Le sondage a été mené de manière indépendante pour le compte du Centre national de la cybersécurité (NCSC), qui fait partie du GCHQ, et du Département pour le numérique, les médias et les sports (DCMS).
Les résultats, publiés cette semaine avant la conférence CYBERUK 2019 du NCSC à Glasgow, informeront la politique gouvernementale et les orientations données aux organisations et au public.
Parmi les résultats, qui ont été publiés intégralement, citons:
- Seulement 15% disent en savoir beaucoup sur la façon de se protéger contre les activités nuisibles
- Le problème le plus courant concerne le vol d’argent: 42% d’entre eux pensent qu’il risque de se produire d’ici 2021.
- 89% utilisent Internet pour faire des achats en ligne - avec 39% sur une base hebdomadaire
- Un sur trois compte dans une certaine mesure sur ses amis et sa famille pour obtenir de l'aide en matière de cybersécurité
- Les jeunes sont plus susceptibles d'être soucieux de leur vie privée et de veiller aux informations qu'ils partagent en ligne
- 61% des internautes consultent les médias sociaux quotidiennement, mais 21% affirment ne jamais les consulter
- 70% utilisent toujours des codes confidentiels et des mots de passe pour téléphones intelligents et tablettes
- Moins de la moitié n'utilise pas toujours un mot de passe fort et distinct pour leur compte de messagerie principal
Le NCSC a également publié hier une analyse séparée des 100 000 mots de passe les plus fréquemment utilisés, auxquels des tiers ont eu accès lors de cyber-violations.
Les résultats montrent un grand nombre de mots de passe régulièrement utilisés violés pour accéder à des informations sensibles.
« Au travers de nos blogs et de nos conseils, le NCSC a souligné combien il était important de modifier les stratégies de mot de passe (si nécessaire) pour que les utilisateurs puissent choisir plus facilement les «bons». Cela inclut l’utilisation de listes noires de mots de passe (c’est-à-dire s’assurer que vos utilisateurs ne peuvent choisir aucun mot de passe communément utilisé dans les violations de données), ce que recommande également l’Institut national de normalisation et de technologie (NIST).
« Aujourd'hui, en collaboration avec Troy Hunt, nous publions un fichier contenant les 100 000 meilleurs mots de passe de son jeu de données Have I Been Iww. Si vous voyez un mot de passe que vous utilisez dans cette liste, vous devez le changer immédiatement ».
Pourquoi la réutilisation de mot de passe pose-t-elle un problème ?
La réutilisation des mots de passe reste un risque majeur pour les particuliers et les entreprises. Le mot de passe '123456' a été trouvé 23 millions de fois dans les violations collectées par Troy. Vous pourriez penser que choisir un mot de passe plus complexe, tel que «oreocookie», est préférable, mais cela a déjà été vu plus de 3 000 fois.
Les hackers utilisent souvent des listes comme celles-ci lorsqu'ils tentent de franchir un périmètre ou lorsqu'ils tentent de se déplacer au sein d'un réseau vers des systèmes potentiellement moins bien protégés. C'est particulièrement courant dans les réseaux comportant un composant d'entreprise et un composant de système de contrôle industriel (ICS). Lors de tels déploiements, des attaquants ont pu violer le réseau de l'entreprise et se déplacer latéralement vers le réseau interne en raison d'une mauvaise segmentation du réseau, où un seul point faible (tel qu'un mot de passe tiré de l'une de ces listes) a permis la traversée. D’ailleurs le NCSC rappelle que lors de la première apparition du programme malveillant TRITON / TRISIS, l'attaquant a violé le VPN de périmètre externe, puis a pivoté en interne à l'aide de RDP en raison d'une mauvaise segmentation.
« Bien que, dans ce cas, on ignore comment les informations d'identification de périmètre VPN ont été obtenues, en utilisant une approche moderne de l'authentification (y compris l'utilisation de l'authentification multifactorielle), vous pouvez réduire le risque d'intrusion dans vos réseaux par un attaquant exploitant des données violées, des mauvais choix de mot de passe ou l’absence de méthodes d’authentification forte ».
