À mesure que le nombre d’applications et de logiciels utilisés continue d’augmenter, le nombre de noms d’utilisateur et de mots de passe requis pour accéder à ces services augmente également. Dans le même temps, les attaquants emploient des méthodes plus sophistiquées pour accéder aux comptes des utilisateurs. En conséquence, les organisations et les sites renforcent leurs exigences d’authentification, frustrant les utilisateurs qui sont obligés de créer des mots de passe encore plus complexes.
Les gestionnaires de mots de passe sont un moyen de contourner cette course aux armements de création et de piratage de mots de passe. L’idée est d’avoir une seule application qui gère tous les mots de passe d’un utilisateur. L’utilisateur final n’a alors plus qu’à mémoriser un seul mot de passe pour les gérer tous.
Examinons les gestionnaires de mots de passe, leurs risques et si les gestionnaires de mots de passe constituent le choix sûr pour votre organisation.
Les risques des gestionnaires de mots de passe
L’avantage des gestionnaires de mots de passe est qu’ils consolident les mots de passe en un point d’entrée unique via lequel les utilisateurs gèrent l’accès à leurs comptes. L’inconvénient est qu’ils consolident ce risque en un seul point de défaillance.
Pour les organisations, la proposition de valeur d’un gestionnaire de mots de passe est qu’il offre une meilleure sécurité que l’équipe de sécurité opérationnelle, qui peut être vous ou votre organisation. À cette fin, le mot de passe d’un utilisateur est plus sûr grâce à un gestionnaire de mots de passe spécifiquement conçu pour protéger les données.
Ce n’est pas toujours le cas.
Attaques passées contre les gestionnaires de mots de passe
Les gestionnaires de mots de passe ont été la cible de nombreuses attaques sophistiquées – et moins sophistiquées – au cours des dernières années. Voici quelques-uns des plus récents :
- En août 2022, LastPass a détecté un accès non autorisé à son environnement de développement, entraînant le vol de code source et d’informations techniques. Par la suite, en décembre 2022, des attaquants ont accédé aux données des clients, notamment aux coffres-forts de mots de passe cryptés. La sécurité de ces coffres-forts dépendait de la force des mots de passe principaux des utilisateurs. En mars 2023, LastPass a confirmé que des attaquants avaient volé les données du coffre-fort de mots de passe en compromettant l’ordinateur personnel d’un employé via une vulnérabilité dans un logiciel tiers, puis en installant un enregistreur de frappe pour obtenir le mot de passe principal.
- En janvier 2023, Norton LifeLock a averti les clients d’une attaque de type credential stuffing ciblant les comptes Norton Password Manager. Les attaquants ont utilisé des informations d’identification précédemment compromises pour accéder aux comptes d’utilisateurs, exposant potentiellement les mots de passe stockés.
- En novembre 2024, Okta a divulgué une vulnérabilité qui permettait aux utilisateurs de contourner la vérification du mot de passe pour les noms d’utilisateur dépassant 52 caractères dans des conditions spécifiques. La faille, présente depuis juillet 2024, a été corrigée en passant de l’algorithme Bcrypt à la fonction de dérivation de clé basée sur mot de passe 2.
Alors, les gestionnaires de mots de passe sont-ils sûrs ?
Compte tenu du succès de ces attaques, les organisations devraient-elles utiliser des gestionnaires de mots de passe ? Comme l’illustrent les exemples ci-dessus, ils sont vulnérables aux attaques. D’un autre côté, demander aux utilisateurs de gérer les mots de passe dans leur tête est également risqué.
Si votre organisation choisit d’utiliser un gestionnaire de mots de passe, évaluez soigneusement les cas d’utilisation réels et discutez de la manière dont une violation pourrait affecter les données sensibles. La plupart des experts conviennent que les gestionnaires de mots de passe sont effectivement sûrs mais pas impénétrables. Assurez-vous d’évaluer soigneusement les fournisseurs et les produits et choisissez uniquement une option de niveau entreprise. Recherchez le cryptage avancé, la MFA et d’autres fonctionnalités émergentes, telles que l’analyse du comportement.
Si votre organisation estime que les gestionnaires de mots de passe ne valent pas le risque, consultez la publication spéciale 800-63B-4 du NIST. Il recommande de supprimer les exigences de complexité des mots de passe, telles que les caractères spéciaux, les chiffres, les majuscules, etc. Le NIST suggère également aux entreprises d’éliminer l’exigence selon laquelle les mots de passe doivent être renouvelés selon un calendrier défini et de ne réinitialiser les mots de passe que s’ils ont été violés.
Ces indicateurs, s’ils sont adoptés, désamorceront la création de mots de passe dans la course aux armements. Cela ne signifie pas pour autant que les utilisateurs sont à l’abri. En regardant la science de la création de mots de passe forts, la longueur éclipse rapidement la complexité. Il est préférable d’avoir un mot de passe long et simple plutôt qu’un mot de passe court et complexe. Il est donc logique de mettre en œuvre des phrases secrètes faciles à retenir. Pensez « comment maintenant la vache brune » ou « l’écureuil stocke des glands ».
L’introduction de mots de passe moins complexes – et plus utilisables – pourrait même permettre aux organisations de se débarrasser complètement de leurs gestionnaires de mots de passe, laissant ainsi leur sécurité un point discutable.
Matthew Smith est un vCISO et consultant en gestion spécialisé dans la gestion des risques de cybersécurité et l’IA.
