Trois des quatre sites web les plus populaires au monde ne respectent pas les normes minimales et permettent à des dizaines de millions d'utilisateurs de créer des mots de passe faibles. Ces conclusions font partie d'une nouvelle étude de Georgia Tech sur la cybersécurité qui examine l'état actuel des politiques de mots de passe sur l'internet.À l'aide d'un outil automatisé inédit permettant d'évaluer les politiques de création de mots de passe d'un site web, les chercheurs ont également découvert que 12 % des sites web n'imposaient aucune exigence en matière de longueur de mot de passe.
Frank Li, professeur adjoint, et Suood Al Roomi, doctorant à l'école de cybersécurité et de protection de la vie privée de Georgia Tech, ont créé un outil d'évaluation automatisé pour explorer tous les sites du Google Chrome User Experience Report (CrUX), une base de données d'un million de sites web et de pages.
La méthode de Li et Al Roomi pour déduire les politiques de mot de passe a réussi sur plus de 20 000 sites de la base de données et a montré que de nombreux sites :
- autorisent des mots de passe très courts
- ne bloquent pas les mots de passe courants
- utilisent des exigences dépassées telles que des caractères complexes
Les chercheurs ont également découvert que seuls quelques sites suivent pleinement les lignes directrices standard, tandis que la plupart s'en tiennent à des lignes directrices obsolètes datant de 2004. Le projet était 135 fois plus important que les travaux précédents qui s'appuyaient sur des méthodes manuelles et des échantillons de plus petite taille.
Plus de la moitié des sites web étudiés acceptaient des mots de passe de six caractères ou moins, 75 % d'entre eux n'exigeant pas le minimum recommandé de huit caractères. Environ 12 % des sites n'imposaient aucune longueur et 30 % ne prenaient pas en charge les espaces ou les caractères spéciaux.
Seuls 28 % des sites web étudiés appliquaient une liste de blocage des mots de passe, ce qui signifie que des milliers de sites sont vulnérables aux cybercriminels qui pourraient essayer d'utiliser des mots de passe courants pour s'introduire dans le compte d'un utilisateur, ce qui est également connu sous le nom d'attaque par pulvérisation de mot de passe.
"Le professeur Li et moi-même étions très enthousiastes à l'idée de relever ce défi", a déclaré Al Roomi. "Grâce à ses conseils et à notre travail continu sur la conception de l'algorithme et la technique de mesure, nous avons pu mettre au point une mesure automatisée de la politique de création de mots de passe et l'appliquer à grande échelle."
Al Roomi et Li ont conçu un algorithme qui détermine automatiquement la politique de création de mots de passe d'un site web. Avec l'aide de l'apprentissage automatique, ils ont pu constater la cohérence des exigences en matière de longueur et des restrictions pour les chiffres, les lettres majuscules et minuscules, les symboles spéciaux, les combinaisons et les lettres de départ. Ils ont également pu voir si les sites autorisaient les mots du dictionnaire ou les mots de passe connus ayant fait l'objet d'une violation.
"En tant que communauté de la sécurité, nous avons identifié et développé diverses solutions et meilleures pratiques pour améliorer la sécurité de l'internet et du web", a déclaré M. Li. "Il est essentiel que nous examinions si ces solutions ou lignes directrices sont effectivement adoptées dans la pratique afin de comprendre si la sécurité s'améliore en réalité."
Le projet a débuté au plus fort de la pandémie lorsque Al Roomi a constaté une lacune dans la littérature de recherche concernant les politiques de mots de passe des sites web. Au fil de ses lectures, il a découvert qu'un consensus de ses pairs ne pensait pas qu'une enquête à grande échelle sur les politiques de mot de passe était possible en raison de la variété des conceptions web.
"Il était passionnant de voir un défi identifié dans la littérature et de développer et d'appliquer une vision que nous avons transformée en outil de mesure", a déclaré Al Roomi. "Cette recherche était ma première dans le cadre de mon programme de doctorat à Georgia Tech et au SCP. C'est l'un des projets les plus stimulants et les plus gratifiants sur lesquels j'ai travaillé".
