Les fabricants de technologies sont appelés à éliminer les mots de passe par défaut, selon les directives de l’Agence de cybersécurité et de sécurité des infrastructures (CISA). Bien que ces mots de passe par défaut soient pratiques pour le processus de fabrication et le déploiement rapide de nouveaux appareils, ils posent un sérieux problème de sécurité pour les entreprises et Internet dans son ensemble.
Mise en garde contre les risques : les directives de la CISA
La CISA continue de mettre en garde contre l’utilisation de ces mots de passe par des cyberacteurs malveillants, soulignant que des mots de passe tels que « 1234 » ou « motdepasse » sont fréquemment exploités, permettant un accès initial aux systèmes exposés à Internet. Dans ses nouvelles directives « sécurisées dès la conception », la CISA presse les éditeurs de logiciels et de matériel informatique d’éliminer proactivement le risque d’exploitation des mots de passe par défaut.
Incidents récents et recommandations de la CISA
Elle met en lumière les incidents récents impliquant des groupes de menace notoires, tels que ceux affiliés au Corps des Gardiens de la Révolution Islamique (CGRI), qui ont réussi à compromettre des infrastructures critiques aux États-Unis en exploitant des mots de passe statiques par défaut. Pour remédier à cela, la CISA recommande l’adoption de deux principes : s’approprier les résultats en matière de sécurité des clients et construire une structure organisationnelle pour atteindre ces objectifs.
Solutions pratiques pour une sécurité renforcée
Les entreprises sont encouragées à éliminer les mots de passe par défaut en fournissant des mots de passe de configuration uniques pour chaque produit, incitant les utilisateurs à choisir un nouveau mot de passe sécurisé dès le départ. En outre, l’inclusion de mots de passe à durée limitée, se désactivant automatiquement après la configuration, est suggérée, nécessitant des approches d’authentification plus robustes, comme l’authentification multifacteur (MFA) résistante au phishing.
Renforcement de la sécurité dès la conception
Pour renforcer la sécurité dès la conception, la CISA insiste sur la nécessité pour les entreprises de sécuriser leur structure commerciale, sensibilisant chaque maillon de la chaîne de fabrication aux enjeux de cybersécurité. Les produits doivent être conçus, fabriqués et livrés avec une intégration par défaut de la sécurité, tandis que les dirigeants doivent fournir des incitations et des ressources pour garantir ces résultats sécurisés dès la conception.
Implémentation des principes recommandés par la CISA
En mettant en œuvre ces principes dans leurs processus de conception, développement et livraison, les fabricants de logiciels contribueront, selon la CISA, à prévenir l’exploitation des mots de passe statiques par défaut dans leurs produits. L’agence s’engage à fournir davantage d’alertes Secure by Design (SbD) pour le secteur technologique, en se concentrant sur les décisions des fournisseurs qui peuvent significativement réduire les dommages à l’échelle mondiale.
