Aujourd'hui, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a exhorté les fabricants de technologies à cesser de fournir des mots de passe par défaut aux logiciels et aux appareils.
Une fois découverts, les acteurs malveillants peuvent utiliser ces informations d’identification par défaut comme une porte dérobée pour pirater les appareils vulnérables exposés en ligne. Les mots de passe par défaut sont couramment utilisés pour rationaliser le processus de fabrication ou aider les administrateurs système à déployer plus facilement un grand nombre d'appareils dans un environnement d'entreprise.
Néanmoins, le fait de ne pas modifier ces paramètres par défaut crée une faille de sécurité que les attaquants peuvent exploiter pour contourner les mesures d'authentification, compromettant potentiellement la sécurité de l'ensemble du réseau de leur organisation.
« Cette alerte SbD exhorte les fabricants de technologies à éliminer de manière proactive le risque d'exploitation des mots de passe par défaut », CISA diten s'appropriant « les résultats en matière de sécurité des clients » et en construisant « une structure organisationnelle et un leadership pour atteindre ces objectifs ».
« En mettant en œuvre ces deux principes dans leurs processus de conception, de développement et de livraison, les fabricants de logiciels empêcheront l'exploitation des mots de passe statiques par défaut dans les systèmes de leurs clients. »
« Des années de preuves ont démontré qu'il ne suffit pas de compter sur des milliers de clients pour changer leurs mots de passe, et seule une action concertée des fabricants de technologies permettra de répondre de manière appropriée aux risques graves auxquels sont confrontées les organisations d'infrastructures critiques », a déclaré CISA. ajoutée.
Alternatives aux mots de passe par défaut
L'agence américaine de cybersécurité a conseillé aux fabricants de fournir aux clients des mots de passe de configuration uniques adaptés à chaque instance de produit, au lieu d'utiliser un mot de passe par défaut unique pour toutes les gammes et versions de produits.
De plus, ils peuvent mettre en œuvre des mots de passe de configuration à durée limitée conçus pour se désactiver une fois la phase de configuration terminée et inviter les administrateurs à activer des méthodes d'authentification plus sécurisées, telles que l'authentification multifacteur (MFA) résistante au phishing.
Une autre possibilité consiste à rendre obligatoire l'accès physique pour la configuration initiale et à spécifier des informations d'identification distinctes pour chaque instance.
Il y a dix ans, la CISA a publié un autre avis consultatif mettant en évidence les failles de sécurité associées aux mots de passe par défaut. L'avis a spécifiquement souligné les facteurs de risque accrus pour les infrastructures critiques et les systèmes embarqués.
« Les attaquants peuvent facilement identifier et accéder aux systèmes connectés à Internet qui utilisent des mots de passe par défaut partagés. Il est impératif de modifier les mots de passe par défaut des fabricants et de restreindre l'accès au réseau aux systèmes critiques et importants », a déclaré l'agence de cybersécurité.
« Les mots de passe par défaut sont destinés aux opérations de test, d'installation et de configuration initiales, et de nombreux fournisseurs recommandent de modifier le mot de passe par défaut avant de déployer le système dans un environnement de production. »
Des pirates informatiques iraniens ont récemment utilisé cette approche, en utilisant un mot de passe par défaut « 1111 » pour les contrôleurs logiques programmables (PLC) Unitronics exposés en ligne pour pirater les États-Unis. des systèmes d’infrastructures critiques, y compris une installation d’approvisionnement en eau aux États-Unis.