Journée mondiale du mot de passe 2026 : Les pirates se connectent facilement
A l'occasion du World Password Day 2026, Rich Greene du Sans Institute dresse un bilan décevant : les données de connexion volées sont depuis longtemps la voie d'accès la plus fréquente pour les cyber-attaques. Les mots de passe seuls ne protègent plus - et même le MFA n'est pas une panacée.
À l'approche de la Journée mondiale des mots de passe 2026, le 7 mai, les équipes de sécurité doivent faire face à une vérité désagréable : Les attaquants ne s'introduisent plus par effraction - ils se connectent. Rich Greene, instructeur au Sans Institute, classe les menaces actuelles et montre où il faut agir.
Les données d'accès volées constituent le principal point faible
Le Verizon DBIR 2025 a analysé plus de 22 000 incidents de sécurité et a constaté que les données d'identification volées constituaient la première voie d'accès dans 22 % de toutes les violations de sécurité confirmées. Cette proportion atteint même 88 % pour les attaques simples contre les applications Web. Autre constat alarmant : IBM X-Force a enregistré une augmentation de 84 % par rapport à l'année précédente des logiciels malveillants Infostealer diffusés via des e-mails de phishing. Il ne s'agit pas d'exploits sophistiqués de type ’zero-day", mais de logiciels malveillants qui collectent silencieusement les mots de passe enregistrés dans le navigateur.
La réutilisation des mots de passe ne fait qu'aggraver la situation. L'analyse des journaux d'Infostealer par Verizon a révélé que dans le cas médian, seuls 49 % des mots de passe d'un utilisateur étaient uniques à travers différents services. Cela signifie que dans plus de la moitié des cas, un seul mot de passe compromis ouvre plusieurs portes. «Nous ne cessons de dire aux gens d'utiliser des mots de passe forts et uniques. Ils hochent la tête en signe d'approbation et font exactement le contraire», explique Greene.
L'économie d'Infostealer s'est industrialisée
Selon le rapport Kela 2025, les chercheurs en sécurité ont enregistré 3,9 milliards de données d'accès volées sur 4,3 millions d'appareils infectés. Ces données d'accès sont regroupées dans des "logs" et vendues à des Initial Access Brokers, qui revendent à leur tour l'accès au réseau à des groupes de ransomware. L'infrastructure criminelle qui se cache derrière est organisée de manière professionnelle et évolue en permanence.
L'AMF aide - mais ce n'est pas la panacée
L'authentification multifactorielle (MFA) est considérée comme une mesure standard dans de nombreux endroits, mais ce n'est pas une arme miracle. Les attaquants la contournent par le biais du prompt bombing, du détournement de session et des kits de phishing Adversary-in-the-Middle qui saisissent les jetons en temps réel. Le Verizon DBIR a identifié pour la première fois le prompt bombing comme l'une des méthodes d'attaque les plus courantes. La conclusion de Greene est claire : «Avoir un MFA activé est la moindre des choses. Une MFA résistante au phishing est ce qui fait réellement la différence».»
Les Passkeys, une alternative prometteuse
L'Alliance Fido rapporte que 69% des consommateurs possèdent désormais au moins un Passkey, contre 39% seulement il y a deux ans. Les clés d'accès atteignent un taux de réussite de 93 %, contre 63 % pour les mots de passe traditionnels. Du côté des entreprises, 87% des organisations ont adopté ou sont en train d'adopter des clés de sécurité, selon les études de HID et de Fido Alliance. Google recense plus de 800 millions de comptes utilisant Passkeys, avec 2,5 milliards d'inscriptions Passkey.
Néanmoins, il existe des obstacles réels à l'adoption que les équipes de sécurité ne peuvent pas ignorer. Les environnements d'entreprise dotés d'une infrastructure obsolète, d'un Active Directory local, de postes de travail partagés et d'anciens appareils sans module de plateforme de confiance (TPM) ou matériel biométrique sont confrontés à des difficultés considérables. L'interopérabilité entre les plateformes s'améliore, mais elle n'est pas encore tout à fait au point. La récupération des comptes et la délégation des données de connexion dans les grandes organisations ne sont pas non plus résolues de manière définitive. Les organisations doivent gérer une authentification hybride pendant la transition - et cette transition pourrait prendre des années selon l'environnement.
Conclusion : moins de mots de passe, plus de sécurité
Il n'est plus temps de chercher le meilleur mot de passe. Au lieu de cela, les équipes de sécurité devraient s'efforcer d'utiliser moins de mots de passe : Chaque mot de passe est une surface d'attaque, chaque clé d'accès en élimine une. Il est également recommandé d'utiliser des gestionnaires de mots de passe et de généraliser l'utilisation de MFA résistants au phishing. «Les mots de passe étaient un mal nécessaire. Aujourd'hui, ils ne sont plus qu'un mal. Plus vite les équipes de sécurité les remplaceront, mieux ce sera», explique Greene. Dans ce contexte, les organisations doivent être prises là où elles se trouvent - toutes les entreprises ne disposent pas de nouveau matériel, et le chemin vers l'absence de mots de passe doit tenir compte de cette réalité.
Plus d'informations : https://www.sans.org
Cet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/world-password-day-2026-angreifer-loggen-sich-einfach-ein/
