Les meilleures pratiques de cybersécurité ne peuvent pas reposer sur des décisions prises par des utilisateurs ou des organisations uniques
En un mot: Les mots de passe par défaut peuvent être utiles pour rationaliser le processus de fabrication ou aider les administrateurs système à déployer facilement de nouveaux appareils dans un réseau. Ils constituent également un fléau pour la sécurité globale des entreprises et d’Internet dans son ensemble, a souligné l’Agence de cybersécurité et de sécurité des infrastructures (CISA), et devraient disparaître à jamais.
CISA poursuit sa croisade contre les mots de passe par défaut utilisés par les fabricants de technologies. L’agence américaine de cybersécurité a récemment fourni de nouvelles directives « sécurisées dès la conception », exhortant les éditeurs de logiciels et de matériel informatique à éliminer « de manière proactive » le risque d’exploitation des mots de passe par défaut de leurs produits.
Les mots de passe par défaut tels que « 1234 », « par défaut » ou même « mot de passe » sont régulièrement exploités par des cyberacteurs malveillants, a indiqué la CISA dans ses dernières directives. Les mots de passe non sécurisés fournissent un accès initial aux systèmes exposés à Internet et permettent aux acteurs malveillants susmentionnés de se déplacer latéralement au sein d’une organisation pour faire des ravages et voler des données sensibles.
Selon la CISA, des acteurs de menace notoires tels que des groupes affiliés au Corps des Gardiens de la révolution islamique (CGRI) ont réussi à compromettre des infrastructures critiques aux États-Unis en exploitant des mots de passe définis sur une valeur « statique par défaut ». L’agence publie sa dernière alerte en raison d’une activité de menace « récente et continue » et de « années de preuves » qui montrent à quel point le fait de compter sur des milliers de clients pour changer leur mot de passe ne peut pas suffire.
CISA fournit les deux principes suivants aux fabricants qui conçoivent de nouveaux produits technologiques :
- s’approprier les résultats en matière de sécurité des clients
- construire une structure organisationnelle et un leadership pour atteindre ces objectifs
Les entreprises technologiques doivent éliminer les mots de passe par défaut de leurs logiciels et appareils, en fournissant des « mots de passe de configuration » uniques pour chaque produit afin d’obliger les utilisateurs à sélectionner un nouveau mot de passe sécurisé dès le départ. Une autre alternative viable consiste à inclure des mots de passe « à durée limitée », qui se désactivent automatiquement une fois le processus de configuration terminé et nécessitent des approches d’authentification plus sécurisées telles que l’authentification multifacteur (MFA) résistante au phishing.
Les entreprises devraient également « sécuriser » leur structure commerciale, a déclaré la CISA, en veillant à ce que chaque maillon de la chaîne de fabrication comprenne l’importance des questions de cybersécurité. Les produits doivent être conçus, fabriqués et livrés avec une sécurité et une sûreté intégrées par défaut. Les dirigeants doivent également fournir des « structures d’incitation » et des ressources appropriées pour permettre ces résultats sécurisés dès la conception.
En mettant en œuvre ces deux principes dans leurs processus de conception, de développement et de livraison, a déclaré la CISA, les fabricants de logiciels empêcheront (espérons-le) l’exploitation des mots de passe statiques par défaut dans leurs produits. L’agence s’engage à fournir encore plus d’alertes Secure by Design (SbD) pour le secteur technologique, en se concentrant sur les décisions des fournisseurs qui peuvent réduire considérablement les dommages à l’échelle mondiale.