Le rapport complet sera présenté à la conférence de l'ACM sur la sécurité des ordinateurs et des communications (CCS) à Copenhague, au Danemark, dans le courant du mois. L'étude "A Large-Scale Measurement of Website Login Policies" a également été acceptée au 32e symposium sur la sécurité de l'USENIX au début de l'année.
Résumé
L'authentification sur un site web à l'aide d'un mot de passe implique un processus de connexion en plusieurs étapes, où chaque étape implique des décisions critiques en matière de politique et de mise en œuvre qui ont un impact sur la sécurité de la connexion et la facilité d'utilisation. Alors que la communauté de la sécurité a identifié les meilleures pratiques pour chaque étape du processus de connexion, nous manquons actuellement d'une large compréhension des politiques de connexion aux sites web dans la pratique. Les travaux antérieurs s'appuyaient sur l'inspection manuelle des sites web, produisant des évaluations d'une petite population de sites biaisés vers les sites les plus populaires.
Dans ce travail, nous cherchons à fournir une image plus complète et systématique des politiques de connexion aux sites web dans le monde réel. Nous développons une méthode automatisée pour déduire les politiques de connexion des sites web et nous l'appliquons aux domaines du Google CrUX Top 1 Million. Nous évaluons avec succès les politiques de connexion sur 18 000 à 359 000 sites (variant en fonction de l'étape de connexion considérée), ce qui permet de caractériser une population de deux à trois ordres de grandeur plus importante que les études précédentes. Nos résultats révèlent l'étendue de l'existence de politiques de connexion non sécurisées et identifient certaines causes sous-jacentes. En fin de compte, notre étude fournit la base empirique la plus complète à ce jour sur l'état de la sécurité des connexions aux sites web, et met en lumière les directions à suivre pour améliorer l'authentification en ligne.
Conclusion
Dans cette étude, nous avons réalisé la plus grande évaluation des politiques de connexion aux sites web à ce jour, en évaluant 18 000 à 359 000 sites à travers divers éléments de politique (un ordre de grandeur supérieur à celui des travaux antérieurs). Nos résultats établissent une base empirique sur l'état de l'authentification moderne sur le web, en caractérisant les politiques de connexion peu sûres qui existent. Nous synthétisons ici nos résultats en leçons pour améliorer l'authentification web à l'avenir.
Importance des mesures d'authentification Web à grande échelle. En effectuant des mesures à grande échelle, nous avons découvert des aspects uniques de l'authentification en ligne, notamment des politiques de connexion variées déployées par des sites dans différentes catégories de classement. Par exemple, bien qu'il y ait peu de preuves de l'utilisation de la tolérance aux fautes de frappe dans la pratique, nous avons trouvé des centaines de sites déployant la tolérance aux fautes de frappe, et nous avons identifié que les politiques prennent principalement en compte les fautes de casse de lettres. Cette constatation a des implications en matière de sécurité, car des travaux récents ont montré que les systèmes de tolérance aux fautes de frappe, s'ils sont plus faciles à utiliser, sont aussi beaucoup plus vulnérables aux attaques par credential stuffing. Ces domaines nouvellement identifiés, y compris un site du top 50, motivent une étude plus approfondie du compromis sécurité-utilisabilité de la tolérance aux fautes de frappe. Nous avons également observé certaines sous-populations présentant des pratiques peu sûres, telles que les mauvaises configurations HTTPS des sites gouvernementaux et éducatifs, et la désactivation fréquente du collage de formulaires de connexion par les domaines indiens les plus importants. Une fois ces sous-populations identifiées, les efforts de la communauté pour informer les parties concernées et encourager les mesures correctives peuvent conduire à de réelles améliorations en matière d'authentification en ligne.
Cependant, il est extrêmement difficile de réaliser des mesures d'authentification sur le web à grande échelle, étant donné l'hétérogénéité du web et l'ingénierie extensive requise pour l'automatisation. Nos données et nos résultats finiront par être périmés, et des recherches ultérieures sur l'authentification en ligne seront nécessaires. Les travaux futurs devraient affiner les méthodes de mesure existantes, par exemple en développant des classificateurs plus précis ou en identifiant des moyens de mieux gérer la diversité du web.
