Rapport 2025 sur l’état de la sécurité des mots de passe

Principaux enseignements de cet article :

• Excellence technique du NIST : Le NIST fournit des recommandations techniques solides qui soutiennent les gestionnaires de mots de passe comme Bitwarden, mais leur présentation manque de convivialité.

• Leadership de la CISA en matière de communication : La CISA obtient la note « Excellent » en recommandant clairement les gestionnaires de mots de passe et en créant des ressources de sécurité accessibles.

• Adoption inégale : Les agences fédérales présentent des écarts importants dans leurs recommandations sur la sécurité des mots de passe et les gestionnaires de mots de passe.

• Tendances d’amélioration positives : Une analyse sur quatre ans montre que les agences améliorent leurs recommandations en matière de sécurité des mots de passe pour les aligner sur les pratiques prises en charge par Bitwarden.

• Consensus croissant : Les agences fédérales reconnaissent de plus en plus que des solutions comme Bitwarden fournissent une infrastructure de sécurité essentielle.

Ces dernières années, la cybersécurité a fait l’objet d’une attention soutenue au sein du gouvernement fédéral des États-Unis. De nombreuses agences montrent la voie en matière de sensibilisation des organisations gouvernementales, des grandes et petites entreprises, ainsi que des consommateurs.

Cependant, toutes les agences ne tiennent pas le même discours en matière de sécurité des mots de passe. L’un des organismes de premier plan, le National Institute of Standards and Technology (NIST), « élabore des normes de cybersécurité, des directives, des bonnes pratiques et d’autres ressources pour répondre aux besoins de l’industrie américaine, des agences fédérales et du grand public ».

La page du NIST consacrée à la cybersécurité précise également que « certaines missions du NIST en matière de cybersécurité sont définies par des lois fédérales, des décrets et des politiques. Par exemple, l’Office of Management and Budget (OMB) impose à toutes les agences fédérales de mettre en œuvre les normes et recommandations de cybersécurité du NIST pour les systèmes ne relevant pas de la sécurité nationale ».

Malheureusement, les recommandations du NIST n’ont pas encore été universellement acceptées et mises en œuvre par toutes les agences fédérales. Si le NIST fixe les normes que les agences affirment suivre, il présente aussi sa propre faiblesse : un site web désorganisé.

2025 marque la quatrième année de cette analyse menée par Bitwarden. Cette année, la NSA est passée d’une note « Bon » à « Très bon » grâce à l’ajout d’une recommandation en faveur des gestionnaires de mots de passe. La note de la CISA est passée de « Très bon » à « Excellent » en rendant ses informations plus faciles à trouver et à comprendre. Le site web du NIST reste désorganisé, même si son contenu est très solide. Au fil des ans, de nombreuses agences ont évolué dans une meilleure direction en ce qui concerne leurs recommandations sur la sécurité des mots de passe et leur posture globale de cybersécurité, notamment la CISA, le FBI, la FTC et la SBA.

La technologie évolue rapidement. Pour les entreprises comme pour les particuliers, une grande partie de nos vies se déroule désormais en ligne, sur une multitude de comptes allant des sites de divertissement aux services financiers sensibles comme nos comptes bancaires.

Cette évaluation vise à sensibiliser et à informer toutes les personnes qui utilisent des mots de passe sur les bonnes pratiques issues du gouvernement fédéral, ainsi que sur les points à améliorer. De nombreux acteurs du gouvernement fédéral adoptent une approche pédagogique solide en matière de sécurité des mots de passe, tandis que d’autres pourraient avoir besoin d’un peu d’aide pour se moderniser.

Heureusement, un consensus se dégage autour des bonnes pratiques de sécurité des mots de passe. Ce rapport en rassemble et en évalue les détails.

Le système de notation classe les agences selon leur respect des critères suivants :

• Recommande l’utilisation d’un gestionnaire de mots de passe

• Souligne l’importance des mots de passe robustes

• Mentionne la nécessité de la 2FA/MFA pour renforcer davantage la sécurité des mots de passe

• Les conseils de sécurité généraux sont à jour et respectent les directives du NIST

• Présente les recommandations de sécurité des mots de passe de manière claire, facile à comprendre et à trouver

• Recommande l’utilisation d’un gestionnaire de mots de passe

• Souligne l’importance des mots de passe robustes

• Mentionne la nécessité de la 2FA/MFA pour renforcer davantage la sécurité des mots de passe

• Les conseils de sécurité généraux sont à jour et respectent les directives du NIST

• Ne présente pas les recommandations de sécurité des mots de passe de façon claire, compréhensible et facile à trouver

• Ne recommande pas l’utilisation d’un gestionnaire de mots de passe

• Souligne l’importance des mots de passe robustes 

• Mentionne la nécessité de la 2FA/MFA pour renforcer davantage la sécurité des mots de passe

• Les conseils de sécurité généraux ne sont pas à jour et ne respectent pas les directives du NIST

• Ne présente pas les recommandations de sécurité des mots de passe de façon claire, compréhensible et facile à trouver

• Ne recommande pas l’utilisation d’un gestionnaire de mots de passe

• Souligne l’importance des mots de passe robustes

• Ne mentionne pas systématiquement la nécessité de la 2FA/MFA pour renforcer davantage la sécurité des mots de passe

• Les conseils de sécurité généraux ne sont pas à jour et ne respectent pas les directives du NIST

• Ne présente pas les recommandations de sécurité des mots de passe de façon claire, compréhensible et facile à trouver

• Ne recommande pas l’utilisation d’un gestionnaire de mots de passe

• Ne souligne pas l’importance des mots de passe robustes

• Ne mentionne pas la nécessité de la 2FA/MFA pour renforcer davantage la sécurité des mots de passe

• Les conseils de sécurité généraux ne sont pas à jour et ne respectent pas les directives du NIST

• Ne présente pas les recommandations de sécurité des mots de passe de façon claire, compréhensible et facile à trouver

Conseils de l’agence :

• Gestion des authentificateurs | Gestionnaires de mots de passe

  • Utiliser [Affectation : gestionnaires de mots de passe définis par l’organisation] pour générer et gérer les mots de passe ; et

    • Protéger les mots de passe à l’aide de [affectation : contrôles définis par l’organisation].

