21.040.296, voilà le nombre d'identifiants et de mots de passe volés appartenant à des entreprises du Fortune 500 d'après une enquête d'ImmuniWeb. La simplicité de certains mots de passe a de quoi laisser perplexe.
Si le nombre d'identifiants et de mots en passe en circulation sur le Dark Web fait régulièrement parler de lui, le site ImmuniWeb s'est intéressé à ceux qui appartiennent aux employés de grandes entreprises.
En fouillant dans toutes les bases de données connues (réseaux TOR, forums, Pastebin, réseaux sociaux, etc.), un algorithme conçu par le site s'est chargé de ne retenir que les identifiants qui correspondent à des sociétés estampillées Fortune 500, l'index des 500 plus grosses entreprises dans le monde. 21.040.296 de résultats ont été trouvés et, dans 95% des cas, les mots de passe sont en clair. Autrement dit, si la sécurité de l'entreprise n'a pas été renforcée depuis, un pirate pourrait se connecter clandestinement.
L'industrie de la technologie en tête
Anecdotiquement, c'est l'industrie technologique qui se protège le moins bien. Sur les 21 millions d'identifiants volés, plus de 5 millions appartiennent à des entreprises de ce secteur. Arrivent ensuite la finance (4,9 millions), la santé (1,9 million), les industriels (1,9 million) et l'énergie (1,7 million). En tout, une dizaine de catégories sont représentées.
Notons tout de même que tous ces mots de passe ne permettent pas de se connecter directement au réseau interne d'une entreprise. Certains comptes correspondent à des services partenaires comme des fournisseurs tandis que d'autres n'ont tout simplement rien à voir et permettent par exemple d'accéder à des sites pour adultes.
Précisons également que sur les 21 millions d'identifiants et de mots de passe trouvés, 16 millions ont été piratés ces 12 derniers mois. Il y a donc de grandes chances qu'une bonne partie d'entre eux soient aujourd'hui obsolètes. ImmuniWeb précise n'en avoir essayé aucun pour des raisons éthiques.
Des mots de passe ridiculement simples
Sur les 21 millions de mots de passe collectés, il n'en existe que 4,9 millions de véritablement uniques. Tous les autres sont utilisés par plusieurs personnes ce qui prouve une nouvelle fois qu'il reste du travail en matière de sensibilisation informatique. On s'étonne par exemple de retrouver les mots de passe « passw0rd » et « abc123 » dans le top 5 des employés d'entreprises technologiques ou « penispenis » et « 123456 » dans l'industrie automobile.
Pour éviter que cela vous arrive, nous vous rappelons qu'il est important d'éviter ce genre de mot de passe et de ne pas utiliser un seul et même code pour tous vos services. Les systèmes à double authentification permettent également de ne pas se laisser avoir par un hacker qui tenterait d'accéder à votre compte. Enfin, on vous rappelle qu'il est peu probable qu'une entreprise vous demande votre mot de passe par mail.