Influence des frameworks web populaires. Nous avons découvert que plusieurs problèmes de sécurité de connexion étaient dus à des décisions de mise en œuvre prises par des frameworks web populaires. Par exemple, environ un cinquième des domaines vulnérables à l'énumération des utilisateurs semblent simplement utiliser les messages d'échec de connexion par défaut de WordPress. De même, la politique de tolérance aux fautes de frappe la plus courante est probablement due à la manière dont les logiciels côté serveur les plus répandus modifient les mots de passe. Si ces cadres web peuvent être à l'origine des problèmes d'authentification les plus courants, ils peuvent aussi être la source de solutions. Les mises à jour logicielles qui répondent aux problèmes d'authentification pourraient réduire considérablement les populations vulnérables. Par ailleurs, si les frameworks web les plus répandus prenaient en charge les pratiques recommandées par défaut, telles que la limitation de débit (déployée par une minorité de sites seulement), nous observerions probablement des niveaux d'adoption nettement plus élevés.
Amélioration de l'écosystème HTTPS sur le web. Comme indiqué plus haut, notre analyse de l'utilisation du protocole HTTPS lors des connexions sur le web montre que l'utilisation du protocole TLS s'est considérablement améliorée par rapport aux observations antérieures. Les efforts déployés par la communauté pour favoriser l'adoption du protocole TLS ont permis d'améliorer la sécurité des connexions en ligne en général. Toutefois, il reste du travail à faire car certains sites utilisent encore des canaux de communication non sécurisés. Nous avons constaté que le contenu mixte reste un problème important sur les pages de connexion et, compte tenu de l'importance des sites web qui proposent encore des pages de connexion sur HTTP, des efforts supplémentaires sont nécessaires pour inciter les opérateurs de sites web à faire migrer toutes les pages sensibles (par exemple, les pages de connexion) vers HTTPS uniquement. Dans de nombreux cas, nous supposons que les exploitants ne savent pas que les pages de connexion sont encore disponibles sur HTTP, ou qu'ils ne sont pas conscients des conséquences de l'hébergement de pages de connexion HTTP. Dans ce cas, des campagnes de sensibilisation peuvent être efficaces pour réduire cette population.
Combinaison d'approches crowdsourcées et automatisées. Notre étude de cas du projet crowdsourcé Plain Text Offenders (PTO) montre que même les efforts populaires de crowdsourcing ont une couverture limitée (nous avons découvert des centaines de nouveaux sites stockant des mots de passe en clair) et doivent traiter des données périmées (de nombreux domaines figurant sur la liste PTO n'y appartiennent plus). D'autant plus que ces projets servent en partie à "nommer et faire honte" aux sites qui se comportent mal, les données périmées peuvent inutilement salir les sites qui prennent des mesures correctives. Toutefois, ces efforts peuvent permettre d'identifier des cas d'insécurité que les méthodes automatisées ne peuvent pas identifier, et constituent donc des approches très complémentaires. Nous préconisons des efforts hybrides pour aller de l'avant, où les données recueillies par la foule peuvent être complétées par des mesures automatisées, et alimentées par l'automatisation pour permettre des réévaluations périodiques (produisant de nouveaux résultats).
Favoriser l'adhésion aux normes modernes. Alors que les normes modernes fournissent des lignes directrices pour des politiques sûres et utilisables à chaque étape de la connexion (à l'exception de la tolérance aux fautes de frappe, qui mérite d'être étudiée plus avant et incorporée dans les lignes directrices), nous observons le non-respect de ces normes par d'importantes populations de sites dans l'ensemble de nos résultats. Il convient d'étudier plus avant les raisons pour lesquelles les exploitants de sites web n'adoptent pas ces normes, afin de déterminer les meilleurs moyens d'influer sur le changement. L'un des leviers possibles pour améliorer les pratiques d'authentification pourrait être l'application de réglementations. Par exemple, nous avons observé à la section 4.5 que de nombreux domaines stockant des mots de passe en clair se trouvent dans l'Union européenne, où le RGPD pourrait être utilisé pour sanctionner ces pratiques peu sûres. Une telle application pourrait sensibiliser et inciter à remédier aux comportements peu sûrs des sites web.