    • Pour les systèmes où des mots de passe statiques sont utilisés, il est souvent difficile de s’assurer que les mots de passe sont suffisamment complexes et que les mêmes mots de passe ne sont pas utilisés sur plusieurs systèmes. Un gestionnaire de mots de passe est une solution à ce problème, car il génère et stocke automatiquement des mots de passe robustes et différents pour divers comptes. L’un des risques potentiels liés à l’utilisation de gestionnaires de mots de passe est que des adversaires peuvent cibler la collection de mots de passe générés par le gestionnaire de mots de passe. La collection de mots de passe nécessite donc une protection, notamment le chiffrement des mots de passe et le stockage hors ligne de la collection dans un jeton.

• Référence

Conseils de l’agence :

• Un mot de passe (parfois appelé phrase secrète ou, s’il est numérique, code PIN) est une valeur secrète destinée à être choisie et soit mémorisée, soit consignée par l’abonné. Les mots de passe doivent présenter une complexité et une confidentialité suffisantes pour qu’il soit impraticable pour un attaquant de deviner ou de découvrir autrement la valeur secrète correcte. Un mot de passe est « quelque chose que vous savez ».

• Les exigences de cette section s’appliquent aux mots de passe vérifiés de manière centralisée, utilisés comme facteurs d’authentification indépendants et envoyés au vérificateur d’un CSP via un canal protégé authentifié. Les mots de passe utilisés localement comme facteur d’activation pour un authentificateur multifacteur sont appelés secrets d’activation et abordés dans la Sec. 3.2.10.

• Les mots de passe DOIVENT être soit choisis par l’abonné, soit attribués aléatoirement par le CSP.

• Si le CSP refuse un mot de passe choisi parce qu’il figure sur une liste de blocage de valeurs couramment utilisées, attendues ou compromises (voir Sec. 3.1.1.2), l’abonné DOIT être tenu de choisir un autre mot de passe. Aucune autre exigence de complexité pour les mots de passe NE DOIT être imposée. Une justification de ce choix est présentée dans l’Annexe A, Robustesse des mots de passe.

• Les exigences suivantes s’appliquent aux mots de passe :

• Les vérificateurs et les CSP DOIVENT exiger que les mots de passe comportent au moins huit caractères et DEVRAIENT exiger que les mots de passe comportent au moins 15 caractères.

• Les vérificateurs et les CSP DEVRAIENT autoriser une longueur maximale de mot de passe d’au moins 64 caractères.

• Les vérificateurs et les CSP DEVRAIENT accepter tous les caractères ASCII imprimables [RFC20] ainsi que le caractère espace dans les mots de passe. Les vérificateurs et les CSP DEVRAIENT accepter les caractères Unicode [ISO/ISC 10646] dans les mots de passe. Chaque point de code Unicode DOIT être compté comme un seul caractère lors de l’évaluation de la longueur du mot de passe.

• Les vérificateurs et les CSP NE DOIVENT PAS imposer d’autres règles de composition (par exemple, exiger des combinaisons de différents types de caractères) pour les mots de passe.

• Les vérificateurs et les CSP NE DOIVENT PAS exiger des utilisateurs qu’ils changent périodiquement de mot de passe. Toutefois, les vérificateurs DOIVENT imposer un changement s’il existe des preuves de compromission de l’authentificateur.

• Les vérificateurs et les CSP NE DOIVENT PAS permettre à l’abonné de stocker un indice accessible à un demandeur non authentifié.

• Les vérificateurs et les CSP NE DOIVENT PAS inviter les abonnés à utiliser une authentification fondée sur les connaissances (KBA) (par exemple, « Quel était le nom de votre premier animal de compagnie ? ») ou des questions de sécurité lors du choix des mots de passe.

• Les vérificateurs DOIVENT vérifier l’intégralité du mot de passe soumis (c’est-à-dire ne pas le tronquer).

• Lors du traitement d’une demande d’établissement ou de modification d’un mot de passe, les vérificateurs DOIVENT comparer le secret envisagé à une liste de blocage contenant des mots de passe connus comme couramment utilisés, prévisibles ou compromis. L’intégralité du mot de passe DOIT faire l’objet de la comparaison, et non les sous-chaînes ou les mots qu’il pourrait contenir. Par exemple, la liste PEUT inclure notamment, sans s’y limiter :

  • Mots de passe obtenus à partir de corpus de violations antérieures

  • Mots du dictionnaire

  • Mots propres au contexte, tels que le nom du service, le nom d’utilisateur et leurs dérivés

  • Si le mot de passe choisi figure sur la liste de blocage, le CSP ou le vérificateur DOIT exiger de l’abonné qu’il sélectionne un autre secret et DOIT fournir le motif du rejet. Étant donné que la liste de blocage est utilisée pour se défendre contre les attaques par force brute et que les tentatives infructueuses sont limitées en fréquence, comme décrit ci-dessous, la liste de blocage DEVRAIT être suffisamment étendue pour empêcher les abonnés de choisir des mots de passe que les attaquants sont susceptibles de deviner avant d’atteindre la limite de tentatives.

• Les vérificateurs DOIVENT fournir à l’abonné des conseils pour l’aider à choisir un mot de passe fort. Ceci est particulièrement important après le rejet d’un mot de passe figurant sur la liste de blocage, car cela décourage les modifications triviales de mots de passe faibles répertoriés [Listes de blocage].

• Les vérificateurs DOIVENT mettre en œuvre un mécanisme de limitation du débit qui limite efficacement le nombre de tentatives d’authentification échouées pouvant être effectuées sur le compte de l’abonné, comme décrit à la section 3.2.2.

