Un rapport récent de Cloudflare met en lumière un problème persistant : la réutilisation des mots de passe. Entre septembre et novembre 2024, 41 % des connexions réussies sur des sites web protégés par cette plateforme ont été effectuées avec des identifiants précédemment exposés dans des fuites de données.

Ce chiffre révèle non seulement un manque de sensibilisation parmi les utilisateurs, mais aussi la sophistication croissante des attaques automatisées qui exploitent ces mauvaises pratiques.

La menace silencieuse : bots et attaques massives

L’étude souligne que 95 % des tentatives d’accès avec des mots de passe compromis proviennent de bots, qui mènent des attaques massives connues sous le nom de credential stuffing. Ces bots testent des identifiants volés sur plusieurs services jusqu’à trouver des combinaisons valides. L’automatisation et l’ampleur de ces attaques font que tout utilisateur réutilisant un mot de passe est exposé en quelques minutes.

Des plateformes comme WordPress sont particulièrement ciblées en raison de leur popularité et de leur facilité d’identification. Sur les sites basés sur WordPress, 76 % des tentatives avec des mots de passe compromis ont abouti à des accès réussis, près de la moitié ayant été réalisées par des bots.

Mots de passe courants : un enjeu de taille

Le rapport de Cloudflare ne se contente pas de signaler l’ampleur du problème, il met également en lumière des modèles de pratiques inappropriées. Parmi les mots de passe les plus réutilisés et compromis figurent des combinaisons prévisibles et faciles à deviner :

• 123456
• password
• qwerty
• 123456789
• 111111
• abc123
• iloveyou
• admin
• 123123
• welcome

Ces exemples illustrent ce que les experts qualifient de "mots de passe paresseux", utilisés par des millions de personnes sur plusieurs services et les premiers testés par les attaquants.

Pourquoi ce problème persiste-t-il ?

La commodité et l’oubli sont souvent à l’origine de ces erreurs. La gestion de mots de passe forts et uniques pour chaque service peut sembler difficile, mais les gestionnaires de mots de passe et les solutions d’authentification sans mot de passe (comme les passkeys) facilitent grandement cette tâche.

De plus, bien que de nombreux utilisateurs soient conscients du risque, ils n’agissent souvent qu’après être devenus victimes d’une attaque. Cette inertie représente un danger tant au niveau individuel qu’au niveau des entreprises.

La solution : éducation, technologie et prévention

Pour se protéger, les utilisateurs doivent :

• Créer des mots de passe uniques et robustes pour chaque compte.
• Utiliser des gestionnaires de mots de passe pour éviter de devoir les mémoriser.
• Activer systématiquement l’authentification multifactorielle (MFA).
• Changer immédiatement les mots de passe compromis dès qu’ils reçoivent des alertes.

De leur côté, les entreprises doivent mettre en place des systèmes de détection des identifiants compromis, bloquer les tentatives massives grâce à des techniques de rate limiting et gérer le trafic suspect avec des outils anti-bots. Elles doivent également éduquer leurs utilisateurs et employés sur les bonnes pratiques de cybersécurité.

La cybersécurité commence par un mot de passe

La conclusion est claire : la réutilisation des mots de passe demeure une porte d’entrée pour les attaques automatisées et les prises de contrôle de comptes. La technologie peut instaurer des barrières, mais la première ligne de défense reste la sensibilisation des utilisateurs et le changement d’habitudes.

Si 41 % des accès continuent d’utiliser des mots de passe compromis, il est évident qu’il reste beaucoup de chemin à parcourir. La sécurité commence, en fin de compte, par un geste aussi simple que de choisir un bon mot de passe et de ne jamais le réutiliser.

Source : Noticias de seguridad