Pour assurer leur cybersécurité, les entreprises comme les particuliers optent de plus en plus souvent pour une solution de gestion des mots de passe. Ces solutions sont des applications qui stockent et protègent les mots de passe des comptes en ligne. Elles permettent d’éviter certaines des conséquences économiques les plus dommageables d’une cyberattaque. Un bon gestionnaire de mots de passe génère des mots de passe forts et uniques pour chacun des comptes d’une entreprise. Parce qu’elles empêchent les cyberattaquants d’obtenir facilement des données sensibles, les solutions de stockage des mots de passe sont la première ligne de défense des entreprises modernes.
Les experts en cybersécurité recommandent vivement d’utiliser un gestionnaire de mots de passe pour stocker les informations de compte en toute sécurité. Il est même recommandé aux entreprises, administrations et autres grandes organisations d’installer des gestionnaires de mots de passe sur tous les terminaux connectés, notamment les ordinateurs de bureau, les ordinateurs portables, les tablettes et les smartphones. En effet, ces institutions, qui créent et stockent des données de valeur, sont souvent la cible des cyberattaquants. En assurant la sécurité de leurs comptes, elles réduisent ainsi les chances de réussite des cyberattaques.
Pourquoi utiliser une solution de stockage des mots de passe ?
L’environnement de travail connecté des entreprises se traduit généralement par l’utilisation de plusieurs dizaines de comptes en ligne. Or, les difficultés liées à la gestion des identifiants de connexion de tous ces comptes augmentent la probabilité que certains collaborateurs lésinent sur la cybersécurité et exposent alors leur compte et leur entreprise aux cyberattaques.
Sans solution de stockage des mots de passe, on observe deux comportements risqués en matière de configuration et d’enregistrement des identifiants de connexion. Le premier est le partage d’identifiants. Celui-ci consiste à utiliser le même nom d’utilisateur ou le même mot de passe pour plusieurs comptes. S’il est indéniable que cette technique facilite la mémorisation, elle expose néanmoins les entreprises aux menaces. Le deuxième est la création de mots de passe faibles, simples et donc faciles à mémoriser. En privilégiant la commodité au détriment de la cybersécurité, vos collaborateurs ouvrent la voie aux cyberattaques.
Il est théoriquement possible de créer et d’enregistrer plusieurs mots de passe utilisateur uniques et complexes pour différents comptes. Néanmoins, ce processus est fastidieux, car il oblige les utilisateurs à garder leurs identifiants sur eux en permanence, généralement dans un format papier. Dans une grande entreprise, le risque qu’un collaborateur oublie un jour chez lui le carnet sur lequel il a noté son mot de passe est très élevé.
Les solutions de stockage des mots de passe permettent d’assurer la sécurité des identifiants sensibles, sans compliquer inutilement le travail des collaborateurs. Et lorsque ces derniers sont régulièrement amenés à travailler sur différents terminaux, il peut s’avérer judicieux d’utiliser un référentiel de mots de passe qui synchronisera les mots de passe sur ces multiples terminaux.
See Crowdstrike Falcon In Action
Téléchargez le livre blanc Identity & Security: Addressing the Modern Threat Landscape pour découvrir comment la cybersécurité et l’IAM ont évolué afin de protéger les personnes, les processus et les technologies des entreprises modernes dans un paysage des menaces toujours plus sombre.
TéléchargerGestionnaires de mots de passe : une protection contre les cybermenaces
Dans un environnement de travail connecté, le stockage des mots de passe est une nécessité. Les entreprises ne disposant pas d’un gestionnaire de mots de passe sécurisé s’exposent à de nombreuses cyberattaques, comme le « credential stuffing » (recyclage d’identifiants) et le « password spraying » (pulvérisation de mots de passe).
Ces deux techniques sont utilisées dans les cyberattaques basées sur l’identité. Comme leur nom l’indique, ces attaques exploitent l’identité de leur cible, à savoir le nom d’utilisateur et les identifiants de connexion. Selon une analyse réalisée par l’équipe de Threat Hunting CrowdStrike Falcon Overwatch™, 80 % des compromissions sont liées aux identités. Le stockage des mots de passe est donc un aspect important de toute stratégie de cybersécurité robuste.
Dans le cadre d’une attaque de « credential stuffing », le cyberattaquant vole les identifiants de connexion à un système et tente de les utiliser pour accéder à un autre système. Cette tactique est très répandue dans le milieu de cybercriminalité du fait de la forte probabilité de réutilisation d’identifiants pour différents comptes. On peut être, par exemple, tenté d’utiliser le même mot de passe pour accéder à son compte bancaire, à ses données de carte de crédit et aux réseaux sociaux. Si cette méthode facilite la mémorisation des identifiants, elle est néanmoins très risquée. Il est impératif que chaque compte dispose d’un mot de passe unique pour éviter les attaques de « credential stuffing ».
