Discussion :

[Sandra Coret]

Plus de la moitié des employés américains écrivent leurs mots de passe liés au travail sur des post-it, ce qui entraîne un risque important pour la cybersécurité, selon Keeper Security

Le rapport de Keeper Security montre également que 66 % d'entre eux ont déjà perdu ces étiquettes, ce qui rend difficile de savoir qui a accès aux informations sensibles de l'entreprise.

La tendance à noter les mots de passe a augmenté à l'ère du travail à distance, puisque la plupart des travailleurs (66 %) déclarent qu'ils sont plus susceptibles de noter les mots de passe liés au travail lorsqu'ils travaillent à domicile que lorsqu'ils sont au bureau. 62 % déclarent disposer d'un carnet ou d'un journal dans lequel ils enregistrent les identifiants et les mots de passe, et 81 % d'entre eux disent conserver ces carnets à côté ou à proximité de leurs appareils de travail, où ils sont potentiellement accessibles à tout passant. 51 % disent enregistrer les mots de passe dans un document sur le poste de travail de leur ordinateur.

"La transition vers un environnement de travail à distance a conduit à des pratiques de gestion des mots de passe encore plus imprudentes, ce qui est très inquiétant", déclare Darren Guccione, PDG et cofondateur de Keeper Security. "Comme la plupart des employés travaillent depuis le confort de leur domicile, ils sont devenus trop à l'aise avec la façon dont ils créent, stockent puis partagent ces mots de passe avec leur famille et leurs collègues. Le manque de rigueur en matière de cybersécurité fait non seulement courir des risques à l'individu, mais peut également avoir de nombreuses conséquences négatives pour son entreprise. Il est important de se rappeler que le respect des directives de sécurité appropriées dans un environnement de travail à domicile est tout aussi essentiel que dans un environnement de bureau."

Il est également inquiétant de constater que 62 % des personnes interrogées déclarent avoir partagé un mot de passe lié à leur travail par SMS ou par courrier électronique, où le mot de passe pourrait être intercepté en cours de route par des cybercriminels. Près de la moitié d'entre eux (46 %) déclarent que leur entreprise demande à ses employés de partager les mots de passe des comptes utilisés par plusieurs personnes.

Les mauvais choix de mots de passe restent également un problème : 37 % des personnes interrogées ont utilisé le nom de leur entreprise lors de la création d'un nouveau mot de passe pour un compte professionnel, un autre tiers (34 %) a utilisé le nom ou la date de naissance de leur conjoint et 31 % le nom ou la date de naissance de leur enfant. 44 % utilisent également le même mot de passe pour les comptes personnels et professionnels.

Source : Keeper Security

Et vous ?

Que pensez-vous de ces rapports ?
Comment remédier à ce type de négligence avec le travail à distance ?

Voir aussi :

En 2020, les cybercriminels se tournent vers les ransomwares 2.0, qui consistent à voler les données et à menacer de divulguer les informations, selon un nouveau rapport de F-Secure

Un dossier de soins de santé sur cinq est ouvert à tous les employés, d'après une nouvelle étude de Varonis

Victime d'un ransomware, une entreprise paie des millions aux cybercriminels pour restaurer ses fichiers, l'entreprise se fait attaquer à nouveau par le même ransomware et paie encore

[coolspot]

C'est normal les politique de sécurité dans les organisation IT sont des plus casse couille. Obligé d'avoir un mot de pass entre 8 et 12 caractère avec une maj un chiffre et un caractère spécial. Rajoute à ca qu'il faut tous les 3 mois renouveller le mot de passe. Et tout ca sans aucune politique de gestionnaire de mot de passe.
Au final normal que les employé se servent des post it pour retenir les mot de passe

Il faudrait que les entreprise généralise les gestionnaire de mot de passe déjà et ca ira mieux. Ou alors qu'ils arretent avec leur schémas de mot de pass dégueulasse et plutot que de passer au truc de 8 à 12 caractère avec un chiffre, une maj et compagnie qu'il fasse plutot une politique de mot de passe du genre "je m'appelle machin et je travaille pour l'entreprise bidule depuis le xx mai 200x" et ca comme mot de passe c'est beaucoup plus robuste que leur truc a 12 caractère et c'est beaucoup plus facile à retenir pour un employé qui n'aura pas besoin de post-it

[dfiad77pro]

perso dans mon entreprise, la désactivation du gestionnaire de passe m'oblige à tapper 30 fois mon passe par jours , avec des site internes qui ont une session de 1h max , c'est de la connerie pure.

Bref de la merde en boite conçus par des mecs qui ne savent que faire des powerPoints

[bob.autochtone]

Il faut mieux qu'un utilisateur ait un mot solide écrit sur son postit qu'un mdp faible qu'il saura retenir. Les gens de la cyber qui alertent sur ce fait peuvent aller du coté de pole emploi pour devenir vendeur de vent.

