La réinitialisation des mots de passe constitue une vulnérabilité sérieuse pour les organisations. Jamais le Service Desk n’a été soumis à une telle pression.

Près de la moitié (48 %) des organisations n’ont pas mis en place de politique de vérification des utilisateurs pour les appels de réinitialisation de mot de passe au Service Desk. Telle est la principale conclusion de la dernière étude de Specops Software qui a interrogé plus de 200 dirigeants informatiques des secteurs privé et public en Amérique du Nord et en Europe.

En outre, il apparait que 28 % des entreprises qui ont mis en place une politique de vérification ne sont pas satisfaites en raison de problèmes de sécurité et de convivialité.  

Des méthodes de vérification trop faible

La majorité de ces entreprises s’appuient sur des questions formulées à partir des informations basiques d’Active Directory, comme l’identifiant d’un employé, le nom d’un responsable ou même des informations liées aux ressources humaines comme la date de naissance ou l’adresse de l’employé. Pourtant, ces données peuvent facilement être récupérées par des hackers. C’est pourquoi le NIST (National Institute of Standards and Technology) recommande de ne plus utiliser ce genre d’informations basiques.

« D’après nos récentes découvertes, la réinitialisation des mots de passe au niveau du Service Desk constitue une vulnérabilité sérieuse pour les organisations de toutes tailles, indique Marcus Kaber, CEO, Specops Software. En cause, le temps ! Les opérateurs des centres de service sont incités à résoudre un problème le plus rapidement possible. Ils sont évalués en fonction du temps de résolution au premier appel… »

La reconnaissance vocale est loin d’être sécurisée

Pour Marcus Kaber, la conclusion la plus surprenante de l’enquête est que de nombreuses organisations comptent sur la reconnaissance de la voix de la personne qui appelle au lieu d’une authentification forte.

« Les attaquants par phishing peuvent facilement reproduire la voix d’un cadre pour réinitialiser son mot de passe et accéder à des données confidentielles. Trop nombreuses sont les organisations qui s’appuient sur une identification faible telle que le numéro d’identification de l’employé… La reconnaissance de la voix n’est pas une forme de vérification suffisante ! »

Une autre étape de base consiste à s’assurer que la vérification utilisateur mise en place est réellement appliquée et traçable. L’enquête a révélé que les organisations n’ont pas toujours les moyens de faire respecter les politiques de sécurité.

Une mesure de sécurité supplémentaire consiste à demander au centre de services de générer un mot de passe temporaire unique lors de l’assistance, puis d’appliquer un changement lors de la connexion suivante. Trop souvent, le centre de services a un mot de passe générique… distribué à tout le monde.

Plus d’assistance, plus de risques

La culture de sécurité globale d’une organisation peut également jouer un rôle important dans la sécurisation de ce vecteur d’attaque. Mais l’application est la clé d’une mise en œuvre réussie. En plus des guides en ligne et des FAQ, la mise en œuvre d’un outil de réinitialisation de mot de passe en libre-service peut réduire jusqu’à 50 % de tous les appels au centre de services, insiste Specops Software.

Pour Marcus Kaber, ce que nous vivons depuis la crise sanitaire impactera durablement notre façon de travailler. Nous devons nous attendre à voir une plus grande variété de scénarii de travail dans les 18 à 24 prochains mois. Ce qui pourrait augmenter la charge sur le Service Desk.

« Alors que de plus en plus d’entreprises acceptent un environnement de travail hybride ou s’éloignent complètement, le besoin d’assistance informatique à distance devrait augmenter avec la probabilité que des attaquants exploitent ce problème de sécurité. »