Au bureau, les employés belges choisissent souvent un mot de passe simple ou court. Quelque six utilisateurs sur dix utilisent en effet un mot de passe qui peut être déchiffré en moins d’une heure.
Six employés belges sur dix (58 pour cent) environ utilisent un mot de passe insuffisant au bureau. C’est ce que révèle une enquête réalisée par spotit Offensive, l’équipe d’experts en piratage informatique de la firme de cybersécurité et de réseaux spotit.
spotit a effectué son enquête auprès de 67.557 employés de petites et moyennes entreprises et de multinationales. Les mots de passe très courts, combinant le nom de l’entreprise et une année, y sont particulièrement populaires. ‘Les gens utilisent un mot de passe très facile à retenir, ce qui comporte de nombreux risques’, explique Keanu Nys, Offensive Security Lead chez spotit.
spotit Offensive est la division ‘pentesting’ de cette entreprise de sécurité. Elle teste la sécurité des systèmes de ses clients (avec leur autorisation). Lors de leur enquête, les experts en sécurité ont réussi à déchiffrer les mots de passe de 39.346 employés, soit 58 pour cent, en moins d’une heure grâce à une technique de craquage de mots de passe. Cette technique permet aux hackers, qu’ils soient éthiques ou non, de combiner des mots et des chiffres jusqu’à ce qu’un gabarit se dégage.
Saisons et termes de bienvenue
Après des années de formation à la sécurité par mots de passe et à la mise en place de règles concernant l’utilisation des caractères spéciaux, on a en partie abandonné le ‘motdepasse123’, mais l’enquête révèle encore des tendances intéressantes. C’est ainsi que spotit constate la présence de nombreux mots de passe dits d’intégration (‘onboarding’) parmi les plus fréquemment utilisés. Il s’agit de mots de passe comme ‘Bienvenue2025’ ou une variante, qui ne sont généralement plus modifiés par les nouveaux employés. Les variantes du nom de l’entreprise, telles que ‘CompanyName2025!’ ou ‘C0mp4nyN4m3!’, sont également courantes. Enfin, spotit observe aussi de nombreux mots de passe saisonniers, notamment dans les entreprises où les employés doivent créer un nouveau mot de passe tous les trois mois. Pensez à ‘Hiver2025’ ou ‘Automne2025!’. Ces mots de passe respectent toutes les règles, mais restent faciles à deviner.
‘Les gens ont souvent tendance à utiliser des gabarits prévisibles, surtout dans un contexte professionnel, ce qui facilite grandement la tâche des hackers de deviner un mot de passe’, explique Nys. ‘Nous déconseillons également de choisir une date d’expiration courte pour les mots de passe. Il est préférable d’opter pour un mot de passe solide et long qui restera valable pendant une période beaucoup plus longue, afin d’empêcher les utilisateurs de revenir à une version plus simple et facile à mémoriser.’
spotit recommande également d’exiger l’authentification multi-facteur (AMF) pour tous les utilisateurs d’une entreprise et, si possible, d’utiliser des clés cryptographiques (‘passkeys’) pour les comptes des employés. Cela signifie qu’ils se connectent à l’aide d’une clé biométrique (comme une empreinte digitale sur un téléphone mobile) au lieu d’un mot de passe. Enfin, les départements IT auraient intérêt à ajouter les mots fréquemment utilisés, tels que le nom de l’entreprise, les noms des saisons et les anciens mots de passe d’intégration (‘onboarding’), à la liste de blocage lors de la création d’un nouveau mot de passe.