[eric44000]

"la plupart des travailleurs (66 %) déclarent qu'ils sont plus susceptibles de noter les mots de passe liés au travail lorsqu'ils travaillent à domicile..."
Et alors ? Cela devient de la parano. Si on ne peut plus faire confiance à son conjoint, à ses enfants et à son chien où va t-on ?

Pour ce qui est de la cybersécurité, les entreprises françaises s'en moquent. Dire que c'est la faute des salariés, c'est une blague. A part le secteur bancaire, très peu se soucie d'avoir une politique de sécurité sérieuse.

Il m'est arrivé de développer un logiciel pour une industrie que je nommerais pas où les infos de connexions à la base de données étaient dans un fichier texte à la racine de l'application.
Sachant que les attaques viennent principalement en interne, j'ai fais la suggestion de crypter ce fichier. Que nenni ! Refusé par mon supérieur sous prétexte que si les infos de connexions venaient à changer il serait plus facile de le modifier.

Alors bien sûr toutes personnes utilisant ce logiciel devait entrer son identifiant et mot de passe qui était enregistré dans la la base de données. Mais un pirate aurait pu accéder à tous les mots de passe de la base de données et aurait pu accéder aux bases de données sensibles avec ces mots de passe.
Avec un peu de chance ou de persévérance il aurait eu tous les privilèges de l'ensemble.

[tanaka59]

Bonsoir,

Que pensez-vous de ces rapports ?

Je ne suis même plus étonné de la sur abondance de mot de passe ... trop de services , d'applis et j'en passe ... 5 outils de ticketing, nombre de jira, de wiki , d'atlasian, d'erp , accès ftp , compte pour le CE , l'appli de bouffe du midi , l'appli RH, les fiches de paies ... Après les post it c'est aussi les fichiers Excel servant de calpin

Comment remédier à ce type de négligence avec le travail à distance ?

C'est bien la problème ... Parfois on va même jusqu'à devoir partager des id et mdp car le client exige que ... son portail ne conserve qu'un compte user et non 10 ou 20 ...

---

Cela me rappelle une histoire qu'un manager m'a expliqué. Quelques mois avant mon arrivée dans la boite , l'un de mes managers organise un after work dans les locaux de l'entreprise.

Pour permettre de sensibiliser le personnel au vol en entreprise, la direction décide de consigner les affaires de chaque bureau dans les cartons (bic, calpin, classeur, pc portable, base de téléphone, trombone ... ) bref tout y passe. Chaque carton est bien évidement identifié au nom du bureau de la personne. Le tout réalisé un vendredi soir.

Le lundi matin, réunion générale pour "expliquer la situation".

Après sensibilisation à la situation , les employés ont eu une trouille bleue . Puis chacun a récupéré son carton avec ces affaires

---

Sinon dans les vraies "vol" problématique que j'ai déjà eu écho :

Entreprise de sécurité et d'installation de coffre fort petit format / portail / volet roulant / porte blindée / domotique > l'une des agences a été cambriolé . Résultat une tour de PC "fixe" volée, avec les datas de plusieurs milliers de clients enregistrées en locales et en claires ... ... Classeur excel sur un DDE non chiffré et sans mot de passe !

Quelques temps après , une vague de cambriolage dans des domiciles et locaux commerciaux. Certains étaient d'anciens clients, d'autres étaient locataires ou nouveaux propriétaires de bâtiments anciennement occupés par d'anciens clients de la société au PC cambriolé.

[smarties]

C'est la folie tous les mots de passe que l'on a entre le pro et le perso.

Au travail, j'ai toujours les post-it que l'on m'a donné
Là où je suis je fais confiance à mes collègues et mes post-its ne sont pas visibles donc bon...

J'avais commencé a essayé un gestionnaire de mot de passe (Bitwarden) sous Linux et hébergé chez moi mais je trouvais que le logiciel avait un comportement bizarre au lancement (j'étais obligé de saisir mon mot de passe 2 fois de suite).
Donc même moi je continue à avoir des listes notées sur Excel et/ou papier

[Kelfo]

Si on laisse un employé choisir son mdp, c'est sûr à 80% qu'il va faire un truc plutôt facile. Dès lors que l'on impose un mdp fort aléatoire dans ses caractères, on a juste à demander de ne pas recopier où que ce soit son mdp (et ça peut s'encrer dans une charte informatique), c'est à l'employé de créer ses propres moyens mémo-techniques afin de se souvenir se son code, faut juste avoir envie de s'en souvenir.

qu'il fasse plutot une politique de mot de passe du genre "je m'appelle machin et je travaille pour l'entreprise bidule depuis le xx mai 200x"

?? mais c'est trop simple de trouver le mdp ? si tu sais comment la personne s'appelle, où elle travaille et sa date d'entrée dans son entreprise

[grunk]

c'est à l'employé de créer ses propres moyens mémo-techniques afin de se souvenir se son code, faut juste avoir envie de s'en souvenir.

Quand tu n'as qu'un mot de passe et que tu es libre de le choisir (suivant certaines contraintes) d'accord.

Mais quand tu en as 10 différents qui changent tous les mois et que tu n'as pas le choix de la valeur c'est juste impossible et on arrive à des comportements aberrant à cause d'une politique de sécurité trop contraignante.