Cette technique, qui a gagné en popularité ces dernières années, a permis le vol et la divulgation de dizaines de milliards de noms d’utilisateur et de mots de passe. Les avancées technologiques ont également contribué à l’utilisation accrue du « credential stuffing » et il est désormais relativement facile de programmer des robots pour mener ce type d’attaque. L’adoption massive du télétravail pendant la pandémie de COVID-19 a pris au dépourvu la plupart des entreprises, qui n’avaient pas encore acquis les bonnes pratiques en matière de cybersécurité.
Le « password spraying », ou pulvérisation de mots de passe, est une tactique quelque peu différente qui consiste à essayer un même mot de passe sur différents comptes d’une application. Les auteurs de ce type d’attaque sont des personnes ou des organisations dont l’objectif est de créer du tort au sein de l’environnement numérique. Ils ont mis au point cette tactique pour contourner le blocage de comptes.
Lorsqu’un cyberattaquant essaie plusieurs mots de passe pour accéder à un compte, le compte en question est verrouillé. La technique de « pulvérisation » sur plusieurs comptes permet donc de contourner cet obstacle. Cette forme d’attaque par force brute, à savoir une approche basée sur la multiplication des tentatives pour collecter des identifiants de connexion, est particulièrement efficace sur les entreprises qui pratiquent le partage de mots de passe.
Les solutions de stockage des mots de passe peuvent aider les entreprises à se protéger contre les techniques de « password spraying » et de « credential stuffing ». Assurer le suivi des identifiants uniques de chaque collaborateur d’une entreprise est une tâche fastidieuse dont peut se charger un gestionnaire de mots de passe. L’application, qui empêche l’utilisation d’un même mot de passe pour différents comptes, rend le « credential stuffing » inefficace.
Les gestionnaires de mots de passe sont également utiles pour se protéger contre le « password spraying ». Une solution de stockage des mots de passe efficace permet de créer des mots de passe robustes et complexes, impossibles à deviner. Les équipes informatiques peuvent également se protéger contre ces attaques en mettant en place une détection des connexions et en appliquant des règles de blocage strictes.
Les différents types de gestionnaires de mots de passe
Les gestionnaires de mots de passe, qui n’exigent des collaborateurs qu’un seul jeu d’identifiants pour se connecter à plusieurs comptes, sont une forme de solution d’authentification unique. L’authentification unique (SSO, Single Sign-On) est largement utilisée par les particuliers, les entreprises et les administrations du fait de sa commodité sans pareille. Malheureusement, toutes les solutions SSO ne sont pas sûres. Il en va de même pour les gestionnaires de mots de passe.
Les nombreux gestionnaires de mots de passe disponibles sur le marché ne disposent pas tous des mêmes fonctionnalités. Et si certaines sont secondaires, d’autres sont absolument indispensables pour la cybersécurité. Il convient de choisir la bonne combinaison de fonctionnalités pour que chacun des collaborateurs d’une entreprise puisse avoir un mot de passe fort. Le meilleur gestionnaire de mots de passe est celui qui offre à une entreprise les fonctionnalités dont elle a besoin à un prix optimal.
Chiffrement et déchiffrement
Le chiffrement est une fonctionnalité indispensable de tout gestionnaire de mots de passe. Aucune solution de stockage des mots de passe n’est utile si elle ne dispose pas d’un puissant chiffrement. Le référentiel de mots de passe du gestionnaire doit être chiffré de sorte à empêcher les cyberattaquants de récupérer d’un seul coup tous les mots de passe d’une entreprise.
Intégration et indépendance
Certains gestionnaires de mots de passe sont intégrés aux navigateurs web via des plug-ins. L’intégration aux navigateurs est utile, car elle permet de remplir automatiquement les formulaires sur les sites web, ce qui est très pratique. En revanche, cette intégration génère un risque en matière de cybersécurité et doit donc être évaluée au cas par cas.
Local et cloud
Les gestionnaires de mots de passe dans le cloud sont généralement considérés comme plus performants que les gestionnaires locaux, car ils permettent la connexion à un compte depuis n’importe quel terminal. Une solution locale de stockage des mots de passe ne fonctionne que sur un terminal, ce qui limite son utilité dans l’environnement moderne actuel.