• Les vérificateurs DOIVENT autoriser l’utilisation de gestionnaires de mots de passe. Les vérificateurs DEVRAIENT permettre aux demandeurs d’utiliser la fonctionnalité « coller » lors de la saisie d’un mot de passe afin d’en faciliter l’utilisation. Il a été démontré que les gestionnaires de mots de passe augmentent la probabilité que les utilisateurs choisissent des mots de passe plus robustes, en particulier s’ils incluent des générateurs de mots de passe [Managers].

• Les vérificateurs DOIVENT stocker les mots de passe sous une forme résistante aux attaques hors ligne. Les mots de passe DOIVENT être salés et hachés à l’aide d’un schéma de hachage de mots de passe approprié. Les schémas de hachage de mots de passe prennent en entrée un mot de passe, un sel et un facteur de coût, et génèrent un hachage de mot de passe. Leur objectif est de rendre chaque tentative de deviner un mot de passe plus coûteuse pour un attaquant ayant obtenu un fichier de mots de passe hachés, ce qui rend le coût d’une attaque par devinettes élevé, voire prohibitif. Le facteur de coût choisi DEVRAIT être aussi élevé que possible en pratique sans nuire aux performances du vérificateur. Il DEVRAIT être augmenté au fil du temps pour tenir compte de l’amélioration des performances de calcul. Un schéma de hachage de mots de passe approuvé, publié dans la dernière révision de [SP800-132] ou dans les directives mises à jour du NIST sur les schémas de hachage de mots de passe DEVRAIT être utilisé. La longueur de sortie choisie du vérificateur de mot de passe, à l’exclusion du sel et des informations de version, DEVRAIT être identique à la longueur de sortie du schéma de hachage de mots de passe sous-jacent.

• Le sel DOIT avoir une longueur d’au moins 32 bits et être choisi de manière à minimiser les collisions de valeurs de sel parmi les hachages stockés. La valeur du sel et le hachage résultant DOIVENT être stockés pour chaque mot de passe. Une référence au schéma de hachage de mots de passe utilisé, y compris le facteur de travail, DEVRAIT être stockée pour chaque mot de passe afin de permettre la migration vers de nouveaux algorithmes et facteurs de travail. Par exemple, pour la fonction de dérivation de clé basée sur mot de passe 2 (PBKDF2) [SP800-132], le facteur de coût est un nombre d’itérations : plus la fonction PBKDF2 est itérée, plus le calcul du hachage du mot de passe prend de temps.

• En outre, les vérificateurs DEVRAIENT effectuer une itération supplémentaire d’une opération de hachage avec clé ou de chiffrement à l’aide d’une clé secrète connue uniquement du vérificateur. Si elle est utilisée, cette valeur de clé DOIT être générée par un générateur de bits aléatoires approuvé, comme décrit à la section 3.2.12. La valeur de la clé secrète DOIT être stockée séparément des mots de passe hachés. Elle DEVRAIT être stockée et utilisée dans une zone protégée par du matériel, comme un module de sécurité matériel ou un environnement d’exécution de confiance (TEE). Avec cette itération supplémentaire, les attaques par force brute contre les mots de passe hachés sont irréalisables tant que la valeur de la clé secrète reste secrète.

• Série de blogs du Mois de la sensibilisation à la cybersécurité 2023

  • Conseils de l’agence

    • Les mots de passe restent le mécanisme d’authentification le plus largement utilisé pour accéder aux ressources d’intérêt. Ils constituent la première ligne de défense pour protéger la confidentialité et l’intégrité des données contre les cybercriminels et les violations de données. Des mots de passe robustes et de qualité aident les personnes à rester en sécurité et à préserver leur vie privée en ligne.

• Référence

• Référence

Conseils de l’agence :

• Utilisez des mots de passe forts

  • Créez des mots de passe longs, aléatoires et uniques avec un gestionnaire de mots de passe pour mieux protéger vos comptes.

• Un moyen simple de protéger vos comptes

  • Les mots de passe simples, comme 12345, ou les informations d’identification courantes, comme les dates d’anniversaire et les noms d’animaux, ne sont pas sûrs pour protéger des comptes importants contenant des informations personnelles. Utiliser un mot de passe facile à deviner, c’est comme verrouiller la porte en laissant la clé dans la serrure. Les pirates informatiques peuvent rapidement casser les mots de passe faibles. Mais il est impossible de mémoriser un mot de passe fort et unique pour chaque compte !

  • La bonne nouvelle, c’est que créer et stocker des mots de passe forts à l’aide d’un « gestionnaire de mots de passe » est l’un des moyens les plus simples de nous protéger contre une personne qui se connecterait à nos comptes pour voler des informations sensibles, des données, de l’argent, voire nos identités.

  • Stopper la cybercriminalité avec des mots de passe forts - vidéo YouTube créée par la CISA

• Renforcez vos mots de passe avec trois conseils simples

• Un mot de passe fort respecte ces TROIS conseils.

  1. Rendez-les longs

     • Au moins 16 caractères : plus c’est long, plus c’est fort !

  2. Rendez-les aléatoires

     • Deux façons de procéder :

     • Utilisez une chaîne aléatoire composée de lettres majuscules et minuscules, de chiffres et de symboles. Par exemple :

       • cXmnZK65rf*&DaaD

       • Yuc8$RikA34%ZoPPao98t

       • Une autre option consiste à créer une phrase facile à mémoriser composée de 4 à 7 mots sans rapport entre eux. C’est ce qu’on appelle une « phrase secrète ». Par exemple :

         • Bien : HorsePurpleHatRun

         • Très bien : HorsePurpleHatRunBay

         • Excellent : Horse Purple Hat Run Bay Lifting

         • Remarque : vous pouvez utiliser des espaces avant ou entre les mots si vous le souhaitez !

  3. Rendez-les uniques

     • Utilisez un mot de passe fort différent pour chaque compte.

