aléatoires.
Ensuite afin d’éviter tout problème de stockage il faut coupler ce générateur avec un gestionnaire de mots de passe qui permet de les conserver en lieu sûr.
Enfin vis-à-vis de la gestion des accès, la réponse à la question : “Qui a accès à quoi ?” Il faut également faire attention à sélectionner un gestionnaire pensé pour les entreprises qui facilitera votre travail en tant qu’administrateur et responsable de la sécurité.
Si l’on résume ces trois points on obtient :
Une génération de mots de passe robuste forcée par une politique adaptée
Un coffre-fort sécurisé pour stocker chaque compte de votre entreprise
Une gestion du coffre avancée pour bien attribuer et suivre l’utilisation des accès
LockPass, le coffre-fort de mots de passe de LockSelf répond à ces trois attentes en incluant un générateur de mot de passe dont vous pouvez tester une version adaptée sur cette page.