À l’instar des intégrations aux navigateurs, les outils cloud présentent leurs propres vulnérabilités. En règle générale, à puissance de chiffrement égale, un gestionnaire de mots de passe local sera plus sûr qu’une solution de stockage des mots de passe cloud. Les entreprises doivent donc choisir le gestionnaire de mots de passe qui offre le juste équilibre entre commodité et sécurité.
Génération de mots de passe
La génération de mots de passe est une fonctionnalité précieuse de toute solution de stockage des mots de passe. Un bon générateur de mots de passe utilise un algorithme pour créer des mots de passe aléatoires. Les entreprises peuvent utiliser cette fonctionnalité pour éliminer les mots de passe faibles et s’assurer que leurs identifiants sont protégés par des mots de passe uniques et forts.
Bien que cela puisse sembler impossible, la génération aléatoire de mots de passe peut créer des combinaisons prévisibles du fait de l’utilisation d’algorithmes pseudo-aléatoires par certains générateurs. L’utilisation de certains générateurs de mots de passe en ligne n’est donc pas sans risque. Les experts en cybersécurité recommandent l’utilisation de générateurs de mots de passe open source, plus fiables car soumis à une évaluation individuelle, ou l’utilisation de gestionnaires de mots de passe capables de vérifier que les mots de passe générés par leurs algorithmes sont bien aléatoires.
Authentification multifacteur
L’authentification multifacteur, ou MFA (Multifactor Authentication), est la norme utilisée dans des secteurs tels que la finance, les soins de santé et la police. Quiconque a utilisé un distributeur automatique de billets a fait l’expérience de l’authentification multifacteur, la carte et le code PIN constituant deux formes de vérification d’accès à un compte bancaire. Cette fonctionnalité est indispensable à toute solution de stockage des mots de passe fiable.
Les solutions de stockage des mots de passe pouvant être personnalisées, il est possible de mettre en place une authentification multifacteur pour l’accès aux données hautement sensibles d’une entreprise. L’authentification multifacteur ne peut garantir la sécurité des ressources vitales, mais constitue un sérieux obstacle pour les cyberattaquants.
L’authentification biométrique est un type d’authentification multifacteur de plus en plus utilisée par les entreprises soumises à des normes de cybersécurité très strictes. Elle peut s’effectuer par une reconnaissance oculaire ou d’empreintes digitales, processus difficiles à contourner.
Options de stockage
Les solutions de stockage des mots de passe peuvent proposer différentes options. Les grandes entreprises ont besoin d’un stockage illimité pour prévenir les compromissions de données. Chaque mot de passe enregistré utilisé par un collaborateur doit être impérativement stocké en toute sécurité dans un référentiel. Pour renforcer la protection contre les compromissions de données, une fonctionnalité de génération et d’utilisation d’un nombre illimité de mots de passe sur plusieurs terminaux peut être utile.
Avantages et risques liés à l’utilisation d’un gestionnaire de mots de passe
Les gestionnaires de mots de passe sont censés combiner sécurité et commodité. En générant un ensemble de mots de passe complexes, ils attribuent des mots de passe forts à chaque compte d’une entreprise. En centralisant le stockage des mots de passe et en automatisant le processus de connexion, ils réduisent la charge de travail des collaborateurs. En apparence, c’est la solution idéale.
Pourtant, les gestionnaires de mots de passe ne sont pas exempts de risques. Certains experts en sécurité s’inquiètent du risque de création d’une situation d’aléa moral, facteur de déresponsabilisation des collaborateurs en matière de sécurité. De fait, chaque collaborateur se connectant à un compte d’entreprise doit contribuer à la protection des ressources vitales de l’entreprise.
En outre, les spécialistes de la cybersécurité soulignent que les entreprises constituent la principale cible des cyberattaques et que la centralisation offerte par les gestionnaires de mots de passe, si elle simplifie la vie des collaborateurs, est un atout pour les cyberattaquants. Ils estiment que, même si fastidieuse, l’approche consistant à noter ses mots de passe sur papier ne présente aucun cyberrisque,
ce qui n’est le cas d’aucun gestionnaire de mots de passe. C’est pourquoi les experts en cybersécurité recommandent l’utilisation de l’authentification multifacteur pour protéger le mot de passe principal d’un gestionnaire de mots de passe. Dans le cas où un cybercriminel parviendrait à découvrir ce mot de passe, la MFA l’empêcherait d’accéder au compte.
Aucun gestionnaire de mots de passe n’est infaillible. Si un cybercriminel s’empare des identifiants de connexion et peut physiquement accéder à un terminal, aucune solution de stockage des mots de passe ne pourra préserver la sécurité des données. C’est pourquoi la sécurité physique est une composante essentielle de toute stratégie de cybersécurité.