     • Par exemple :

       • Banque : k8dfh8c@Pfv0gB2

       • Compte e-mail : legal tiny facility freehand probable enamel

       • Compte de réseaux sociaux : e246gs%mFs#3tv6

• ASTUCE PRO : UTILISEZ UN GESTIONNAIRE DE MOTS DE PASSE

  • Il est difficile de mémoriser tous ces mots de passe forts, et nous ne voulons pas les enregistrer dans un fichier sur un ordinateur. Utilisez plutôt un gestionnaire de mots de passe. Voir ci-dessous !

• Utiliser un gestionnaire de mots de passe

  • Pour la plupart des gens, générer et mémoriser des mots de passe longs, aléatoires et uniques pour chaque compte n’est pas possible. Plutôt que de les écrire, utilisez un gestionnaire de mots de passe ! Un gestionnaire de mots de passe est un programme facile à utiliser qui génère, stocke et même renseigne tous vos mots de passe. Les gestionnaires de mots de passe nous indiquent lorsque nous avons des mots de passe faibles ou réutilisés et peuvent générer des mots de passe forts pour nous. Ils peuvent aussi remplir automatiquement les identifiants sur les sites et dans les applications lorsque nous passons de l’un à l’autre.

  • Lorsque nous utilisons un gestionnaire de mots de passe, nous n’avons besoin de mémoriser qu’un seul mot de passe fort : celui du gestionnaire de mots de passe lui-même. (Conseil : créez une longue « phrase secrète » facile à mémoriser, comme décrit ci-dessus.)

  • Il existe de nombreux gestionnaires de mots de passe. Certains sont gratuits, comme les gestionnaires de mots de passe intégrés à votre navigateur Web, et d’autres sont payants. Recherchez « gestionnaires de mots de passe » auprès d’une source fiable, comme Consumer Reports, qui propose une sélection de gestionnaires de mots de passe très bien notés. Lisez les avis pour comparer les options et trouver un programme fiable qui vous convient.

  • Lorsque nous utilisons un gestionnaire de mots de passe, nous sommes beaucoup plus susceptibles d’utiliser un mot de passe long, aléatoire et unique sur chaque site. Et cela rend le vol de nos informations précieuses beaucoup plus difficile !

  • ASTUCE PRO : vérifiez si vos comptes e-mail, banques, prestataires de santé et autres comptes importants imposent des exigences de mots de passe forts. S’ils vous autorisent à utiliser un mot de passe court ou un mot du dictionnaire, demandez-leur pourquoi. Ce sont vos informations qu’ils mettent en danger !

  • Et n’oubliez pas d’activer la MFA, en particulier pour votre messagerie, vos comptes de réseaux sociaux et vos comptes financiers.

• Fiche de conseils de la CISA sur les mots de passe

• Référence

Conseils de l’agence :

• Mettre en place des politiques de sécurité des mots de passe qui exigent des mots de passe uniques d’au moins 15 caractères

  • Les gestionnaires de mots de passe peuvent vous aider à créer et gérer des mots de passe sécurisés. Sécurisez et limitez l’accès à tout gestionnaire de mots de passe utilisé, et activez toutes les fonctionnalités de sécurité disponibles dans le produit utilisé, comme la MFA.

• Référence

Conseils de l’agence :

• L’augmentation du nombre de compromissions d’infrastructures réseau ces dernières années rappelle que l’authentification aux appareils réseau est un point important à prendre en compte. Les appareils réseau peuvent être compromis en raison de :

  • Mauvais choix de mot de passe (vulnérable aux attaques par pulvérisation de mots de passe par force brute)

  • Fichiers de configuration de routeurs (contenant des mots de passe hachés) envoyés par e-mail non chiffré, ou

  • Réutilisation de mots de passe (lorsque des mots de passe récupérés sur un appareil compromis peuvent ensuite servir à compromettre d’autres appareils).

• L’utilisation de mots de passe seuls augmente le risque d’exploitation des appareils. Bien que la NSA recommande vivement l’authentification multifacteur pour les administrateurs qui gèrent des appareils critiques, il arrive que seuls des mots de passe doivent être utilisés. Le choix de bons algorithmes de stockage des mots de passe peut rendre l’exploitation beaucoup plus difficile.

• Pour assurer la meilleure protection possible, utilisez des mots de passe robustes afin d’éviter qu’ils ne soient craqués et convertis en texte clair. Respectez une politique de sécurité des mots de passe qui :

  • Se compose d’une combinaison de lettres minuscules et majuscules, de symboles et de chiffres ;

  • Comporte au moins 15 caractères alphanumériques ; et

  • N’utilise pas de schémas tels que :

    • Une suite de touches au clavier

    • Identique à un nom d’utilisateur

    • Le mot de passe par défaut

    • Identique à un mot de passe utilisé ailleurs

    • Lié au réseau, à l’organisation, à l’emplacement ou à d’autres identifiants fonctionnels

    • Directement issu d’un dictionnaire, d’acronymes courants ou facile à deviner

• Référence

Conseils de l’agence :

• Sécurisez et renforcez vos mots de passe

  • Utilisez des mots de passe uniques et robustes pour chaque compte en ligne. La réutilisation de mots de passe sur plusieurs comptes peut exposer les données de tous ces comptes si le mot de passe est découvert. Assurez-vous que votre mot de passe présente une longueur et une complexité suffisantes, avec une combinaison de lettres, de chiffres et de caractères spéciaux. Dans la mesure du possible, mettez en place une authentification multifacteur à l’aide d’un jeton ou d’une application d’authentification, afin que personne ne puisse accéder à votre compte même si votre mot de passe est compromis. Ne partagez jamais vos mots de passe et évitez d’utiliser des informations qui pourraient être devinées à partir de vos profils sur les réseaux sociaux ou d’informations publiques.

