Comment sécuriser les mots de passe à l'ère de l'IA ?
Les défis en matière de cybersécurité sont d'autant plus passionnants qu'ils sont constamment alimentés par les nouvelles technologies.
Les défenseurs et les attaquants utilisent souvent les mêmes innovations et technologies. Depuis des années, la question est de savoir qui peut maîtriser au plus vite, le mieux et le plus efficacement le jeu du chat et de la souris. Les progrès se poursuivant à une vitesse vertigineuse, il n'y a pas de répit - ni pour ceux qui développent et fournissent des solutions de protection, ni pour ceux qui les utilisent. Cela vaut également pour la gestion des mots de passe. Alors que les entreprises responsables ont mis en place des mots de passe forts, chiffrent les données à un niveau de sécurité très élevé et s'appuient sur des solutions logicielles fiables pour gérer et déployer leurs mots de passe, un nouveau spectre est apparu à l'horizon : l'intelligence artificielle (IA).
Dans le climat de tension qui règne actuellement, il est facile de débattre du stade technique auquel il convient d'appeler un phénomène "IA" ou de se demander si, dans certains cas, une automatisation relativement simple n'est pas plus appropriée pour décrire l'IA. Mais une chose est sûre : les grands groupes de cybercriminels sont en mesure d'utiliser une véritable IA pour leurs opérations et disposent des ressources nécessaires à cet effet. Et malheureusement, les cybercriminels ont la tâche facile si les entreprises ne prennent pas les contre-mesures appropriées.
Craquage de mots de passe par l'IA
Les techniques d'IA pour craquer les mots de passe sont de plus en plus sophistiquées. Les cybercriminels utilisent des programmes qui analysent les variations des mots de passe fréquemment utilisés et testent toutes les combinaisons possibles jusqu'à ce qu'ils réussissent à craquer un mot de passe, ce que l'on appelle une attaque par force brute. Les technologies de l'IA peuvent accélérer ce processus et, du point de vue des cybercriminels, même le perfectionner.
Un rapport de Home Security Heroes montre que l'IA est capable de déchiffrer facilement les mauvais mots de passe. Il s'agit d'un risque élevé pour la sécurité, en particulier pour les entreprises qui n'utilisent pas de mots de passe sécurisés pour leurs comptes. Dans ce rapport, un outil de décodage de mots de passe soutenu par l'IA, appelé PassGAN, a été testé sur plus de 15 millions de mots de passe fréquemment utilisés ou erronés. Les résultats : 51 % des mots de passe peuvent être déchiffrés en moins d'une minute, 65 % en une heure, 71 % en un jour et 81 % en un mois.
Sécurité des mots de passe à un haut niveau
Ce risque ne laisse pas le choix aux entreprises : elles doivent maîtriser leurs mots de passe et les protéger de la meilleure façon possible, avec des moyens adaptés. Cela inclut notamment l'utilisation d'un gestionnaire de mots de passe professionnel ou d'une solution de gestion des accès privilégiés (PAM). Ces solutions génèrent des mots de passe sécurisés pour chaque accès, ce qui est considéré comme l'une des meilleures options de protection - en particulier lorsqu'elles sont associées à des mécanismes de protection supplémentaires tels que l'authentification à double facteur (2FA).
Par exemple, une attaque par force brute utilise l'IA pour identifier automatiquement différentes combinaisons de mots de passe. Cette méthode est particulièrement efficace avec des mots de passe faibles ou courts. Avec l'aide de l'IA, les cybercriminels peuvent passer en revue un très grand nombre de combinaisons de mots de passe en très peu de temps, ce qui augmente considérablement la vitesse à laquelle les mots de passe peuvent être déchiffrés. Selon les conclusions des Home Security Heroes, un mot de passe simple comme "123456" serait craqué extrêmement rapidement à l'aide d'une technologie de force brute soutenue par l'IA en raison de sa faible complexité. Pour un mot de passe de 16 caractères contenant des chiffres, des lettres majuscules et minuscules et des symboles, l'IA aurait besoin d'environ 1 000 milliards d'années pour le déchiffrer.
La pratique dans la vie de tous les jours est essentielle
L'utilisation de bons mots de passe complexes est importante pour la sécurité de l'entreprise. Toutefois, ce fait n'a aucun effet tant que l'entreprise n'est pas en mesure de contrôler et d'appliquer ces directives en matière de mots de passe. Aucun employé, aucune équipe, aucun administrateur et aucun responsable ne peut se soustraire aux directives relatives aux mots de passe. L'utilisation d'un mot de passe ou d'une solution PAM ayant un très haut niveau d'acceptation par l'utilisateur est donc de la plus haute importance. La solution doit être facile à utiliser, tant pour les utilisateurs que pour les administrateurs. En outre, la solution de mots de passe doit s'intégrer de manière transparente dans la vie professionnelle quotidienne - par exemple, en prenant en charge les environnements de travail collaboratifs dans lesquels des équipes entières partagent certaines données d'accès. Enfin, la solution doit adhérer au principe Zero Trust et Zero Knowledge, selon lequel même le fournisseur de technologie n'a absolument aucun accès aux mots de passe et aux données.
Un exemple de mise en œuvre cohérente de cette sécurité des mots de passe est celui de l'institut de recherche sur le cancer infantile St. Anna a mis en place la solution de gestion des mots de passe Keeper pour assurer la sécurité de ses données d'accès numériques. En utilisant des dossiers partagés et le partage unique, les équipes de l'institut de recherche peuvent facilement travailler ensemble et collaborer sur les détails de connexion requis sans compromettre la sécurité.
Une autre caractéristique importante d'une solution de gestion des mots de passe, tant pour les utilisateurs que pour les administrateurs, est l'avertissement automatique des mauvais mots de passe et l'alarme en cas de piratage d'un mot de passe. Un module complémentaire du gestionnaire de mots de passe, par exemple, peut vérifier en permanence si les informations de connexion de l'équipe apparaissent sur le dark web. Si c'est le cas, la solution avertit immédiatement les administrateurs et des mesures appropriées peuvent être prises.
Le risque de piratage des mots de passe par des cybercriminels utilisant l'IA existe bel et bien, mais il peut être réduit à un niveau gérable. Tant que les entreprises appliquent systématiquement des directives strictes en matière de mots de passe sécurisés et utilisent une plateforme sécurisée pour le stockage et le partage des données d'accès et des mots de passe, l'obstacle pour les criminels est trop élevé - et trop peu rentable. Le plus important, cependant, est que cette théorie soit pleinement mise en œuvre dans la pratique.