L'authentification sur un site web à l'aide d'un mot de passe implique un processus de connexion en plusieurs étapes, où chaque étape implique des décisions critiques en matière de politique et de mise en œuvre qui ont un impact sur la sécurité de la connexion et la facilité d'utilisation. Alors que la communauté de la sécurité a identifié les meilleures pratiques pour chaque étape du processus de connexion, nous manquons actuellement d'une large compréhension des politiques de connexion aux sites web dans la pratique. Les travaux antérieurs s'appuyaient sur l'inspection manuelle des sites web, produisant des évaluations d'une petite population de sites biaisés vers les sites les plus populaires.
Dans ce travail, nous cherchons à fournir une image plus complète et systématique des politiques de connexion aux sites web dans le monde réel. Nous développons une méthode automatisée pour déduire les politiques de connexion des sites web et nous l'appliquons aux domaines du Google CrUX Top 1 Million. Nous évaluons avec succès les politiques de connexion sur 18 000 à 359 000 sites (variant en fonction de l'étape de connexion considérée), ce qui permet de caractériser une population de deux à trois ordres de grandeur plus importante que les études précédentes. Nos résultats révèlent l'étendue de l'existence de politiques de connexion non sécurisées et identifient certaines causes sous-jacentes. En fin de compte, notre étude fournit la base empirique la plus complète à ce jour sur l'état de la sécurité des connexions aux sites web, et met en lumière les directions à suivre pour améliorer l'authentification en ligne.
Conclusion
Dans cette étude, nous avons réalisé la plus grande évaluation des politiques de connexion aux sites web à ce jour, en évaluant 18 000 à 359 000 sites à travers divers éléments de politique (un ordre de grandeur supérieur à celui des travaux antérieurs). Nos résultats établissent une base empirique sur l'état de l'authentification moderne sur le web, en caractérisant les politiques de connexion peu sûres qui existent. Nous synthétisons ici nos résultats en leçons pour améliorer l'authentification web à l'avenir.
Importance des mesures d'authentification Web à grande échelle. En effectuant des mesures à grande échelle, nous avons découvert des aspects uniques de l'authentification en ligne, notamment des politiques de connexion variées déployées par des sites dans différentes catégories de classement. Par exemple, bien qu'il y ait peu de preuves de l'utilisation de la tolérance aux fautes de frappe dans la pratique, nous avons trouvé des centaines de sites déployant la tolérance aux fautes de frappe, et nous avons identifié que les politiques prennent principalement en compte les fautes de casse de lettres. Cette constatation a des implications en matière de sécurité, car des travaux récents ont montré que les systèmes de tolérance aux fautes de frappe, s'ils sont plus faciles à utiliser, sont aussi beaucoup plus vulnérables aux attaques par credential stuffing. Ces domaines nouvellement identifiés, y compris un site du top 50, motivent une étude plus approfondie du compromis sécurité-utilisabilité de la tolérance aux fautes de frappe. Nous avons également observé certaines sous-populations présentant des pratiques peu sûres, telles que les mauvaises configurations HTTPS des sites gouvernementaux et éducatifs, et la désactivation fréquente du collage de formulaires de connexion par les domaines indiens les plus importants. Une fois ces sous-populations identifiées, les efforts de la communauté pour informer les parties concernées et encourager les mesures correctives peuvent conduire à de réelles améliorations en matière d'authentification en ligne.
Cependant, il est extrêmement difficile de réaliser des mesures d'authentification sur le web à grande échelle, étant donné l'hétérogénéité du web et l'ingénierie extensive requise pour l'automatisation. Nos données et nos résultats finiront par être périmés, et des recherches ultérieures sur l'authentification en ligne seront nécessaires. Les travaux futurs devraient affiner les méthodes de mesure existantes, par exemple en développant des classificateurs plus précis ou en identifiant des moyens de mieux gérer la diversité du web.
Influence des frameworks web populaires. Nous avons découvert que plusieurs problèmes de sécurité de connexion étaient dus à des décisions de mise en œuvre prises par des frameworks web populaires. Par exemple, environ un cinquième des domaines vulnérables à l'énumération des utilisateurs semblent simplement utiliser les messages d'échec de connexion par défaut de WordPress. De même, la politique de tolérance aux fautes de frappe la plus courante est probablement due à la manière dont les logiciels côté serveur les plus répandus modifient les mots de passe. Si ces cadres web peuvent être à l'origine des problèmes d'authentification les plus courants, ils peuvent aussi être la source de solutions. Les mises à jour logicielles qui répondent aux problèmes d'authentification pourraient réduire considérablement les populations vulnérables. Par ailleurs, si les frameworks web les plus répandus prenaient en charge les pratiques recommandées par défaut, telles que la limitation de débit (déployée par une minorité de sites seulement), nous observerions probablement des niveaux d'adoption nettement plus élevés.