• Référence

Conseils de l’agence :

• Critères à prendre en compte lors du choix d’une solution d’authentification multifacteur : le Computer Security Resource Center du National Institute of Standards and Technology a récemment mis à jour ses « Directives relatives à l’identité numérique4 » (SP 800-63-3). Elles fournissent des définitions standard et attribuent des niveaux de garantie aux différentes solutions d’authentification. Les critères ci-dessous reflètent les exigences du NIST afin de garantir qu’une solution est validée pour résister à un certain nombre d’exploits courants. Une solution d’authentification complète doit être correctement mise en œuvre à l’aide de mécanismes standard et validés. Elle doit également inclure des authentificateurs, des validateurs et des processus de cycle de vie associés. Certaines solutions commerciales se concentrent sur les authentificateurs et exigent qu’une organisation gère les validateurs et les processus de cycle de vie. D’autres solutions commerciales valident plusieurs types d’authentificateurs, gèrent des mécanismes d’authentification en plusieurs étapes et gèrent la confiance dans les authentificateurs provenant de divers fournisseurs d’identité afin de prendre en charge plusieurs services. Elles exigent souvent que le client acquière une ou plusieurs solutions d’authentification et configure les serveurs pour accepter les assertions d’un serveur d’authentification qui effectue la fédération d’identités. Le document SP 800-63-3 inclut également des critères relatifs à la fédération d’identités.

• Référence

La CISA relève du DHS

Conseils de l’agence :

• Le président Biden a fait de la cybersécurité, un élément essentiel de la mission du Département de la Sécurité intérieure (DHS), une priorité absolue pour l’administration Biden-Harris à tous les niveaux de gouvernement.

• Pour concrétiser l’engagement du président et refléter le fait que le renforcement de la résilience du pays en matière de cybersécurité est une priorité absolue pour le DHS, le secrétaire Mayorkas a lancé un appel à l’action consacré à la cybersécurité au cours de son premier mois de mandat. Cet appel à l’action portait sur la lutte contre la menace immédiate des rançongiciels et sur la constitution d’une main-d’œuvre plus solide et plus diversifiée.

• En mars 2021, le secrétaire Mayorkas a présenté sa vision plus large et une feuille de route pour les efforts du Département en matière de cybersécurité lors d’une allocution virtuelle organisée par la RSA Conference, en partenariat avec l’université Hampton et les Girl Scouts of the USA.

• Après sa présentation, le secrétaire a été rejoint par Judith Batty, PDG par intérim des Girl Scouts, pour un échange informel afin de discuter des défis sans précédent en matière de cybersécurité auxquels les États-Unis sont actuellement confrontés. La Dre Chutima Boonthum-Denecke, du département d’informatique de l’université Hampton, a présenté le secrétaire et animé une séance de questions-réponses pour clôturer le programme.

  • Aperçu des sprints de cybersécurité du DHS

  • Aperçu des autres priorités actuelles en matière de cybersécurité

  • Informations supplémentaires

• Référence

Conseils de l’agence :

• Les crimes facilités par Internet et les cyberintrusions sont de plus en plus sophistiqués, et les prévenir exige que chaque utilisateur d’un appareil connecté soit conscient des risques et reste vigilant.

• Maintenez les systèmes et logiciels à jour et installez un antivirus fiable et performant.

• Soyez prudent lorsque vous vous connectez à un réseau Wi-Fi public et n’effectuez aucune transaction sensible, y compris des achats, sur un réseau public.

• Créez une phrase de passe forte et unique pour chaque compte en ligne et changez régulièrement ces phrases de passe.

• Configurez l’authentification multifacteur sur tous les comptes qui le permettent.

• Vérifiez l’adresse e-mail dans toute correspondance et examinez attentivement les URL des sites web avant de répondre à un message ou de visiter un site

• Ne cliquez sur rien dans les e-mails ou SMS non sollicités.

• Soyez prudent quant aux informations que vous partagez dans vos profils en ligne et comptes de réseaux sociaux. Partager des informations comme les noms d’animaux de compagnie, les écoles ou les membres de la famille peut donner aux escrocs les indices dont ils ont besoin pour deviner vos mots de passe ou les réponses aux questions de sécurité de votre compte.

• N’envoyez pas de paiements à des personnes ou organisations inconnues qui sollicitent un soutien financier et vous pressent d’agir immédiatement.

• Référence

Conseils de l’agence :

• Gardez votre pare-feu activé

  Un pare-feu aide à protéger votre ordinateur contre les pirates qui pourraient tenter d’y accéder pour le faire planter, supprimer des informations, voire voler des mots de passe ou d’autres informations sensibles. Les pare-feu logiciels sont largement recommandés pour les ordinateurs individuels. Le logiciel est préinstallé sur certains systèmes d’exploitation ou peut être acheté pour des ordinateurs individuels. Pour plusieurs ordinateurs en réseau, les routeurs matériels fournissent généralement une protection par pare-feu.

• Installez ou mettez à jour votre logiciel antivirus

  Un logiciel antivirus est conçu pour empêcher des programmes malveillants de s’installer sur votre ordinateur. S’il détecte du code malveillant, comme un virus ou un ver, il s’efforce de le neutraliser ou de le supprimer. Les virus peuvent infecter les ordinateurs à l’insu des utilisateurs. La plupart des types de logiciels antivirus peuvent être configurés pour se mettre à jour automatiquement.

• Installez ou mettez à jour votre technologie anti-logiciels espions

  Un logiciel espion correspond exactement à ce que son nom indique : un logiciel installé subrepticement sur votre ordinateur pour permettre à d’autres personnes d’observer vos activités sur l’ordinateur. Certains logiciels espions collectent des informations vous concernant sans votre consentement ou affichent des publicités pop-up indésirables dans votre navigateur web. Certains systèmes d’exploitation offrent une protection gratuite contre les logiciels espions, et des logiciels peu coûteux sont facilement téléchargeables sur Internet ou disponibles dans votre magasin informatique local. Méfiez-vous des publicités sur Internet proposant des anti-logiciels espions à télécharger : dans certains cas, ces produits peuvent être faux et contenir en réalité des logiciels espions ou d’autres codes malveillants. C’est comme pour faire ses courses : achetez là où vous avez confiance.

