Choix du mot de passe : les très grosses entreprises font-elles mieux que le reste ? |
————— 12 Mars 2021 à 09h10 —— 20072 vues
Sur le sujet, nous avons surtout l'habitude des études de Spashdata, qui a fait sa mission depuis 2011 de publier annuellement la liste des mots de passe les plus courants (comprendre, les plus pourris) en examinant ceux affectés par des brèches de sécurité. Aujourd'hui, c'est ce même sujet qui nous intéresse, sauf que NordPass a préféré se pencher sur les mots de passe utilisés par les très grandes entreprises constituant le Fortune 500 ! Pour ceux n'étant pas trop au fait de quoi est constitué ce fameux Top 500 des plus grosses compagnies de ce monde, classées selon l'importance de leur chiffre d'affaires, voici une petite aide :
|
Fortune 500, Ça représente quoi ? (en 2020) | Top 10 des pays par nombre d'entreprises | Région et nombre d'entreprises |
|---|---|---|
|
Chine : 124 USA : 121 Japon : 53 France : 31 Allemagne : 27 Grande-Bretagne : 22 Corée du Sud : 14 Suisse : 14 Canada : 13 Pays-Bas : 13 |
Asie de l'Est : 200 Europe : 138 Amérique du Nord : 138 Reste du monde : 24 |
À savoir que NordPass existe depuis 2019, il s'agit d'un gestionnaire de mot de passe fondé par la même équipe spécialisée en cybersécurité étant à l'origine du célèbre VPN NordVPN. Les deux entités sont donc basées à Panama, un pays n'ayant a priori aucune loi obligeant à la conservation des données et qui participe ni à l'alliance Five Eyes (Australie, Canada, USA, Nouvelle-Zélande et Royaume-Unis) ni à celle des Forteen Eyes (les 5 susmentionnés, plus Belgique, Danemark, France, Allemagne, Italie, Pays-Bas, Norvège, Espagne et Suède).
Tandis que SplashData s’intéresse avant tout aux millions de mots de passe ayant été compromis majoritairement en Amérique du Nord et en Europe, et de manière générale sans distinction entre grand public et monde pro, l'étude de NordPass nous permet donc pour la première fois d'avoir un aperçu de la pratique du mot de passe dans le monde professionnel. Mais comme celui-ci est naturellement constitué des mêmes humains faillibles et un peu fainéants, vous vous doutez déjà que les résultats ne sont pas beaucoup plus glorieux ! Une étude qui tombe à pic alors que les entreprises sont régulièrement pointées du doigt pour des pratiques douteuses, comme des mots de passe trop faibles, identiques par défaut pour tout le matériel et l'ensemble de leur clientèle, et parfois stockés en interne sur un simple document en texte non chiffré...
Récemment, c'est SolarWinds qui avait été au centre de l'attention avec son mot de passe « solarwinds123 », un scandale que l’entreprise a désormais mis sur le dos d'un stagiaire (bah voyons). Dans tous les cas, le sujet est d'autant plus sensible que bon nombre de ces entreprises manipulent des données parfois (souvent) très sensibles, qu'elles soient de nature financière, stratégique ou privée, et une brèche dans le monde professionnel peut donc potentiellement avoir un impact bien plus conséquent et dangereux que le piratage du compte Gmail de Mme Michu (qui n'en reste pas moins un vrai problème aussi). Pourtant, nul doute que de nombreuses initiatives sont prises pour faire évoluer les choses, mais il est évident que les mauvaises habitudes ont la vie bien dure et que le choix de la facilité l'emporte encore trop souvent.
Allez, sans plus attendre, voici les tops 10 des mots de passe pourris établis par NordPass pour chaque domaine d'activité (notez qu'ils n'ont pas exactement catégorisé les secteurs d'activités comme c'est généralement fait pour le Fortune 500, d'où notre addition entre parenthèses pour aider à vous y retrouver, si l'information vous intéresse, mais elle nous a semblé pertinente). Concernant la méthodologie, NordPass a compilé la liste de mots de passe à partir de 15 603 438 brèches de sécurité en partenariat avec une compagnie (non nommée) spécialisée dans la sécurité informatique. Il s'agissait ensuite d'établir un top 10 pour chaque industrie, le pourcentage de mots de passe uniques et le nombre de brèches.
