Discussion :

[Jonathan]

Un réseau sur trois a des mots de passe exposés avec des utilisateurs dotés de privilèges excessifs
Laissant la porte ouverte aux pirates

À cette ère des technologies de l’information et de la communication, où les informations sont conservées sur des supports numériques, il est plus qu’important de s’assurer que ces dernières soient inaccessibles aux personnes non autorisées. Malheureusement on entend très souvent qu’il y a eu des intrusions dans des serveurs entraînant d'énormes compromissions de données.

Sachant que les administrateurs réseau mettent parfois en place des protocoles de sécurité réputés très efficaces, on pense parfois que les pirates sont beaucoup plus malins ou compétents pour contourner tous les mécanismes de protection et pourtant ce n'est pas toujours le cas. Le cas de violation de SingHealth, la plus grande organisation de santé de Singapour en est une illustration. Lors de cette attaque, 1,5 million de dossiers médicaux avaient été volés incluant ceux du Premier ministre de Singapour, Lee Hsien Loong.

En conséquence, une enquête spéciale avait eu lieu, révélant que SingHealth présentait plusieurs failles et vulnérabilités qui auraient pu être facilement exploitées par des attaquants, notamment un compte d’administrateur local avec un mot de passe très faible. En fait, l’un des moyens permettant aux pirates de se déplacer dans le réseau consistait à utiliser des comptes locaux compromis. On comprend donc qu’il peut suffire à un pirate d’avoir accès au mot de passe d’un employé pour s’introduire dans le réseau et aussi alarmant que cela puisse paraître, plusieurs employés ne se donnent pas la peine de se procurer un mot de passe assez fort.

Une étude de Preempt, spécialiste des identités et des accès a révélé que près d'une entreprise sur trois avait exposé des mots de passe dans les préférences de stratégie de groupe Active Directory, créant ainsi une faille dont les pirates peuvent se servir pour traverser le réseau de l'entreprise. L'étude est basée sur des données provenant de l'application Inspector gratuite de Preempt. Pour tester la force du mot de passe, Preempt a créé un dictionnaire de mots de passe propriétaire contenant 10 millions de mots de passe les plus courants. L'année dernière, ce dictionnaire a été utilisé pour résoudre 35 % des hachages de mots de passe LinkedIn violés.

Plus de 100 organisations ont choisi de partager de manière anonyme des statistiques de sécurité avec Preempt, et des statistiques de mot de passe sont parvenues provenant de plusieurs pays : 64 % des États-Unis et 18 % d’Europe. La taille de l'échantillon comprend une variété de réseaux d'entreprise de petite taille (moins de 100 utilisateurs), de taille moyenne (100-1000 utilisateurs) et de grande taille (plus de 1000 utilisateurs).

Près de 97 % des entreprises inspectées ont révélé au moins un problème de sécurité entre les failles sur Active Directory et les stratégies de mot de passe, tandis que 72,2 % avaient des administrateurs furtifs qui sont des utilisateurs dotés de privilèges administrateur excessifs pouvant être utilisés ou manipulés par des acteurs malveillants. Il a été constaté que les entreprises ne font généralement pas le suivi des utilisateurs disposant de privilèges administrateur furtifs aussi proches des autres utilisateurs privilégiés.

Ajit Sancheti, cofondateur et PDG de Preempt a déclaré : « Alors que les dépenses en cybersécurité ont atteint des sommets sans précédent, notre étude révèle que la grande majorité des organisations est vulnérable au piratage via des attaques par force brute, des informations d'identification des utilisateurs compromises et d'autres tactiques courantes. Les informations d'identification compromises étaient responsables de 81 % des violations liées au piratage informatique l'année dernière, et nos recherches suggèrent que cette situation pourrait s'aggraver si les entreprises ne privilégient pas les meilleures pratiques en matière de mot de passe, ainsi que la visibilité et le contrôle sur les utilisateurs privilégiés. »

Parmi les autres conclusions, on note que plus une organisation est grande, plus ses mots de passe sont sécurisés. Preempt Inspector a réussi à déchiffrer 8,7 % des mots de passe dans les grandes organisations (plus de 1000 employés), contre 10,3 % dans les moyennes entreprises (100 à 1000 employés) et 16,78 % dans les petites entreprises (moins de 100 employés).

Ces statistiques sont vraiment très alarmantes, elles appellent à plus de vigilance non seulement de la part des entreprises, mais aussi de la part des employés qui doivent prendre conscience des risques et tout faire afin de ne pas laisser la moindre brèche susceptible d’être utilisée par des pirates.

Sources : preempt

Et vous ?

Que pensez-vous des statistiques données par cette étude ?
Comment jugez-vous la force de votre/vos mots de passe ?

Voir aussi :

Les pires mots de passe 2018 : « 123456 » trône en tête du classement pour la cinquième année consécutive et est suivi par « password » comme en 2017
Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?
A l'avenir, vos réactions cérébrales pourraient devenir des mots de passe, car elles sont uniques et vous n'aurez rien à retenir

[gangsoleil]

Bonjour,

Il est certain que la sensibilisation des utilisateurs, ainsi que leur formation, est absolument nécessaire. Mais il faut aussi qu'elle soit bien faite, et qu'elle touche tout le monde, y compris les administrateurs : les politiques de mots de passe actuelles sont mauvaises dans beaucoup d'entreprises (notamment sur la fréquence de changement qui est souvent bien trop grande).

Il y a beaucoup à faire, mais on est sur la bonne voie. Si on prend l'exemple du fishing (de l'hammeçonnage si vous préférez), une bonne partie des gens commencent à être méfiant, ce qui est bien. Mais la route est encore longue.

[benjani13]

Il est certain que la sensibilisation des utilisateurs, ainsi que leur formation, est absolument nécessaire. Mais il faut aussi qu'elle soit bien faite, et qu'elle touche tout le monde, y compris les administrateurs.

Exact. Des choses extrêmement basiques ne sont bien souvent pas faites. Segmenter les réseaux (VLAN user/admin, firewall entre les utilisateurs et les serveurs de backend/BDD, limiter les services exposés), surveiller les dossiers partagés sur les différents réseaux (dossiers non restreints, infos sensible accessible à tous, etc), garder un listing à jour des serveurs et des services exposés pour éviter de se retrouver avec un tas de serveurs fantômes.

Alors que les dépenses en cybersécurité ont atteint des sommets sans précédent

Peut être faudrait il moins dépenser en produits de sécurité magique hors de prix, embaucher un peu plus de personnel experts, former un peu plus les admins.