• Maintenez votre système d’exploitation à jour

  Les systèmes d’exploitation des ordinateurs sont régulièrement mis à jour pour rester en phase avec les exigences technologiques et corriger les failles de sécurité. Veillez à installer les mises à jour afin que votre ordinateur dispose de la protection la plus récente.

• Faites attention à ce que vous téléchargez

  Télécharger des pièces jointes d’e-mails sans précaution peut contourner même le logiciel antivirus le plus vigilant. N’ouvrez jamais une pièce jointe provenant d’une personne que vous ne connaissez pas, et méfiez-vous des pièces jointes transférées par des personnes que vous connaissez. Elles peuvent avoir transmis involontairement du code malveillant.

• Éteignez votre ordinateur

  Avec le développement des connexions Internet haut débit, beaucoup choisissent de laisser leur ordinateur allumé et prêt à l’emploi. L’inconvénient est qu’un ordinateur « toujours connecté » est plus vulnérable. Au-delà de la protection par pare-feu, conçue pour repousser les attaques indésirables, éteindre l’ordinateur coupe effectivement la connexion d’un attaquant, qu’il s’agisse d’un logiciel espion ou d’un botnet qui utilise les ressources de votre ordinateur pour atteindre d’autres utilisateurs qui n’en ont pas conscience.

• Référence

Conseils de l’agence :

• Vos comptes en ligne peuvent contenir beaucoup d’informations personnelles. Protégez-les avec un mot de passe fort et difficile à deviner, et activez l’authentification à deux facteurs.

• En matière de mots de passe, plusieurs options s’offrent à vous :

  • Créer votre propre mot de passe

  • Choisir un mot de passe généré automatiquement

  • Utiliser un gestionnaire de mots de passe

• Créez votre propre mot de passe. Si vous créez votre propre mot de passe, faites en sorte qu’il soit long. Visez au moins 15 caractères. Utilisez une combinaison de lettres majuscules et minuscules, de chiffres et de symboles.

• Comme un mot de passe long peut être difficile à mémoriser, il peut être plus simple d’utiliser une phrase de passe. Une phrase de passe est une série de mots séparés par des espaces. Si vous utilisez une phrase de passe

  • Assurez-vous qu’elle se compose de mots aléatoires

  • Évitez d’utiliser des expressions courantes, des paroles de chansons ou des répliques de films qu’un programme de piratage pourrait facilement deviner

  • Choisissez un mot de passe généré automatiquement. Des études montrent que les gens ne sont pas doués pour créer et mémoriser des mots de passe forts. Vous pouvez demander à votre navigateur ou à votre appareil de créer un mot de passe pour vous. Voici plus d’informations sur le fonctionnement :

    • Google Chrome

    • Mac

    • Microsoft Edge

    • Firefox

    • iPhone iOS

    • Android

• Utilisez un gestionnaire de mots de passe. Un gestionnaire de mots de passe tiers peut également créer un mot de passe robuste. Pour trouver un gestionnaire de mots de passe réputé, lisez des avis d’experts. Assurez-vous que le mot de passe de votre gestionnaire de mots de passe est robuste. Et protégez-le comme vos autres mots de passe.

• Les mots de passe robustes peuvent être difficiles à mémoriser. Mais votre navigateur et votre appareil peuvent enregistrer votre mot de passe. Votre gestionnaire de mots de passe aussi. Ils peuvent ensuite renseigner automatiquement votre mot de passe la prochaine fois que vous vous connectez à un site web ou à une application.

• Utilisez l’authentification à deux facteurs. Utiliser un mot de passe robuste est une étape importante pour protéger votre compte des pirates. Mais même les mots de passe robustes sont vulnérables aux cyberattaques. L’utilisation de l’authentification à deux facteurs ajoute une couche de sécurité supplémentaire à votre compte. Un pirate qui vole votre mot de passe ne peut pas se connecter à votre compte sans le second facteur d’authentification.

• Le type d’authentification à deux facteurs le plus courant est un code de vérification que vous recevez par SMS ou par e-mail. Ce code à usage unique comporte généralement six chiffres ou plus et expire automatiquement.

• Les types d’authentification à deux facteurs les plus sûrs sont une application d’authentification ou une clé de sécurité. Choisissez l’une de ces méthodes pour une meilleure protection si vous en avez la possibilité.

• Référence

Conseils de l’agence :

• Assurez-vous que votre mot de passe est long et robuste. Cela signifie au moins 12 caractères. Allonger un mot de passe est généralement le moyen le plus simple de le rendre plus robuste. Envisagez d’utiliser une phrase de passe composée de mots aléatoires afin que votre mot de passe soit plus facile à mémoriser, mais évitez les mots ou expressions courants. Si le service que vous utilisez n’autorise pas les mots de passe longs, vous pouvez renforcer votre mot de passe en mélangeant majuscules et minuscules, chiffres et symboles.

• Ne réutilisez pas des mots de passe que vous avez déjà utilisés sur d’autres comptes. Utilisez des mots de passe différents pour des comptes différents. Ainsi, si un pirate obtient votre mot de passe pour un compte, il ne pourra pas l’utiliser pour accéder à vos autres comptes.

• Utilisez l’authentification multifacteur lorsqu’elle est proposée. Certains comptes offrent une sécurité supplémentaire en exigeant autre chose qu’un mot de passe pour vous connecter à votre compte. C’est ce qu’on appelle l’authentification multifacteur. Cet « élément supplémentaire » dont vous avez besoin pour vous connecter à votre compte se répartit en deux catégories :

  • Quelque chose que vous possédez — comme un code que vous recevez via une application d’authentification ou une clé de sécurité.

  • Quelque chose que vous êtes — comme une lecture de votre empreinte digitale, de votre rétine ou de votre visage.

