Les mots de passes faibles sont encore bien trop largement utilisés et permettent aux attaquants de facilement pénétrer dans le SI ou d'usurper les comptes ou identités.
Selon une étude de SecureLink, plus de 80 % des piratages d’entreprises aboutissent en exploitant les mauvaises habitudes des employés en matière de mot de passe. Les experts de Keeper Security ajoutent que 31 % des travailleurs utilisent le nom de leur enfant ou leur date d’anniversaire en guise de code secret… Ces informations sont évidemment très faciles à deviner.
Pour rappel, quelques exemples malheureux
En 2018 piratage du parlement irlandais (informations privées et sensibles). Les parlementaires utilisaient des mots de passe faibles fréquemment utilisés ;
En 2020 hack de l'éditeur Solarwind via un compte utilisateur et un mot de passe “Solarwind123”. Injection du malware Sunburst dans les mises à jour de la plateforme de sécurité Orion utilisée par de nombreux acteurs majeurs (Microsoft, Google, Cisco, Nvidia, Intel etc) et services gouvernementaux américains et européens.
En 2020 piratage (white hat) du compte de DonaldTrump en seulement 5 essais “maga2020” Make America Geart Again le slogan de campagne de Donald Trump. Quelques années plus tôt il avait déjà été victime d'une attaque sur son compte Tweeter protéger par “yourefired” phrase fétiche du milliardaire lorsqu’il animait l’émission de téléréalité “The Apprentice”.
Le mot de passe du compte Twitter de Barack Obama “Bo” (nom de son chien) a été deviné par un hacker par observation et renseignement. L'observation des personnes publique est facilité par la quantité de données disponibles les concernant.