La fissuration plus efficace, la dépendance continue à des politiques faibles ou obsolètes et les contrôles de sécurité contre les fuites d’identification sont de plus en plus compromises.
Les mots de passe d’entreprise deviennent plus faciles à voler et de plus en plus difficiles à arrêter d’être maltraités une fois qu’ils fuient.
Selon le dernier rapport annuel Blue de PICUS Security, sur la base de plus de 160 millions de simulations d’attaque du monde réel, au moins un hachage de mot de passe a été craqué dans 46% des environnements testés – contre 25% en 2024.
L’augmentation met en évidence la dépendance continue des politiques de mot de passe faible ou obsolète, a conclu PICUS.
«Il y a encore trop d’environnements qui permettent des mots de passe faibles ou même anciens – même pour les comptes privilégiés – sans force de rotation ou de complexité», explique Özeren. «Et même lorsqu’il y a des politiques solides, elles sont très anciennes ou uniquement appliquées sporadiquement.»
Malgré des années de campagnes de sensibilisation, les utilisateurs continuent de s’appuyer sur des mots de passe faibles, réutilisés et facilement supposables – un défi amplifié par la complexité architecturale croissante de l’entreprise moderne.
«Les identités sont fragmentées dans de nombreux systèmes sur prématurés, applications cloud et services», explique Ivan Milenkovic, vice-président de la technologie des risques pour l’EMEA chez les fournisseurs de sécurité cloud Qualiers. «Cette décentralisation rend la visibilité et l’application des politiques cohérentes incroyablement difficiles, élargissant la surface d’attaque potentielle.»
Fissures dans les défenses d’entreprise
Les attaquants deviennent de plus en plus efficaces pour craquer les mots de passe, en utilisant un forçage brutal accéléré par le GPU, des tables arc-en-ciel et des logiciels malveillants d’infostaler pour récolter des informations d’identification à grande échelle tandis que des techniques telles que la pulvérisation de mot de passe permettent aux attaquants d’éviter de déclencher des verrouillage du compte. Ces méthodes exploitent les mots de passe et les défauts faibles ou réutilisés dans la façon dont les hachages sont stockés, ce qui facilite l’obtention de connexions valides.
«Le stockage de mots de passe à l’aide d’anciennes méthodes telles que MD5 ou SHA-1 n’est plus suffisante», explique Özeren de Picus Security. «De nouvelles normes telles que Bcrypt, Argon2 ou Scrypt ralentissent les attaques par force brute.»
Le hachage fort doit également être combiné avec du sel, une valeur aléatoire unique à chaque mot de passe et du poivre, une clé secrète stockée loin du mot de passe. «Sans cela, un attaquant peut utiliser des tables arc-en-ciel et d’autres raccourcis pour casser des hachages à grande échelle», dit-il.
Matthew Bell, fondateur de la société Cyber Protection Group de Cybersecurity and Software Development, ajoute: «Trop d’organisations comptent toujours sur des règles de complexité faibles, des méthodes de hachage obsolètes et des politiques de mot de passe statiques.
«Alors que la fissuration par force brute est une préoccupation, en particulier pour les systèmes plus anciens ou ceux qui stockent encore des hachages de manière moins sûre, de nombreuses violations commencent aujourd’hui par des informations d’identification volées, souvent récoltées par le phishing ou l’ingénierie sociale, puis abusée via la farce des informations d’identification», note Paul Kenny, vice-président du succès des clients pour EMEA et APAC chez l’identité numérique et la société de sécurité Daon.
«Les attaquants n’ont pas vraiment besoin de« fissurer »un mot de passe s’ils peuvent inciter quelqu’un à le remettre», ajoute-t-il.
Roddy Bergeron, boursier technique de Cybersecurity chez Sherweb, un fournisseur qui travaille avec MSPS pour fournir des services de sécurité, pense que les attaquants ne sont pas tellement meilleurs pour casser les mots de passe mais s’améliorer dans le phishing et l’ingénierie sociale.
«Nous voyons également des quantités massives d’identification être divulguées en raison de mauvaises pratiques de sécurité telles que les bases de données clients stockant des mots de passe en texte brut et des informations d’identification en applications en dur», a déclaré Bergeron. «Des défenses existent pour ces attaques, mais elles ne sont pas correctement investies ou comptent sur des personnes pour suivre les procédures appropriées.»
