Dossier: Votre mot de passe est-il sécurisé?
Abus
Si des personnes malveillantes s’emparent de votre mot de passe, elles peuvent pirater le compte associé et abuser des services connexes (commander des produits sur Amazon ou Cdiscount.com avec votre carte de crédit, accéder à vos comptes et réseaux professionnels, effacer votre photothèque, lire tous vos e-mails, envoyer des messages à vos contacts en votre nom, usurper votre identité sur internet,…).
Compte e-mail
Le plus souvent, malheureusement, le problème ne se limite pas à un seul site ou service. En effet, un même mot de passe est souvent utilisé pour plusieurs sites, ce qui permet aux hackers de pirater de nombreux comptes en un rien de temps. Votre compte le plus important est généralement votre boîte mail, car tous les services en ligne s’en servent en cas d’oubli de votre mot de passe. Si un hacker accède à votre compte e-mail, il obtient donc, la plupart du temps, un accès total à toutes vos activités en ligne.
Le plus souvent, malheureusement, le problème ne se limite pas à un seul site ou service. En effet, un même mot de passe est souvent utilisé pour plusieurs sites, ce qui permet aux hackers de pirater de nombreux comptes en un rien de temps. Votre compte le plus important est généralement votre boîte mail, car tous les services en ligne s’en servent en cas d’oubli de votre mot de passe. Si un hacker accède à votre compte e-mail, il obtient donc, la plupart du temps, un accès total à toutes vos activités en ligne.
Subtilisation de mot de passe
Les criminels peuvent subtiliser votre mot de passe de deux manières. La première, appelée phishing ou hameçonnage, consiste à vous orienter vers de faux sites (mais qui paraissent authentiques) et à vous demander de saisir vos données de connexion. La deuxième est moins directe: les criminels pénètrent les réseaux des entreprises et dérobent les données de contact, de connexion et autres de leurs clients ou utilisateurs. Ces informations volées sont ensuite revendues ou diffusées sur le dark web.
Have I Been Pwned?
Heureusement, il existe aussi des organisations dotées de bonnes intentions qui rassemblent et publient toutes les fuites de données qu’elles trouvent sur internet. Vous pouvez ainsi savoir si votre adresse e-mail et votre mot de passe font partie des données dérobées. Le plus connu de ces sites est haveibeenpwned.com.
Le nom ‘Have I Been Pwned?’ s’inspire de l’argot des hackers, où ‘pwn’ signifie “prendre le contrôle d’un ordinateur ou d’une application”.
Données compromises?
En saisissant votre adresse e-mail sur la page d’accueil, le site indique les fuites de données connues dans lesquelles votre adresse e-mail apparaît, ainsi que les autres informations compromises (par ex. votre mot de passe).
Mots de passe à modifier
Vérifiez sur le site toutes les adresses e-mail que vous avez utilisées au cours des dix dernières années et modifiez immédiatement le mot de passe des sites pour lesquels une fuite de données a été constatée. Dans l’exemple (voir image), l’utilisateur doit immédiatement créer un nouveau mot de passe pour les sites Dropbox et MyFitnessPal. Cependant, comme on utilise souvent le même mot de passe pour plusieurs sites, ce contrôle ne suffit pas. Il faut aussi vérifier si l’un de vos mots de passe actifs est compromis. Pour ce faire, cliquez sur ‘Passwords’ (page d’accueil du site Have I Been Pwnd) et saisissez le mot de passe à tester.
Si le site trouve votre mot de passe, le message suivant s’affiche: “Oh no – pwned! This password has been seen X times before”.
Mot de passe faible?
Un mot de passe compromis dans une fuite de données doit être modifié sur tous les sites où il a été utilisé. La recherche pour un mot de passe très simple (par ex.1234) donnera probablement un résultat, peut-être lié à une autre personne possédant le même mot de passe. Il s’agit dès lors d’une raison suffisante pour choisir immédiatement un mot de passe plus difficile à deviner. En effet, les hackers utilisent des listes de mots de passe de ce type pour pénétrer dans les ordinateurs. Vous serez donc vulnérable aux attaques si vous ne possédez pas un mot de passe robuste.
Gestionnaire de mots de passe
Les services en ligne étant chaque fois plus nombreux, il devient presque impossible de retenir tous les mots de passe, d’autant plus qu’ils doivent être complexes. C’est pourquoi un gestionnaire de mots de passe peut s’avérer utile. Un bon gestionnaire de mots de passe crée et conserve des mots de passe robustes et sécurisés, chaque fois que vous créez un nouveau compte sur un site. Le gestionnaire de mots de passe complète automatiquement vos données d’identification lorsque vous vous identifiez sur un sit, et établit la connexion.
Cloud
La plupart des gestionnaires de mots de passe sont basés sur le cloud, si bien que vous pouvez:
-
partager vos mots de passe de façon sécurisée avec tous vos appareils;
-
donner accès à des membres de votre famille ou autres en cas d’urgence;
-
utiliser des fonctions supplémentaires (par ex. contrôle automatique de sources telles que Have I Been Pwned?, enregistrement sécurisé de votre carte de crédit, de votre passeport et de vos données d’identité).
Service reconnu
Si vous optez pour un gestionnaire de mots de passe, assurez-vous qu’il s’agit bien d’un service reconnu (ex. Dashlane, LastPass ou 1Password) qui reçoit des critiques favorables et fonctionne sur tous vos appareils. Méfiez-vous des applications inconnues ou financées par la publicité. Votre gestionnaire de mots de passe détient les clés de vos informations les plus précieuses. Dès lors, choisissez-en un qui est réputé pour sa sécurité et soutenu par une entreprise financièrement saine.
Protection
Assurez-vous que vous disposez d’une sauvegarde sécurisée et d’un mot de passe suffisamment robuste pour protéger le gestionnaire de mots de passe après l’avoir installé.
Service d’alerte
Sur le site Have I Been Pwned, vous pouvez également vous abonner à un service d’alerte en cliquant sur ‘Notify me’. Ce dernier vous informera alors si votre adresse e-mail est compromise.
Si vous êtes propriétaire d’un nom de domaine, vous pouvez demander à recevoir une notification pour toutes les adresses e-mail du nom de domaine sous ‘Domain search’.
Authentification
Utilisez l’authentification multifactorielle dans la mesure du possible (voir encadré) pour que vos mots de passe soient sécurisés et que personne d’autre ne les connaisse. La plupart des gestionnaires de mots de passe proposent à cet effet des comptes familiaux pour que vous puissiez faire de même pour les comptes de vos enfants et des membres de votre famille.
|
Authentification multifactorielle
L’authentification multifactorielle est une méthode de vérification qui consiste à n’autoriser l’accès d’un utilisateur ou système que s’il peut produire au moins deux éléments (facteurs) d’identification. Dans la plupart des cas, il s’agit d’un élément que l’on possède (par ex. un générateur de nombre sur le téléphone, une carte à puce ou une empreinte digitale) et d’un élément que l’on connait (par ex. un mot de passe ou un code pin).
|
À propos de l’auteur: Gert Van den Poel, co-fondateur de Cybervalue, bureau de consultance en cybersécurité (www.cybervalue.net)