Dans une enquête, le département américain de l’Intérieur s’embarrasse de mots de passe faibles, d’un manque de MFA et de pratiques obsolètes.

Dans un rapport de l’Inspecteur général du Département américain de l’intérieur, intitulé « P@s$w0rters at the Department of the Interior: Easy Cracked, Poor Multi-Factor Authentication and Other Oversights Put Critical Systems at Risk », les détails effrayants de la La sécurité informatique de l’agence a été révélée publiée. Sur 43 pages, il décrit non seulement pourquoi les mots de passe sont si importants, mais aussi ce qui ne va pas avec le DOI.

Home Office lance une enquête après la découverte de mots de passe faibles

L’enquête a été lancée après « 20 à 40 % des mots de passe des projets précédents pourraient être piratés ». Les mots de passe individuels ont été trouvés directement sur les listes de mots de passe et ont également été connectés à des comptes sans 2FA.

En seulement 90 minutes, les pentesters ont réussi à déchiffrer 16 % de tous les mots de passe du ministère. Au total, 18 174 mots de passe sur 85 944 ont été piratés, dont 288 par des comptes dotés de « privilèges élevés » (c’est-à-dire des administrateurs système, par exemple) et 362 par des fonctionnaires de haut rang. Même les comptes inactifs n’étaient pas désactivés.

Ces mots de passe sont utilisés au Ministère de l’Intérieur

Près de 5 % de tous les utilisateurs avaient un mot de passe avec le mot « mot de passe » dans différentes variantes et les exigences en matière de mot de passe étaient « dépassé et inefficace », car ils ont encouragé l’utilisation de mots de passe faibles. Les mots de passe les plus populaires au Département de l’intérieur des États-Unis sont :

• Password-1234 (478 utilisateurs)
• Br0nc0$2012 (389 utilisateurs)
• Password123$ (318 utilisateurs)
• Password1234 (274 utilisateurs)
• Summ3rSun2020! (191 utilisateurs)
• 0rlando_0000 (160 utilisateurs, dont un administrateur de domaine avec un accès complet)
• Password1234! (150 utilisateurs)
• ChangeIt123 (140 utilisateurs)
• 1234password$ (138 utilisateurs)
• ChangeItN0w! (130 utilisateurs)

Le multifacteur est un fardeau pour les utilisateurs

« Nous avons constaté que l’authentification à facteur unique est possible dans un nombre incertain d’applications, malgré les réglementations en place depuis plus de 18 ans […] incluant le [DOI internen] des lignes directrices ». On a expliqué l’absence de multifactoriel avec le « Impact sur les utilisateurs finaux »; cependant, on peut se demander si cette explication est appropriée. Heureusement, une connexion par carte à puce était généralement obligatoire pour les utilisateurs disposant de droits élevés ; seuls 46 utilisateurs l’avaient désactivé. Cependant, 94 % de tous les comptes n’étaient pas protégés par un facteur supplémentaire.

classification

Les mots de passe sont l’entrée de la plupart des systèmes. Il est effrayant que même les autorités américaines ne parviennent pas à motiver leurs utilisateurs à pratiquer une bonne hygiène des mots de passe. Il ne fait aucun doute que les mots de passe non déchiffrés contiennent les noms des partenaires, des enfants et des chiens en combinaison avec les dates de naissance. Pour les mots de passe sécurisés, il est préférable d’utiliser un gestionnaire de mots de passe. Si vous avez des utilisateurs, ne forcez un changement de mot de passe que s’il y a une raison à cela ; sinon vous poussez vos utilisateurs à Passwort-1234.