Aujourd’hui, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a exhorté les fabricants de technologies à cesser de fournir des logiciels et des appareils avec des mots de passe par défaut.
Une fois découverts, les auteurs de menaces peuvent utiliser ces informations d’identification par défaut comme une porte dérobée pour violer les appareils vulnérables exposés en ligne. Les mots de passe par défaut sont couramment utilisés pour rationaliser le processus de fabrication ou aider les administrateurs système à déployer plus facilement un grand nombre d’appareils dans un environnement d’entreprise.
Néanmoins, le fait de ne pas modifier ces paramètres par défaut crée une faille de sécurité que les attaquants peuvent exploiter pour contourner les mesures d’authentification, compromettant potentiellement la sécurité de l’ensemble du réseau de leur organisation.
« Cette alerte SbD exhorte les fabricants de technologies à éliminer de manière proactive le risque d’exploitation des mots de passe par défaut », a déclaré CISA, en s’appropriant » les résultats de la sécurité des clients « et en créant » une structure organisationnelle et un leadership pour atteindre ces objectifs. »
« En mettant en œuvre ces deux principes dans leurs processus de conception, de développement et de livraison, les fabricants de logiciels empêcheront l’exploitation des mots de passe statiques par défaut dans les systèmes de leurs clients. »
« Des années de preuves ont démontré que compter sur des milliers de clients pour changer leurs mots de passe est insuffisant, et seule une action concertée des fabricants de technologies permettra de traiter de manière appropriée les risques graves auxquels sont confrontées les organisations d’infrastructures critiques », a ajouté CISA.
Alternatives aux mots de passe par défaut
L’agence américaine de cybersécurité a conseillé aux fabricants de fournir aux clients des mots de passe de configuration uniques adaptés à chaque instance de produit au lieu d’utiliser un mot de passe par défaut unique pour toutes les gammes et versions de produits.
De plus, ils peuvent implémenter des mots de passe de configuration limités dans le temps conçus pour se désactiver une fois la phase de configuration terminée et inviter les administrateurs à activer des méthodes d’authentification plus sécurisées, telles que l’authentification multifacteur (MFA) résistante au phishing.
Une autre possibilité consiste à exiger un accès physique pour la configuration initiale et à spécifier des informations d’identification distinctes pour chaque instance.
Il y a dix ans, la CISA a publié un autre avis consultatif mettant en évidence les vulnérabilités de sécurité associées aux mots de passe par défaut. L’avis soulignait spécifiquement les facteurs de risque accrus pour les infrastructures critiques et les systèmes embarqués.
« Les attaquants peuvent facilement identifier et accéder aux systèmes connectés à Internet qui utilisent des mots de passe par défaut partagés. Il est impératif de changer les mots de passe par défaut des fabricants et de restreindre l’accès au réseau aux systèmes critiques et importants », a déclaré l’agence de cybersécurité.
« Les mots de passe par défaut sont destinés aux opérations initiales de test, d’installation et de configuration, et de nombreux fournisseurs recommandent de modifier le mot de passe par défaut avant de déployer le système dans un environnement de production. »
Les pirates iraniens ont récemment utilisé cette approche, en utilisant un mot de passe par défaut « 1111 » pour les automates programmables Unitronics exposés en ligne à une violation des États-Unis. systèmes d’infrastructures critiques, y compris une installation d’approvisionnement en eau aux États-Unis.