Des surprises ? Outre l'utilisation massive du nom de la compagnie (évidemment, NordPass ne les identifie pas) avec l'une ou l'autre addition, généralement chiffrée ou avec une majuscule au lieu d'une minuscule, pas vraiment. On retrouve des classiques comme « password » et « 123456 », et le pourcentage de mots de passe uniques est notablement faible. Certains secteurs d'activités semblent faire preuve d'un peu (mais vraiment très peu) plus de créativité que d'autres (le domaine de l'hospitalité semble frappé d'un manque d'imagination assez flagrant), mais dans l'ensemble c'est tout aussi affligeant que le top habituel des mots de passe pourris. Mention spéciale tout de même pour le « penispenis » de l'industrie automobile, pas vraiment de quoi soulager les stéréotypes du monde automobile... Enfin, une pensée aussi pour les spécialistes de la sécurité (s'il y en a !) de chacune de ces entreprises - et le département IT de manière générale - qui doivent sans aucun doute en morfler tous les jours ! (Source)
|
Fortune 500 - type d'activité (+ % qu'a représenté le secteur concerné dans le Fortune 500 en 2020) |
Top 10 des mots de passe (de 1 à 10) | % de mots de passe uniques | Nombre de brèches |
|---|---|---|---|
|
Vente au détail et E-commerce (Consommation discrétionnaire : 11.18 %) |
|
26 % | 1 345 578 |
|
Énergies (3,13 %) |
|
28 % | 1 176 450 |
|
Technologie et Information (27,48 %) |
|
28 % | 2 742 591 |
|
Santé (14,58 %) |
|
26 % | 1 424 317 |
|
Finances (9,89 %) |
|
25 % | 3 606 310 |
|
Télécommunications (Services de communication : 10,90 %) |
|
20 % | 546 592 |
|
Automobile (Consommation discrétionnaire : 11.18 %)
|
|
28 % | 461 095 |
|
Construction et production (Industriel : 7,90 %) |
|
24 % | 1 298 703 |
|
Aérospatial (Industriel : 7,90 %) |
|
28 % | 485 120 |
|
Transport et logistique (Industriel : 7,90 %) |
|
28 % | 429 331 |
|
Biens de consommation (Consommation discrétionnaire : 11,18 % + Consommation de première nécessité : 7,05 %)
|
|
27 % | 942 289 |
|
Chimique (Matières premières : 2.56 %) |
|
30 % | 237 593 |
|
Agriculture (Consommation de première nécessité : 7,05 %) |
|
30 % | 105 919 |
|
Médias et publicités (Services de communication 10,90 %) |
|
27 % | 114 457 |
|
Hospitalité (Consommation discrétionnaire : 11,18 %)
|
|
29 % | 420 636 |
|
Immobilier (2,80 %) |
|
29 % | 162 455 |
|
Ressources humaines (Industriel : 7,90 %) |
|
31 % | 104 002 |
| Autres données intéressantes : |
20 % des mots de passe sont le nom exact d'une entreprise avec ou sans variation
"Vacation" est le mot de passe le plus populaire dans le domaine de la Santé (normal !)
C'est le monde de l’hospitalité qui compte le plus de mots de passe avec le nom de l'entreprise
"Password" est systématiquement parmi les plus populaires sur l'ensemble des industries
Les ressources humaines ont le meilleur pourcentage de mots de passe uniques
En moyenne, seuls 26 % des mots de passe sont uniques |
||
Parce qu'on y est vraiment pas encore, bordel !
Pour le fun et la culture, Nos brèves antérieures sur le même sujet :
Et quels prétendants au titre de "mot de passe à chiay 2019" ?
Mots de passe pourris : comment s'en sortent nos voisins outre-Manche ?
Et le pire mot de passe de 2016 est...
Le classement des plus mauvais mots de passe 2015 est là et c'est pas glorieux !
Top 25 des mots de passe les plus moisis en 2014 : toujours autant de champions !
Et le pire mot de passe de 2013 est...
Le top 25 des mots de passe les plus utilisés en 2012 donne des frissons...