• Envisagez d’utiliser un gestionnaire de mots de passe. La plupart des gens ont du mal à suivre tous leurs mots de passe. Plus un mot de passe est long et complexe, plus il est robuste, mais un mot de passe plus long peut aussi être plus difficile à mémoriser. Envisagez de stocker vos mots de passe et vos questions de sécurité dans un gestionnaire de mots de passe réputé. Pour trouver un gestionnaire de mots de passe réputé, consultez des sites d’avis indépendants et demandez à vos amis et à votre famille lesquels ils utilisent. Veillez à utiliser un mot de passe robuste pour sécuriser les informations contenues dans votre gestionnaire de mots de passe.

• Choisissez des questions de sécurité dont vous seul connaissez la réponse. Si un site vous demande de répondre à des questions de sécurité, évitez de fournir des réponses qui figurent dans des registres publics ou qui se trouvent facilement en ligne, comme votre code postal, votre lieu de naissance ou le nom de jeune fille de votre mère. Et n’utilisez pas de questions ayant un nombre limité de réponses que des attaquants peuvent facilement deviner, comme la couleur de votre première voiture. Vous pouvez même utiliser des réponses absurdes pour les rendre plus difficiles à deviner, mais si vous le faites, assurez-vous de pouvoir vous rappeler ce que vous avez utilisé.

• Changez rapidement vos mots de passe en cas de violation de données. Si une entreprise vous informe qu’une violation de données a eu lieu et qu’un pirate a pu obtenir votre mot de passe, changez immédiatement le mot de passe que vous utilisez avec cette entreprise, ainsi que sur tout compte utilisant un mot de passe similaire.

• Référence

Conseils de l’agence :

• Auparavant, l’idée communément admise était de créer des mots de passe à l’aide de caractères spéciaux, de majuscules, de chiffres, de lettres et de diverses règles arbitraires, notamment en vous obligeant à changer votre mot de passe plusieurs fois par an. Des recherches montrent que chacun de nous a réagi de la même manière : nous avons réutilisé des mots de passe ou créé des variantes du même mot de passe, car on nous demandait de mémoriser des dizaines de mots de passe uniques pour chaque site, identifiant ou application.

• Nos instincts naturels ont créé une faiblesse dans notre sécurité en ligne, et les cybercriminels en ont profité. Les recherches sur l’utilisation des mots de passe ont démontré la faiblesse inhérente au fait d’attendre des utilisateurs qu’ils mémorisent des mots de passe arbitrairement complexes, ainsi que l’importance d’utiliser l’authentification multifacteur (MFA) pour protéger nos informations privées. Fait important, notre réflexion sur ce sujet a évolué, et nous avons identifié les pratiques suivantes pour mieux nous protéger :

  • Lorsque vous devez utiliser un mot de passe, choisissez-en un plus long (15 caractères ou plus), voire une phrase de passe, car ils offrent une meilleure protection qu’un mot de passe plus court et arbitrairement complexe. Les phrases de passe présentent l’avantage supplémentaire d’être faciles à mémoriser.

  • L’utilisation de l’authentification multifacteur (MFA), par exemple un code à usage unique envoyé par e-mail ou une application d’authentification sur votre téléphone, ajoute une seconde couche essentielle pour vous protéger contre un mot de passe compromis. La MFA doit être configurée chaque fois qu’elle est disponible. Cela ne prend que quelques instants et vous apportera de la sérénité.

  • Les gestionnaires de mots de passe, protégés par un mot de passe très robuste et long avec la MFA activée, nous permettent de créer des mots de passe uniques pour chaque site sans avoir à tous les mémoriser.

• Référence

Conseils de l’agence :

• Garantir la sécurité de nos réseaux mondiaux interconnectés, ainsi que des appareils et des données connectés à ces réseaux, est l’un des défis majeurs de notre époque.

• Le département du Commerce a pour mission de renforcer la sensibilisation à la cybersécurité et les protections en la matière, de protéger la vie privée, de préserver la sécurité publique, de soutenir la sécurité économique et nationale, et d’aider les Américains à mieux gérer leur sécurité en ligne.

  • Le NIST publie la version 1.0 du cadre de protection de la vie privée

  • Le NIST propose un guide de démarrage rapide pour son catalogue de mesures de protection en matière de sécurité et de confidentialité

  • Espace cybersécurité pour les petites entreprises

• Référence

• Former les employés aux principes de sécurité. Établir des pratiques et politiques de sécurité de base pour les employés, comme l’exigence de mots de passe robustes, et définir des règles appropriées d’utilisation d’Internet, détaillant les sanctions en cas de violation des politiques de cybersécurité de l’entreprise. Établir des règles de conduite décrivant comment traiter et protéger les informations des clients et autres données essentielles.

• Exiger des employés qu’ils utilisent des mots de passe uniques et les changent tous les trois mois. Envisager de mettre en œuvre une authentification multifacteur, qui exige des informations supplémentaires au-delà d’un mot de passe pour accéder au système. Vérifiez auprès de vos fournisseurs qui traitent des données sensibles, en particulier les établissements financiers, s’ils proposent l’authentification multifacteur pour votre compte.

• Référence

Conseils de l’agence :

• Quelle est la principale cause des violations de données dans les petites entreprises ? Les employés et les communications liées au travail. Ils constituent des voies d’accès directes à vos systèmes. Formez vos employés aux bonnes pratiques d’utilisation d’Internet. Cela peut aider à prévenir les cyberattaques. Autres sujets de formation utiles :

  • Repérer les e-mails de phishing

  • Adopter de bonnes pratiques de navigation sur Internet

  • Éviter les téléchargements suspects

  • Activer les outils d’authentification (mots de passe robustes, authentification multifacteur, etc.)

