Sur le sujet, nous avons surtout l'habitude des études de Spashdata, qui a fait sa mission depuis 2011 de publier annuellement la liste des mots de passe les plus courants (comprendre, les plus pourris) en examinant ceux affectés par des brèches de sécurité. Aujourd'hui, c'est ce même sujet qui nous intéresse, sauf que NordPass a préféré se pencher sur les mots de passe utilisés par les très grandes entreprises constituant le Fortune 500 ! Pour ceux n'étant pas trop au fait de quoi est constitué ce fameux Top 500 des plus grosses compagnies de ce monde, classées selon l'importance de leur chiffre d'affaires, voici une petite aide :

 

Fortune 500,

Ça représente quoi ?

(en 2020)

Top 10 des pays par nombre d'entreprisesRégion et nombre d'entreprises

Chine : 124

USA : 121

Japon : 53

France : 31

Allemagne : 27

Grande-Bretagne : 22

Corée du Sud : 14

Suisse : 14

Canada : 13

Pays-Bas : 13

Asie de l'Est : 200

Europe : 138

Amérique du Nord : 138

Reste du monde : 24

 

 À savoir que NordPass existe depuis 2019, il s'agit d'un gestionnaire de mot de passe fondé par la même équipe spécialisée en cybersécurité étant à l'origine du célèbre VPN NordVPN. Les deux entités sont donc basées à Panama, un pays n'ayant a priori aucune loi obligeant à la conservation des données et qui participe ni à l'alliance Five Eyes (Australie, Canada, USA, Nouvelle-Zélande et Royaume-Unis) ni à celle des Forteen Eyes (les 5 susmentionnés, plus Belgique, Danemark, France, Allemagne, Italie, Pays-Bas, Norvège, Espagne et Suède).

 

Tandis que SplashData s’intéresse avant tout aux millions de mots de passe ayant été compromis majoritairement en Amérique du Nord  et en Europe, et de manière générale sans distinction entre grand public et monde pro, l'étude de NordPass nous permet donc pour la première fois d'avoir un aperçu de la pratique du mot de passe dans le monde professionnel. Mais comme celui-ci est naturellement constitué des mêmes humains faillibles et un peu fainéants, vous vous doutez déjà que les résultats ne sont pas beaucoup plus glorieux ! Une étude qui tombe à pic alors que les entreprises sont régulièrement pointées du doigt pour des pratiques douteuses, comme des mots de passe trop faibles, identiques par défaut pour tout le matériel et l'ensemble de leur clientèle, et parfois stockés en interne sur un simple document en texte non chiffré...

Récemment, c'est SolarWinds qui avait été au centre de l'attention avec son mot de passe « solarwinds123 », un scandale que l’entreprise a désormais mis sur le dos d'un stagiaire (bah voyons). Dans tous les cas, le sujet est d'autant plus sensible que bon nombre de ces entreprises manipulent des données parfois (souvent) très sensibles, qu'elles soient de nature financière, stratégique ou privée, et une brèche dans le monde professionnel peut donc potentiellement avoir un impact bien plus conséquent et dangereux que le piratage du compte Gmail de Mme Michu (qui n'en reste pas moins un vrai problème aussi). Pourtant, nul doute que de nombreuses initiatives sont prises pour faire évoluer les choses, mais il est évident que les mauvaises habitudes ont la vie bien dure et que le choix de la facilité l'emporte encore trop souvent.

 

Allez, sans plus attendre, voici les tops 10 des mots de passe pourris établis par NordPass pour chaque domaine d'activité (notez qu'ils n'ont pas exactement catégorisé les secteurs d'activités comme c'est généralement fait pour le Fortune 500, d'où notre addition entre parenthèses pour aider à vous y retrouver, si l'information vous intéresse, mais elle nous a semblé pertinente). Concernant la méthodologie, NordPass a compilé la liste de mots de passe à partir de 15 603 438 brèches de sécurité en partenariat avec une compagnie (non nommée) spécialisée dans la sécurité informatique. Il s'agissait ensuite d'établir un top 10 pour chaque industrie, le pourcentage de mots de passe uniques et le nombre de brèches.

 

Des surprises ? Outre l'utilisation massive du nom de la compagnie (évidemment, NordPass ne les identifie pas) avec l'une ou l'autre addition, généralement chiffrée ou avec une majuscule au lieu d'une minuscule, pas vraiment. On retrouve des classiques comme « password » et « 123456 », et le pourcentage de mots de passe uniques est notablement faible. Certains secteurs d'activités semblent faire preuve d'un peu (mais vraiment très peu) plus de créativité que d'autres (le domaine de l'hospitalité semble frappé d'un manque d'imagination assez flagrant), mais dans l'ensemble c'est tout aussi affligeant que le top habituel des mots de passe pourris. Mention spéciale tout de même pour le « penispenis » de l'industrie automobile, pas vraiment de quoi soulager les stéréotypes du monde automobile... Enfin, une pensée aussi pour les spécialistes de la sécurité (s'il y en a !) de chacune de ces entreprises - et le département IT de manière générale - qui doivent sans aucun doute en morfler tous les jours ! (Source)

 

Fortune 500 - type d'activité

(+ % qu'a représenté le secteur concerné dans le Fortune 500 en 2020)

Top 10 des mots de passe

(de 1 à 10)

% de mots de passe uniquesNombre de brèches

Vente au détail et E-commerce

(Consommation discrétionnaire : 11.18 %)

  1. password
  2. aaron431
  3. 123456
  4. unknown
  5. shumon
  6. Nom de la compagnie
  7. abc123
  8. default
  9. ABC123
  10. Nom de la compagnie1
26 % 1 345 578

