Plus d'applications. Plus de comptes. Plus de risque.
80 applications installées sur un téléphone, 2,5 boîtes mail et des mots de passe souvent similaires. Le nombre de créations de compte lié aux applications augmente et avec eux la surface d'attaque.
« Il y a une application pour ça ». Cette accroche marketing est devenue une réalité.
Selon des études, une personne a maintenant en moyenne plus de 80 applications installées sur son téléphone. Cette même personne interagit avec en moyenne neuf de ces applications par jour, et trente au cours d'un mois.
En raison d'un appétit insatiable des applications pour les données et la connaissance des habitudes des consommateurs, leur utilisation nécessite généralement un compte. La plupart des applications requièrent une inscription afin d'accéder aux fonctionnalités les plus utiles ou intéressantes.
Parmi ces applications, on trouve notamment les jeux et les réseaux sociaux. Les études montrent qu'il y avait en moyenne 8,5 comptes de réseaux sociaux en 2018, soit approximativement le double de la moyenne de 4,8 observée en 2014.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
En 2018, le nombre moyen de comptes de messagerie par internaute était compris entre 1,8 et 2,5 (sources : Radicati et DMA). De fait, le nombre d'adresses e-mail par utilisateur est nettement inférieur au nombre de comptes et d'applications de réseaux sociaux utilisés sur une base quotidienne/mensuelle.
Rien de surprenant jusque-là. Nous avons grandi avec nos adresses e-mail : l'étude DMA a montré que 51 % des gens ont la même adresse e-mail depuis plus de 10 ans.
Tout aussi peu surprenant, donc, est le nombre de fois où une adresse électronique personnelle peut apparaître sur une liste d'adresses compromises par un vol de données. Et si nous projetons la croissance presque linéaire du nombre de comptes de réseaux sociaux, il est probable que ce nombre croisse de concert avec le nombre de cibles potentielles.
En gardant cela en tête, considérons les conclusions de LastPast, fournisseur de gestion de mots de passe :
- 43 % des 30 domaines les plus utilisés par les employés sont aussi des applications grand public populaires (Dropbox, par exemple).
- 50 % des personnes ne créent pas de mots de passe distincts pour les comptes personnels et professionnels.
- La même recherche a révélé qu'un employé moyen partageait 6 mots de passe avec ses collègues de travail.
Malgré l'éducation et le rappel incessant que la sécurité est la responsabilité de chacun, non seulement la barrière entre l'entreprise et le consommateur est régulièrement franchie, mais les pratiques de sécurité les plus élémentaires sont complètement ignorées, notamment avec les applications et les mots de passe.
Le Verizon Data Breach Investigations Report a révélé que plus de 70 % des employés réutilisent les mots de passe au travail. Pourtant, une étude de Lastpass en 2016 révélait que 91 % des personnes comprennent le risque lié à la réutilisation des mots de passe.
C'est pourquoi il est important que les organisations reconnaissent et mettent en place une meilleure protection de leurs propres actifs. Actifs de l'entreprise qui sont généralement accessibles par l'une des 2,5 adresses e-mail détenues par les collaborateurs. L'utilisation de l'authentification multifactorielle (MFA) et la mise en place d'exigences de complexité des mots de passe sont parmi les meilleures défenses contre les attaquants qui cherchent à se frayer un chemin dans les sources de données potentiellement lucratives, grâce à des attaques par force brute.
C'est aussi l'une des meilleures défenses contre le partage des mots de passe parce que l'authentification multifacteur va plus loin et nécessite une étape supplémentaire - une étape que la plupart des collègues de travail ne peuvent accomplir.
Avec chaque compte exposé, chaque application qui rejoint les rangs de l'entreprise, le risque augmente. Le risque lié au partage des mots de passe par les employés, le risque lié aux adresses de courriel statiques contenant plusieurs mots de passe et le risque lié aux attaquants qui connaissent toutes ces statistiques et les meilleures façons de les exploiter.
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
L'authentification multifacteur n'est pas la panacée, mais c'est un bon point de départ pour faire face à un risque qui ne fera que croître avec le nombre d'applications sur nos téléphones et en usage dans les domaines personnels et professionnels.
Sur le même thème
Voir tous les articles Cybersécurité