Menace croissante des titres de compétences volées
Les attaquants ciblent activement les informations d’identification des utilisateurs car ils offrent l’itinéraire le plus direct ou le point de vue dans le réseau d’une organisation ciblée. Une fois à l’intérieur, les attaquants peuvent se déplacer latéralement à travers les systèmes, rechercher d’autres comptes d’utilisateurs pour faire des compromis, ou ils tentent de dégénérer leurs privilèges et de gagner le contrôle administratif.
Cette chasse aux informations d’identification s’étend au-delà des comptes d’utilisateurs pour inclure les référentiels de code, où les développeurs peuvent avoir des clés d’accès à code dur et d’autres secrets dans le code source d’application.
Le rapport bleu de Pipus Security a également constaté que les tentatives d’expiltration des données n’ont été arrêtées que 3% du temps, contre 9% en 2024. Cette statistique est une nouvelle de mauvaise nouvelle à la fois Lorsque les opérateurs de ransomwares accélèrent des attaques à double expression basées sur des menaces à fuir des informations compromises parallèlement aux demandes de paiement des entreprises compromises afin de regagner l’accès aux systèmes piratés.
«Cela suggère que même lorsque les attaquants sont détectés, les mécanismes de réponse sont soit trop lents, mal intégrés ou simplement inefficaces pour arrêter les dégâts», explique la cloche du groupe Cyber Protection.
Milenkovic de Qualys fait valoir que les organisations devraient déployer une gamme de stratégies défensives pour protéger les identités numériques.
Darren Guccione, PDG et co-fondateur de la gestion des mots de passe et de la sécurité du gardien des fournisseurs de chiffrement Zero-Crust, a déclaré que les règles de complexité héritée, telles que forcer les changements de mot de passe périodiques ou les substitutions de caractère mineures offrent une «peu de résistance» contre les attaques modernes de force de force et de dictionnaire.
«Les défenses doivent évoluer pour inclure la gestion complète du cycle de vie des diplômes, les contrôles d’accès privilégiés et la détection des anomalies en temps réel», explique Guccione. «L’adoption de méthodes d’authentification résistantes au phishing, telles que les clés PASS, peut également réduire considérablement le risque de références compromises exploitées et empêcher le mouvement latéral en cas de violation.»
Kevin Curran, membre principal de l’IEEE et professeur de cybersécurité à l’Université d’Ulster, note que trop d’organisations comptent toujours sur des systèmes hérités, des politiques de mot de passe incohérentes et une application incomplète de l’AMF.
«Les CISO et les équipes de sécurité devraient se concentrer sur l’application des mots de passe solides et uniques, en utilisant le MFA partout, gérer rigoureusement les comptes privilégiés et tester régulièrement les contrôles d’identité», explique Curran. « Combiné avec un DLP bien réglé (prévention des pertes de données) et une surveillance continue qui peut détecter rapidement des modèles anormaux, ces mesures peuvent aider à limiter l’impact des informations d’identification volées ou fissurées. »
Les dernières découvertes de Picus Security révèlent un écart préoccupant entre la protection perçue des outils de sécurité et leurs performances réelles. Un score global de l’efficacité de la protection de 62% contraste avec un taux de prévention choquant de 3% pour l’exfiltration des données.
Les contre-mesures efficaces nécessitent une validation continue
Plutôt que de pointer des limites inhérentes aux contre-mesures de sécurité, Milenkovic de Qualys soutient que ces résultats montrent que l’efficacité de ces outils est souvent gravement compromise par un manque de validation et de gestion continue.
«Le principal coupable est une mentalité de« réglage »», explique Milenkovic. «Les contrôles de sécurité sont puissants lorsqu’ils sont déployés, mais leur efficacité se dégrade au fil du temps en raison de la dérive de configuration, des changements environnementaux et des techniques d’évolution de l’attaquant.»
Milenkovic ajoute: «Pour le CISO moderne, la clé à retenir est le besoin critique de se déplacer vers une défense axée sur les menaces.