Chez nous les mdp de domaine n'expire pas mais on est libre de les choisir. Il donc facile de faire un mot de passe robuste et de s'en souvenir.
A contrario notre outil RH nous demande de changer de mdp tous les mois , qu'il ne ressemble pas trop au précédents , bref c'est une truc lourdingue , résultat la moitié des gens utilisent des sortes de suite genre "MonMDPdeJanvier21" et l'autre moitié les ecrivent partout ...

[AoCannaille]

Perso mon entreprise m'impose un gestionnaire de mot de passe particulièrement débile.

A chaque fois que je me loggue sur mon compte windows, si une page intranet est ouverte dans firefox, le gestionnaire ouvre firefox, tape le mot de passe là où est le focus et appuie sur entrée... Autant dire que mon mdp c'est retrouvé en clair plusieurs fois dans des recherches google/ddg/qwant. Sécurité ++ voyez-vous...

Pour les autres mots de passes, perso je les notes effectivement au boulot, mais pas sur un post it. Et surtout pas en entier. J'ai 3 radicaux de diffentes complexisté et je notes uniquement les variations.

Admettons un radical A type de ce genre : Tr0ub4douR
En fonction des sites j'ajoute un suffixe plus ou moins sécurisé également type : !H0rseSt4ple (cela peut être un prefixe ou les deux évidement)
Je note : radicalA!H0rseSt4ple

Les radicaux n'étant jamais jamais écrits.

(evidement, ce sont des exemple, inspiré de ceci)

Je trouve de toute façon cela plus sécurisé de noter mon mdp sur du papier, qui restera dans mes locaux sécurisés physiquement et protégé par une cryptographie supplémentaire du fait que j'écris tellement mal que moi seul arrive à me relire que de stocker mon mdp dans des solutions connectées et centralisées "protégées" jusqu’à ce qu'on prouve que, finalement, non, pas tellement...

[tanaka59]

Bonjour,

Perso mon entreprise m'impose un gestionnaire de mot de passe particulièrement débile.

A chaque fois que je me loggue sur mon compte windows, si une page intranet est ouverte dans firefox, le gestionnaire ouvre firefox, tape le mot de passe là où est le focus et appuie sur entrée... Autant dire que mon mdp c'est retrouvé en clair plusieurs fois dans des recherches google/ddg/qwant. Sécurité ++ voyez-vous...

Pour les autres mots de passes, perso je les notes effectivement au boulot, mais pas sur un post it. Et surtout pas en entier. J'ai 3 radicaux de diffentes complexisté et je notes uniquement les variations.

Admettons un radical A type de ce genre : Tr0ub4douR
En fonction des sites j'ajoute un suffixe plus ou moins sécurisé également type : !H0rseSt4ple (cela peut être un prefixe ou les deux évidement)
Je note : radicalA!H0rseSt4ple

Les radicaux n'étant jamais jamais écrits.

(evidement, ce sont des exemple, inspiré de ceci)

Je trouve de toute façon cela plus sécurisé de noter mon mdp sur du papier, qui restera dans mes locaux sécurisés physiquement et protégé par une cryptographie supplémentaire du fait que j'écris tellement mal que moi seul arrive à me relire que de stocker mon mdp dans des solutions connectées et centralisées "protégées" jusqu’à ce qu'on prouve que, finalement, non, pas tellement...

Dans les moyens mnémotechniques il existe la passephrase :

" J'aime le chocolat Suisse. " donnera : " Jaimelechocolatschweizer0041* " . Utiliser des langues comme l'alllemand, le luxembourgeois, le danois, le finlandais, le suedeois ...

Si vous faite un mot de passe en anglais utiliser des variantes , par exemple en mixant anglais US et UK ... s à la place c , tronquer ou ajouter des u (harbor / harbour ... )

Facile a retenir , vous ajouter 2/3 symboles ... La passephrase est à mon sens l'une des meilleurs sécu contre le brut de force.

[marsupial]

Il faut mieux qu'un utilisateur ait un mot solide écrit sur son postit qu'un mdp faible qu'il saura retenir. Les gens de la cyber qui alertent sur ce fait peuvent aller du coté de pole emploi pour devenir vendeur de vent.

La cybersécurité ne vit pas de la peur. Pour preuve, les dernières news parues sur le site parlent d'autant de fuite de données en 2020 que sur les quinze années précédentes(https://www.developpez.net/forums/d2.../#post11707640). Ces fuites ne viennent pas du stockage des MDP sur post it nécessairement car le MDP va vite devenir obsolète. Des authentifications MFA peuvent résoudre la question du post it. Celui qui condamne la cybersécurité à l'heure du cloud et du télétravail se tire une balle dans le pied, ou tout au moins dans le pied de son entreprise. La cybersécurité est redevenue le dernier critère de décision dans la transformation numérique par manque de ressources humaines et financières. source Ziff Davis : https://www.zdnet.com/article/billio...warns-analyst/