  • Protéger les informations sensibles des fournisseurs et des clients

• Référence

Conseils de l’agence :

• L’authentification multifacteur (MFA) est une mesure de sécurité importante. Elle vérifie l’identité d’une personne en exigeant plus qu’un simple nom d'utilisateur et un mot de passe. La MFA peut demander aux utilisateurs de fournir au moins deux des éléments suivants :

  • Quelque chose que l’utilisateur connaît (mot de passe, phrase, code PIN)

  • Quelque chose que l’utilisateur possède (jeton physique, téléphone)

  • Quelque chose qui identifie physiquement l’utilisateur (empreinte digitale, reconnaissance faciale)

• Vérifiez auprès de vos fournisseurs s’ils proposent la MFA pour l’un de vos comptes (par exemple, finance, comptabilité, paie).

• Référence

En juillet 2023, la SEC « a adopté des règles définitives qui obligeront les sociétés cotées à divulguer à la fois les incidents de cybersécurité significatifs qu’elles subissent et, chaque année, les informations importantes relatives à leur gestion des risques, à leur stratégie et à leur gouvernance en matière de cybersécurité ». Compte tenu du rôle de la SEC dans l’application de la conformité en matière de cybersécurité, il semble prudent d’évaluer les propres conseils de la SEC en matière de sécurité des mots de passe.

Une recherche de « sécurité des mots de passe » sur le site SEC.gov fait apparaître 10 documents, qui semblent tous dater de plusieurs années. Il existe une page consacrée à la cybersécurité, mais elle propose des recommandations assez générales reprises de la CISA. Une alerte de 2020 sur les risques de cybersécurité, intitulée « Cybersecurity: Safeguarding Client Accounts against Credential Compromise », mène à un PDF qui aborde le credential stuffing. Bien que le terme « mot de passe » soit utilisé tout au long du document, la « sécurité des mots de passe » n’est pas explicitement mentionnée. Les « mots de passe forts » sont évoqués dans le contexte ci-dessous :

Recommandations de l’agence :

• Alors que les entreprises se préparent aux attaques par credential stuffing, le personnel de l’OCIE les encourage à examiner leurs pratiques actuelles (par exemple, la MFA et les autres pratiques décrites ci-dessus) ainsi que les limites potentielles de ces pratiques, et à se demander si les clients et le personnel de l’entreprise sont correctement informés sur la manière de mieux sécuriser leurs comptes. Clients informés : la plupart des entreprises exigent que leurs clients et leur personnel créent et utilisent des mots de passe forts. Toutefois, l’utilisation de mots de passe est moins efficace si les clients et/ou le personnel réutilisent des mots de passe provenant d’autres sites. Pour renforcer l’efficacité, certaines entreprises ont informé et encouragé leurs clients et leur personnel à créer des mots de passe forts et uniques, et à les modifier en cas d’indications laissant penser que leur mot de passe a été compromis.

• Référence

Cette section a été mise à jour en janvier 2025 et sera actualisée afin de refléter les politiques de la nouvelle administration dès qu’elles seront disponibles.

Recommandations de l’agence :

• « J’appelle le peuple, les entreprises et les institutions des États-Unis à reconnaître l’importance de la cybersécurité et à agir en conséquence, ainsi qu’à observer le Mois de la sensibilisation à la cybersécurité pour soutenir notre sécurité nationale et notre résilience. J’appelle également les entreprises et les institutions à agir pour mieux protéger le peuple américain contre les cybermenaces et créer de nouvelles opportunités permettant aux travailleurs américains d’accéder à des emplois bien rémunérés dans la cybersécurité. Les Américains peuvent aussi prendre des mesures immédiates pour mieux se protéger, comme activer l’authentification multifacteur, mettre à jour les logiciels de leurs ordinateurs et appareils, utiliser des mots de passe forts et rester prudents avant de cliquer sur des liens qui semblent suspects. »

• Référence

Recommandations de l’agence :

• Les agences doivent veiller à ce que les sites web qui exigent une authentification du public soient compatibles avec les gestionnaires de mots de passe couramment utilisés et ne doivent pas empêcher le « collage » de mots de passe ni d’autres mécanismes d’assistance automatisés côté client.

• Référence

Recommandations de l’agence :

• « Vous avez besoin de plus qu’un mot de passe pour rester en sécurité en ligne ; c’est là que l’authentification multifacteur intervient pour garantir que vos données sont mieux protégées contre les cyberacteurs malveillants », a déclaré Brandon Wales, directeur exécutif de la CISA. « La CISA a constamment exhorté les organisations à mettre en œuvre la MFA pour tous les utilisateurs afin de rendre l’accès aux données critiques plus difficile. Le symposium d’aujourd’hui vise à nous réunir pour définir la vision que nous nous efforçons tous de concrétiser. »

• Référence

L’administration Biden-Harris annonce un programme d’étiquetage de cybersécurité pour les appareils intelligents afin de protéger les consommateurs américains

Recommandations de l’agence

• Agissant dans le cadre de son autorité de réglementation des appareils de communication sans fil, la FCC devrait solliciter des commentaires publics sur le déploiement du programme volontaire d’étiquetage de cybersécurité proposé, qui devrait être opérationnel en 2024. Tel qu’il est proposé, le programme s’appuierait sur des efforts menés par les parties prenantes pour certifier et étiqueter les produits, sur la base de critères précis de cybersécurité publiés par le National Institute of Standards and Technology (NIST) qui, par exemple, exigent des mots de passe par défaut uniques et forts, la protection des données, des mises à jour logicielles et des capacités de détection des incidents.

• Référence

Il existe de nombreuses mesures que vous pouvez prendre pour rester en sécurité en ligne, mais l’action la plus simple ayant l’impact le plus important et le plus immédiat sur votre sécurité consiste à utiliser un gestionnaire de mots de passe. Choisissez un gestionnaire de mots de passe multiplateforme doté d’un chiffrement de bout en bout à connaissance nulle capable de générer et de stocker un nombre illimité de mots de passe forts et uniques. Vous pouvez commencer avec Bitwarden avec un compte gratuit ou opter pour Premium pour moins de 10 $ par an afin de bénéficier de fonctionnalités avancées.

• Consultez la Présentation sur l’état de la sécurité des mots de passe