.
Les commentaires
Le Dr Ian Levy, directeur technique du NCSC, a déclaré:
« Nous comprenons que la cyber-sécurité peut sembler décourageante à beaucoup de gens, mais le NCSC a publié de nombreux conseils faciles à appliquer pour vous rendre beaucoup moins vulnérable.
« La réutilisation de mots de passe est un risque majeur qui peut être évité - personne ne devrait protéger des données sensibles avec quelque chose que l’on peut deviner, comme son prénom, son équipe de football locale ou son groupe préféré.
« L'utilisation de mots de passe difficiles à deviner est une première étape importante et nous recommandons de combiner trois mots aléatoires mais mémorables. Faites preuve de créativité et utilisez des mots qui vous sont chers afin que les gens ne puissent pas deviner votre mot de passe ».
Margot James, ministre des industries numériques et créatives du DMCS, a déclaré:
« La cybersécurité est un problème grave, mais chacun peut prendre des mesures simples pour mieux se protéger contre les pirates.
« Nous ne devrions pas leur faciliter la vie. Le choix d’un mot de passe fort et distinct pour votre compte de messagerie est donc une excellente étape pratique.
« Les cyber-violations peuvent causer un immense chagrin financier et émotionnel par le vol ou la perte de données que nous devrions tous essayer de prévenir ».
David Lidington, chancelier du duché de Lancaster et ministre du Cabinet, a déclaré:
« Étant donné la menace mondiale croissante que représentent les cyberattaques, ces résultats soulignent l’importance d’utiliser des mots de passe forts à la maison et au travail.
« C’est un message que nous avons hâte de développer lors de CYBERUK 2019, un événement qui réaffirme notre engagement de faire de la Grande-Bretagne l’endroit le plus sûr au monde pour être connecté à Internet et le meilleur endroit pour exploiter une entreprise numérique » .
Le NCSC espère réduire le risque de nouvelles violations en sensibilisant ses utilisateurs à la manière dont les hackers utilisent des mots de passe faciles à deviner, ou obtenus à partir de violations, et aident ainsi les développeurs et les administrateurs système à protéger leurs utilisateurs.
Les mots de passe compromis ont été obtenus à partir de violations globales qui sont déjà dans le domaine public et ont été vendues ou partagées par des pirates.
La liste a été créée après la divulgation de noms d'utilisateur et de mots de passe violés, qui ont été collectés et publiés sur Have I Been Pwned der l'expert en sécurité Web, Troy Hunt. Le site Web permet aux personnes de vérifier si leur compte a été compromis par une violation de données.
Troy Hunt a déclaré :
« Faire le choix de bons mots de passe est le contrôle le plus important que les consommateurs exercent sur leur propre attitude en matière de sécurité.
« Nous n’avons généralement pas fait un très bon travail en tant qu’individus ou en tant qu’organisations qui leur demandent de s’inscrire auprès de nous.
« Reconnaître les mots de passe susceptibles d'entraîner le succès de la reprise du compte est une première étape importante pour aider les personnes à créer une présence en ligne plus sécurisée ».
Sources : NCSC, liste NCSC, enquête NCSC (au format PDF)
Voir aussi :
« Les équipementiers devraient ajouter des interrupteurs physiques aux périphériques » des objets connectés pour plus de sécurité, selon Larry Sanger
Étude : 77 % des organisations n'ont pas de plan de réponse aux incidents de cybersécurité, celles qui en possèdent ne les testent pas régulièrement
La Chine constitue un risque de sécurité pour le déploiement des câbles Internet sous-marins et de la 5G, mais est-ce le seul pays dans ce cas ?
L'infrastructure du protocole de communication sécurisé Matrix piratée, le hacker parle et expose de mauvaises pratiques de sécurité qui l'ont aidé