Il est temps de remplacer les mots de passe par des clés d’accès

La découverte par des chercheurs de Cybernews de près de dix milliards de mots de passe dérobés pourrait contribuer à accélérer la transition vers les clés d’accès.

C’est la plus grande cache de mots de passe jamais découverte : 9 948 575 739 mots de passe uniques ont été retrouvés dans un fichier rockyou2024.txt qui a été utilisé pour agréger les mots de passe que les cybercriminels auraient apparemment utilisés pour mener des attaques par force brute à grande échelle. L’objectif est de lancer une vague d’attaques dans l’espoir qu’un certain pourcentage des mots de passe volés n’ait pas été modifié.

Depuis des décennies, les cybercriminels créent des répertoires de mots de passe volés. On ignore combien, mais ces dernières années, il est devenu évident que les violations sont davantage le fait d’identifiants volés que de malwares. En fait, de nombreux cybercriminels ne voient pas la nécessité de créer des malwares pour compromettre les environnements informatiques alors que des identifiants volés sont facilement accessibles. Cela ne veut pas dire qu’ils ne créent plus de souches de malwares. Après avoir obtenu un accès à l’aide d’identifiants volés, les cybercriminels installent souvent des malwares qui se propagent ensuite dans un environnement informatique distribué.

Le problème est que de trop nombreuses entreprises continuent de s’appuyer sur des mots de passe autonomes qui sont relativement simples à voler. Heureusement, les clés d’accès basées sur une spécification définie par la FIDO Alliance sont récemment apparues comme une alternative utilisant un certain type d’authentification biométrique. Les clés d’accès utilisent des techniques de chiffrement à clé publique pour fournir une authentification résistante à l’hameçonnage. Lorsqu’il accède à une application ou à un service, un appareil client crée une nouvelle paire de clés cryptographiques liée au domaine du service Web. L’appareil conserve la clé privée et enregistre la clé publique auprès du service en ligne qui est propre à cette application ou à ce service.

Toutes les entreprises ne pourront pas remplacer les mots de passe du jour au lendemain, mais au minimum, tout mot de passe créé aujourd’hui devrait être généré par un système, utilisé pour un seul compte, sécurisé dans un gestionnaire de mots de passe et utilisé en combinaison avec une authentification multifacteur (MFA) qui inclut une application d’authentification.

Les entreprises qui continuent de s’appuyer sur des mots de passe autonomes courent aujourd’hui un risque beaucoup plus grand que celles qui ont adopté les clés d’accès. Toutefois, la sécurité absolue n’existe pas. Les cybercriminels peuvent toujours, par exemple, utiliser des cookies de manière abusive pour contourner les mécanismes d’authentification par clé d’accès, mais les clés d’accès réduisent le recours à des mots de passe autonomes faciles à voler.

La difficulté réside dans l’implémentation des clés d’accès, qui demande du temps et des ressources. Les entreprises qui passent à des clés d’accès ou à tout autre type d’authentification devront peut-être encore gérer leurs mots de passe pendant de nombreuses années. C’est pourquoi elles devraient, au minimum, les modifier régulièrement afin d’améliorer leur posture de cybersécurité globale.

Les équipes de cybersécurité doivent supposer que les identifiants précédemment volés ont été utilisés pour installer des malwares dans leurs environnements informatiques et qu’elles doivent les traquer avant qu’ils ne soient inévitablement activés. Tout aussi important, elles doivent faire en sorte que les dirigeants comprennent clairement les limites des mots de passe.

L’abandon des mots de passe est un défi autant culturel que technique. Nous utilisons des mots de passe sous différentes formes depuis que le premier gardien a demandé un laissez-passer à quelqu’un il y a des siècles. Les mots de passe sont, pour le meilleur ou pour le pire, ancrés dans la psyché humaine. La seule différence entre aujourd’hui et la création du premier mot de passe, comme le montre le fichier rockyou2024, est qu’ils sont désormais trop faciles à voler.