Mots de passe identiques : les risques liés à la réutilisation des mots de passe
Un identifiant piraté, tous les accès menacés.
Les administrateurs informatiques assument la majeure partie de la charge de travail liée à la protection des systèmes et des données. Les mots de passe identiques ou réutilisés constituent un risque particulièrement persistant. Les utilisateurs ouvrent ainsi, souvent involontairement, la porte aux pirates informatiques pour le credential stuffing, le piratage de comptes et les mouvements latéraux dans le réseau. Des études montrent que l'utilisation de données d'accès volées est l'un des vecteurs initiaux les plus fréquents dans les incidents de sécurité (voir sources ci-dessous).
Risque de compromission généralisée
Lorsqu'un compte est compromis, les pirates testent automatiquement les mêmes identifiants sur d'autres services (credential stuffing). Une seule fuite peut ainsi entraîner une réaction en chaîne – des e-mails aux outils de collaboration en passant par les services cloud. Résultat : vol de données, usurpation d'identité et accès non autorisés aux ressources de l'entreprise.
Les « attaques basiques contre les applications web », dans lesquelles les identifiants volés ou réutilisés prédominent, sont particulièrement critiques. Elles indiquent clairement que la réutilisation des mots de passe est directement exploitable dans la pratique (voir sources).
Ransomware et prises de contrôle de comptes
Une fois que les attaquants disposent de données d'accès valides, ils peuvent étendre leurs privilèges, se déplacer latéralement dans le réseau et déployer des logiciels malveillants, jusqu'à la mise en place de ransomware. Les recommandations officielles insistent donc sur la nécessité d'éliminer la réutilisation des mots de passe et d'activer une authentification multifactorielle (MFA) résistante au phishing (par exemple FIDO2/Passkeys) lorsque cela est techniquement possible (CISA, NIST).
Mesures visant à améliorer la sécurité des mots de passe
Directives (politique)
- Pas de changement préventif et régulier des mots de passe – à n'imposer qu'en cas de suspicion ou de preuve de compromission (NIST, NCSC).
- Un mot de passe par compte/service – interdire strictement la réutilisation (NIST, NCSC).
- Augmenter la longueur minimale (par exemple, ≥ 14 caractères) et éviter les contraintes de complexité inutiles ; privilégier plutôt la longueur, l'unicité et le blocage des « mots de passe courants » (NIST).
- Vérifier les mots de passe par rapport aux listes compromises (NIST SP 800‑63B) – voir la remarque pratique concernant Password Depot ci-dessous.
- MFA obligatoire, de préférence résistant au phishing (FIDO2/Passkeys), au moins pour les accès administrateur, à distance et cloud (CISA).
Contrôles techniques
- Limitation du débit et surveillance : activer lors des connexions ; détecter et bloquer les schémas suspects (par exemple, de nombreuses tentatives de connexion à partir de réseaux distribués) (NIST).
- Autoriser le « collage »/« paste » afin de pouvoir utiliser les gestionnaires de mots de passe en toute sécurité – pas d'interdiction de copier/coller dans le champ du mot de passe (NIST).
- Imposer des défis MFA basés sur les risques et un enregistrement MFA cohérent (CISA).
- Introduire des clés d'accès lorsque cela est possible ; remplacer à terme la saisie de mots de passe.
- Identifier les mots de passe compromis : dans Password Depot, vérifier via Outils → Contrôle de sécurité → Vérifier les mots de passe compromis et modifier immédiatement les entrées concernées.
Sensibilisation et exploitation
- Former régulièrement les utilisateurs au credential stuffing, au phishing et à la réutilisation des mots de passe (NCSC/CISA).
- Recommander et fournir des gestionnaires de mots de passe ; objectif : mots de passe longs, aléatoires et uniques pour chaque service.
- Définir les incidents (fuites, hameçonnage, infection par des logiciels malveillants) comme déclencheurs d'un changement immédiat de mot de passe et d'un renouvellement des jetons (NIST/CISA).
En clair : la réutilisation est le véritable ennemi. Les changements réguliers et forcés sans raison détériorent la qualité des mots de passe et ne résolvent pas le problème. Misez sur la longueur, l'unicité, l'authentification multifactorielle (MFA)/les clés d'accès et la vérification par rapport à des listes compromises (par exemple directement dans Password Depot).
Conclusion : la réutilisation des mots de passe constitue un risque considérable pour la sécurité et favorise les piratages de comptes, voire les incidents liés aux ransomwares. Les équipes administratives doivent mettre en œuvre des directives claires et actualisées et les sécuriser techniquement , y compris la vérification régulière des mots de passe compromis avec Password Depot, afin de protéger durablement les identités et les systèmes.
Sources (sélection)
- NIST SP 800‑63B : Digital Identity Guidelines – Memorized Secrets (entre autres, pas de changements forcés ; comparaison avec des listes compromises ; autorisation du copier-coller)
- CISA « Secure Our World » : Use Strong Passwords (recommandation concernant les gestionnaires de mots de passe et les mots de passe uniques)
- NCSC (Royaume-Uni) : Problèmes liés à l'expiration forcée des mots de passe et Avis sur le credential stuffing
- Verizon DBIR : Page du rapport et résumé (mis à jour chaque année)
- Have I Been Pwned : Pwned Passwords (source publique de données sur les mots de passe compromis)