Tout ce que vous devez savoir sur les gestionnaires de mots de passe intégrés aux navigateurs
Tous les principaux navigateurs web intègrent un gestionnaire de mots de passe. Ces solutions sont pratiques et la plupart permettent de remplir automatiquement les formulaires. En revanche, elles ne sont pas dotées des protections suffisantes requises par une entreprise pour assurer la sécurité de ses informations vitales.
Par exemple, les solutions de stockage des mots de passe offertes par Google Chrome et Microsoft Edge stockent les mots de passe sans chiffrement sur le disque dur du terminal. Autrement dit, n’importe quel cybercriminel obtenant un accès au disque dur pourra récupérer tous les mots de passe d’une entreprise. À moins que le disque dur ne soit lui-même chiffré, ces outils créent une faille de cybersécurité majeure. Le gestionnaire de mots de passe de Google Chrome et la solution de stockage de Microsoft Edge peuvent stocker des mots de passe forts, mais ne peuvent les protéger efficacement contre une cyberattaque.
Certains gestionnaires de mots de passe de navigateurs web, comme celui de Mozilla Firefox, proposent un chiffrement, mais aucun générateur de mots de passe permettant aux entreprises de disposer de mots de passe forts. En outre, il n’est pas non plus doté de synchronisation entre plateformes en raison de l’absence de synchronisation de Mozilla Firefox sur les terminaux iOS. Dans la mesure où le télétravail fera selon toute vraisemblance partie du paysage professionnel pour les années à venir, c’est une faille de sécurité majeure.
Configuration d’un gestionnaire de mots de passe
Les gestionnaires de mots de passe sont relativement simples à configurer. L’étape la plus importante de ce processus est la création du mot de passe principal qui détient la clé d’accès à toutes les informations de compte de l’entreprise et doit être particulièrement complexe. Pour obtenir un mot de passe complexe, on peut utiliser un générateur de mots de passe aléatoires.
Il est conseillé de stocker « à l’ancienne », sur papier, ce mot de passe. L’authentification multifacteur est recommandée comme bonne pratique pour la connexion au gestionnaire de mots de passe. Dans certains cas, une authentification biométrique peut être un choix intéressant pour le mot de passe principal. De ce fait, même si un cybercriminel parvient à découvrir le mot de passe principal, il ne pourra pas accéder aux données stratégiques de l’entreprise.
Mais attention, certains cyberattaquants particulièrement doués ont trouvé des moyens de contourner la MFA. Dans l’une de ses études, CyberArk Labs a démontré que des données sensibles pouvaient être extraites de la mémoire du navigateur Google Chrome. Pour ce faire, le cybercriminel doit avoir accès au terminal utilisant Google Chrome, ce qui n’est possible qu’en cas de faille au niveau de la sécurité physique. Cette éventualité est inquiétante, car en cas d’égarement ou de perte d’un terminal, un cyberattaquant ingénieux pourra accéder à d’autres terminaux, même si une authentification multifacteur a été mise en place.
L’étape suivante consiste à utiliser le générateur de mots de passe de la solution de stockage sécurisé des mots de passe pour renforcer les mots de passe faibles. Tous les comptes professionnels doivent être protégés par des identifiants robustes. La plupart des solutions de stockage sécurisé des mots de passe sont dotées d’un évaluateur de sécurité intégré qui évalue la force des mots de passe et recommande des modifications le cas échéant.
Du fait de la popularité du « credential stuffing », il convient de ne jamais utiliser le même mot de passe pour plusieurs comptes. Les solutions de stockage des mots de passe doivent être en mesure d’évaluer les mots de passe des utilisateurs pour identifier et mettre à jour les éventuels doublons.
En plus du stockage des identifiants de connexion sensibles, de nombreux gestionnaires de mots de passe proposent le stockage de données telles que les numéros de cartes de crédit. Le chiffrement garantit la sécurité de ces précieuses ressources. Les entreprises peuvent choisir d’utiliser ces fonctions pour optimiser l’utilisation et le partage des informations.
Les terminaux mobiles, éléments incontournables de l’environnement connecté, doivent être impérativement dotés d’un gestionnaire de mots de passe s’ils doivent être utilisés pour accéder aux informations de l’entreprise. Les téléphones portables et les tablettes peuvent servir de passerelles pour accéder à plusieurs comptes. Il est donc recommandé d’interdire aux collaborateurs d’enregistrer des informations de connexion sur ce type d’appareil dans la mesure où la méthode utilisée pour ce faire peut ne pas être sécurisée.