Amélioration de l'écosystème HTTPS sur le web. Comme indiqué plus haut, notre analyse de l'utilisation du protocole HTTPS lors des connexions sur le web montre que l'utilisation du protocole TLS s'est considérablement améliorée par rapport aux observations antérieures. Les efforts déployés par la communauté pour favoriser l'adoption du protocole TLS ont permis d'améliorer la sécurité des connexions en ligne en général. Toutefois, il reste du travail à faire car certains sites utilisent encore des canaux de communication non sécurisés. Nous avons constaté que le contenu mixte reste un problème important sur les pages de connexion et, compte tenu de l'importance des sites web qui proposent encore des pages de connexion sur HTTP, des efforts supplémentaires sont nécessaires pour inciter les opérateurs de sites web à faire migrer toutes les pages sensibles (par exemple, les pages de connexion) vers HTTPS uniquement. Dans de nombreux cas, nous supposons que les exploitants ne savent pas que les pages de connexion sont encore disponibles sur HTTP, ou qu'ils ne sont pas conscients des conséquences de l'hébergement de pages de connexion HTTP. Dans ce cas, des campagnes de sensibilisation peuvent être efficaces pour réduire cette population.
Combinaison d'approches crowdsourcées et automatisées. Notre étude de cas du projet crowdsourcé Plain Text Offenders (PTO) montre que même les efforts populaires de crowdsourcing ont une couverture limitée (nous avons découvert des centaines de nouveaux sites stockant des mots de passe en clair) et doivent traiter des données périmées (de nombreux domaines figurant sur la liste PTO n'y appartiennent plus). D'autant plus que ces projets servent en partie à "nommer et faire honte" aux sites qui se comportent mal, les données périmées peuvent inutilement salir les sites qui prennent des mesures correctives. Toutefois, ces efforts peuvent permettre d'identifier des cas d'insécurité que les méthodes automatisées ne peuvent pas identifier, et constituent donc des approches très complémentaires. Nous préconisons des efforts hybrides pour aller de l'avant, où les données recueillies par la foule peuvent être complétées par des mesures automatisées, et alimentées par l'automatisation pour permettre des réévaluations périodiques (produisant de nouveaux résultats).
Favoriser l'adhésion aux normes modernes. Alors que les normes modernes fournissent des lignes directrices pour des politiques sûres et utilisables à chaque étape de la connexion (à l'exception de la tolérance aux fautes de frappe, qui mérite d'être étudiée plus avant et incorporée dans les lignes directrices), nous observons le non-respect de ces normes par d'importantes populations de sites dans l'ensemble de nos résultats. Il convient d'étudier plus avant les raisons pour lesquelles les exploitants de sites web n'adoptent pas ces normes, afin de déterminer les meilleurs moyens d'influer sur le changement. L'un des leviers possibles pour améliorer les pratiques d'authentification pourrait être l'application de réglementations. Par exemple, nous avons observé à la section 4.5 que de nombreux domaines stockant des mots de passe en clair se trouvent dans l'Union européenne, où le RGPD pourrait être utilisé pour sanctionner ces pratiques peu sûres. Une telle application pourrait sensibiliser et inciter à remédier aux comportements peu sûrs des sites web.
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de cette étude de Georgia Tech, trouvez-vous qu'elle est crédible, pertinente et utile ?Voir aussi
Le pire mot de passe le plus utilisé en France en 2023 est de loin "123456" avec plus de 86 000 entrées sur le Web, il faut moins d'une seconde à un pirate pour le déchiffrer Les rapports sur la mort du mot de passe sont largement exagérés, 68% des décideurs informatiques affirment que les mots de passe ne sont pas morts, selon une enquête de Delinea Les mots de passe faibles permettent encore aux pirates de pénétrer dans les réseaux, 83 % des mots de passe compromis satisfont aux exigences des normes de conformité en matière de cybersécurité