Cybersécurité - Innovations digitales et numériques

Les cybercriminels avaient dérobé des informations confidentielles sur 22 000 comptes Twitter, 59 000 comptes Yahoo!, 60 000 comptes Google et 326 000 comptes Facebook. D’autres sites sont également concernés, à savoir, LinkedIn, agateway ou encore vk.com. Les données ont été aspirées suite à l’infection des comptes par un malware, principalement sur des ordinateurs dont les mises à jour de sécurité étaient obsolètes. Les informations volées étaient principalement des mots de passe permettant l’accès à l’ensemble des comptes. L’ensemble des utilisateurs qui se sont fait dérober leurs codes à leur insu se trouvaient aux Etats-Unis, en Chine, en Thaïlande et en Europe, notamment, en Allemagne. Suite à cette découverte, Facebook a réagi très rapidement en modifiant l’ensemble des mots de passe des comptes concernés afin de protéger les utilisateurs.

Si les Français pataugent avec la gestion de leurs mots de passe, ce n‘est pas parce qu’ils n’ont pas l’habitude de les utiliser : pour 84 % des Français, entrer un mot de passe sur Internet est un geste quotidien. Parmi cette large majorité de la population, un tiers effectue ce geste plus de 5 fois par jour.

De façon inquiétante, tant les méthodes qu’exploitent l’équipe de recherche – reposant sur un grand nombre d’automatisations afin de conduire une analyse à grandes échelle – que les pratiques de l’industrie – réutilisation de firmwares entre différents vendeurs, mauvaise gestion des versions de composants – ouvrent la voie à des attaques massivement « industrialisées », susceptibles de compromettre un grand nombre de systèmes. Comme l’illustre le cas récent de vol d’un grand nombre de mots de passe, les cybercriminels semblent déjà avoir compris tous les gains de productivité que ces méthodes sont susceptibles de leur amener.

Les conclusions de SplashData s’inscrivent dans la lignée de celles récemment émises par Deloitte, qui annonçait que les 1000 mots de passe les plus communs permettaient d’accéder à 91% des services théoriquement protégés. Le cabinet d’audit et de conseil y entrevoyait les limites du cerveau humain, qui ne retient typiquement « que 6 ou 7 mots de passe [...] que l’on a tendance à réutiliser ». Mais ces derniers sont trop souvent des noms de famille ou des dates de naissance, autant d’éléments que des pirates peuvent facilement dénicher sur le Web, tout particulièrement via les réseaux sociaux.

Quels enseignements en tirer ? Éviter d’utiliser des mots issus du dictionnaire ou en rapport avec le service utilisé (confer le cas de Photoshop), mais aussi utiliser au moins 8 caractères tout en combinant chiffres, minuscules, majuscules, signes et lettres accentuées. SplashData déconseille par ailleurs de renseigner le même mot de passe sur plusieurs sites/services Web. L’utilisation d’un gestionnaire – comme Dashlane ou Lastpass – peut être une solution.

Reprenant un argument déjà utilisé par Adobe, Cupid Media suggère que de nombreux password appartiennent en réalité à des utilisateurs inactifs. Et la société précise qu’elle a depuis renforcé sa sécurité (hashage et salage de la base de données, obligation faite aux utilisateurs de choisir des mots de passe non triviaux).

Il existe de nombreuses techniques pour choisir un bon mot de passe. Outre les générateurs gratuits, vous pouvez par exemple coupler un film ou un album de référence accompagné de l’année de sa sortie, ce qui vous fait utiliser des minuscules et majuscules, des caractères spéciaux et des chiffres.

Exemple : TurkishStarWars(1982) (oui, bon, chacun ses goûts !)

Si vous tenez à garder le même mot de passe pour vos comptes, vous pouvez ajouter quelques lettres pour « personnaliser » le mot de passe de chaque service, par exemple : fac-TurkishStarWars(1982) pour Facebook, out-TurkishStarWars(1982) pour votre messagerie Outlook, etc.