Énergies

(3,13 %)

  1. password
  2. 123456
  3. aaron431
  4. pa55word
  5. snowman
  6. 12345
  7. linkedin
  8. default
  9. Pa55word
  10. password1
28 % 1 176 450

Technologie et Information

(27,48 %)

  1. password
  2. research
  3. 123456
  4. aaron431
  5. Nom de la compagnie76
  6. linkedin
  7. Nom de la compagnie123
  8. career121
  9. pass1
  10. password1
28 % 2 742 591

Santé

(14,58 %)

  1. 123456
  2. password
  3. Nom de la compagnie
  4. aaron431
  5. 12345
  6. nom de la compagnie2012
  7. nom de la compagnie2014
  8. pass1
  9. nom de la compagnie
  10. Nom de la compagnie
26 % 1 424 317

Finances

(9,89 %)

  1. password
  2. aaron431
  3. 123456
  4. student
  5. default
  6. 13pass13
  7. linkedin
  8. Profit
  9. sunshine
  10. ready2go
25 % 3 606 310

Télécommunications

(Services de communication : 10,90 %)

  1. 123456
  2. password
  3. cheer!
  4. password1
  5. 12345678
  6. abc123
  7. unknown
  8. Nom de la compagnie1
  9. nom de la compagnie
  10. 123456789
20 % 546 592

Automobile

(Consommation discrétionnaire : 11.18 %)

 

  1. 123456
  2. password
  3. aaron431
  4. Nom de la compagnie2002
  5. 12345
  6. 123456789
  7. default
  8. penispenis
  9. 1234
  10. Nom de la compagnie
28 % 461 095

Construction et production

(Industriel : 7,90 %)

  1. Nom de la compagnie
  2. password
  3. aaron431
  4. 123456
  5. Nom de la compagnieeu
  6. 123ccp
  7. pass1
  8. nom de la compagnie
  9. Nom de la compagnie
  10. Nom de la compagnie
24 % 1 298 703

Aérospatial

(Industriel : 7,90 %)

  1. 123456
  2. password
  3. aaaaaa
  4. cheezy
  5. 112233
  6. tingwei1
  7. 123456789
  8. 111111
  9. aaron431
  10. Nom de la compagnie
28 % 485 120

Transport et logistique

(Industriel : 7,90 %)

  1. nom de la compagnie
  2. password
  3. 123456
  4. aaron431
  5. Nom de la compagnie01
  6. Nom de la compagnie123
  7. Xxx nom de la compagnie
  8. linkedin
  9. Nom de la compagnie123
  10. Nom de la compagnie1
28 % 429 331

Biens de consommation

(Consommation discrétionnaire : 11,18 % + Consommation de première nécessité : 7,05 %)

 

  1. marino
  2. passport
  3. password
  4. Argentina
  5. 123456
  6. aaron431
  7. dummies
  8. Nom de la compagnie
  9. Chile
  10. pass1
27 % 942 289

Chimique

(Matières premières : 2.56 %)

  1. password
  2. moo123
  3. 123456
  4. aaron431
  5. 12345
  6. linkedin
  7. default
  8. Nom de la compagnie
  9. pass1
  10. sunshine
30 % 237 593

Agriculture

(Consommation de première nécessité : 7,05 %)

  1. password
  2. aaron431
  3. Nom de la compagnie
  4. 123456
  5. ozzymandius
  6. default
  7. jakubiak
  8. nom de la compagnie
  9. republic
  10. august
30 %  105 919

Médias et publicités

(Services de communication 10,90 %)

  1. password
  2. aaron431
  3. myspace1
  4. jesus1
  5. Nom de la compagnie
  6. unwantedx1
  7. 123456
  8. default
  9. password1
  10. 4eVer22
27 % 114 457

Hospitalité

(Consommation discrétionnaire : 11,18 %)

 

  1. password
  2. 123456
  3. Nom de la compagnie123
  4. Nom de la compagnie
  5. Nom de la compagnie
  6. Hello123
  7. Nom de la compagnie 1
  8. Nom de la compagnie
  9. nom de la compagnie
  10. nom de la compagnie1
29 % 420 636

Immobilier

(2,80 %)

  1. password
  2. 123456
  3. simon
  4. Nom de la compagnie2012
  5. aaron431
  6. twilight1
  7. Welcome1
  8. Nom de la compagnie
  9. simon1
  10. Nom de la compagnie
29 % 162 455

Ressources humaines

(Industriel : 7,90 %)

  1. password
  2. Kenzie14
  3. Nom de la compagnie123
  4. Nom de la compagnie1234
  5. welcome1
  6. 123456
  7. Nom de la compagnie
  8. linkedin
  9. scooter
  10. Password
31 % 104 002
Autres données intéressantes :

20 % des mots de passe sont le nom exact d'une entreprise avec ou sans variation

 

"Vacation" est le mot de passe le plus populaire dans le domaine de la Santé (normal !)

 

C'est le monde de l’hospitalité qui compte le plus de mots de passe avec le nom de l'entreprise

 

"Password" est systématiquement parmi les plus populaires sur l'ensemble des industries

 

Les ressources humaines ont le meilleur pourcentage de mots de passe uniques

 

En moyenne, seuls 26 % des mots de passe sont uniques

 

meme overly attached gf security training

 Parce qu'on y est vraiment pas encore, bordel !

 


Un poil avant ?

Qualcomm abandonnerait le big.LITTLE pour les ordinateurs portables, avec le SC8280

Un peu plus tard ...

Vers où se dirige l'Europe avec sa nouvelle "boussole numérique 2030" ?

Les 31 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !