Le concept de mot de passe existe depuis des siècles et les mots de passe ont fait leur place en informatique bien avant que la plupart d'entre nous nous en rappelions. L'une des raisons de la popularité durable des mots de passe est que les gens savent instinctivement comment ils fonctionnent. Mais il y a aussi un problème. Les mots de passe sont le talon d'Achille de la vie numérique de nombreuses personnes, d'autant plus que nous vivons à une époque où une personne moyenne doit se souvenir de 100 identifiants de connexion, un chiffre qui ne fait qu'augmenter ces dernières années. Il n'est donc pas étonnant que de nombreuses personnes prennent des raccourcis et que la sécurité en souffre.
Étant donné que le mot de passe est souvent la seule chose qui sépare un cybercriminel de vos données personnelles et financières, les escrocs sont plus que désireux de voler ou de craquer ces identifiants. Nous devons consacrer au moins autant d'efforts à la protection de nos comptes en ligne.
Que peut faire un pirate avec mon mot de passe?
Les mots de passe sont les clés virtuelles de votre monde numérique : ils vous permettent d'accéder à vos services bancaires en ligne, à votre messagerie et à vos médias sociaux, à vos comptes Netflix et Uber, ainsi qu'à toutes les données hébergées dans notre stockage en nuage. Avec des identifiants de travail, un pirate informatique pourrait :
- Voler vos informations d'identité personnelles et les vendre à d'autres criminels
- Vendre l'accès au compte lui-même. Les sites criminels sur le Dark Web font un commerce florissant de ces identifiants. Les acheteurs peu scrupuleux peuvent utiliser l'accès pour obtenir tout ce qu'ils veulent, des courses de taxi gratuites au streaming vidéo, en passant par des voyages à prix réduit grâce à des comptes Air Miles détournés
- Utiliser vos mots de passe pour déverrouiller d'autres comptes pour lesquels vous utilisez le même mot de passe
Comment les pirates volent-ils les mots de passe?
Familiarisez-vous avec ces techniques typiques de la cybercriminalité et vous serez bien mieux placé pour gérer la menace :
- Hameçonnage et ingénierie sociale
Les êtres humains sont des créatures faillibles et influençables. Nous sommes également enclins à prendre de mauvaises décisions lorsque nous sommes pressés. Les cybercriminels exploitent ces faiblesses par le biais de l'ingénierie sociale, une ruse psychologique destinée à nous faire faire quelque chose que nous ne devrions pas. Le phishing est peut-être l'exemple le plus célèbre. Dans ce cas, les pirates se font passer pour des entités légitimes : amis, famille, entreprises avec lesquelles vous avez fait des affaires, etc. Ainsi, le courrier électronique ou le SMS que vous recevez peut sembler authentique, contient un lien ou une pièce jointe malveillante qui, si vous cliquez dessus, téléchargera un logiciel malveillant ou vous conduira à une page où vous devrez fournir vos données personnelles.
Heureusement, il existe de nombreux moyens de repérer les signes avant-coureurs d'une attaque d’hameçonnage, comme nous l'expliquons ici. Les escrocs utilisent même des appels téléphoniques pour obtenir directement de leurs victimes des identifiants de connexion et d'autres informations personnelles, en se faisant souvent passer pour des ingénieurs de l'assistance technique. C'est ce qu'on appelle le « vishing » (ou hameçonnage vocal).
- Les logiciels malveillants
Les logiciels malveillants constituent un autre moyen populaire de s'emparer de vos mots de passe. Les courriels de phishing sont un vecteur privilégié pour ce type d'attaque, mais vous pouvez aussi en être victime en cliquant sur une publicité malveillante en ligne ou même en visitant un site web compromis (drive-by-download). Comme l'a démontré à plusieurs reprises Lukas Stefanko, chercheur en logiciels malveillants d’ESET, un logiciel malveillant peut même être caché dans une application mobile d'apparence légitime, souvent trouvée sur des magasins d'applications tiers.
Il existe différentes variétés de logiciels malveillants voleurs d'informations, mais certains des plus courants sont conçus pour enregistrer vos frappes au clavier ou prendre des captures d'écran de votre appareil et les renvoyer aux attaquants.
- Attaque par force brute
Le nombre moyen de mots de passe que la personne moyenne doit gérer a augmenté d'environ 25 % en 2020. Beaucoup d'entre nous utilisent par conséquent des mots de passe faciles à retenir (et à deviner) et les réutilisent sur plusieurs sites. Cependant, cela peut ouvrir la porte à des techniques dites de force brute.
L'une des plus courantes est l’attaque par bourrage d’identifiants, ou « credential stuffing ». Dans ce cas, les attaquants introduisent dans un logiciel automatisé de grandes quantités de combinaisons de noms d'utilisateur et de mots de passe déjà violés. L'outil les essaie ensuite sur un grand nombre de sites, dans l'espoir de trouver une correspondance. De cette façon, les pirates peuvent déverrouiller plusieurs de vos comptes avec un seul mot de passe. Selon une estimation, 193 milliards de tentatives de ce type ont été effectuées dans le monde l'année dernière. Le gouvernement canadien a récemment été une victime marquante.
Une autre technique de force brute est la pulvérisation de mots de passe. Dans ce cas, les pirates utilisent un logiciel automatisé pour essayer une liste de mots de passe couramment utilisés sur votre compte.
- Jouer aux devinettes
Bien que les pirates disposent d'outils automatisés pour forcer votre mot de passe, ils n'en ont parfois pas besoin : une simple devinette - par opposition à l'approche plus systématique utilisée dans les attaques par force brute - peut faire l'affaire. Les mots de passe les plus courants en 2020 étaient dans l’ordre « 123456 » et « 123456789 ». En quatrième position, on trouvait l’ineffable « password ».
Et si, comme la plupart des gens, vous réutilisez le même mot de passe, ou une proche variation, sur plusieurs de vos comptes, vous facilitez la tâche aux attaquants et vous vous exposez à un risque supplémentaire d'usurpation d'identité et de fraude.
- Shoulder surfing
Toutes les voies de compromission des mots de passe que nous avons explorées jusqu'à présent étaient virtuelles. Cependant, à mesure que les fermetures s'atténuent et que de nombreux travailleurs reprennent le chemin du bureau, il est bon de rappeler que certaines techniques d'écoute éprouvées présentent également un risque. Ainsi, Jake Moore d'ESET a récemment mené une expérience pour déterminer à quel point il est facile de pirater le compte Snapchat d’une personne en utilisant cette simple technique.
Une version plus sophistiquée, connue sous le nom d'attaque man-in-the-middle impliquant une écoute Wi-Fi, permet à des pirates installés sur des connexions Wi-Fi publiques d'espionner votre mot de passe lorsque vous le saisissez en étant connecté au même concentrateur. Ces deux techniques existent depuis des années, mais cela ne signifie pas qu'elles ne constituent plus une menace.
Comment protéger vos identifiants de connexion
Vous pouvez faire beaucoup pour bloquer ces techniques, soit en incorporant une deuxième forme d'authentification à vos pratiques, soit en gérant vos mots de passe plus efficacement, soit en prenant des mesures pour empêcher le vol en premier lieu. Voici quelques conseils à mettre en pratique :
- Utilisez uniquement des mots de passe ou des phrases de passe fortes et uniques sur tous vos comptes en ligne, en particulier vos comptes bancaires, de messagerie et de médias sociaux.
- Évitez de réutiliser vos identifiants de connexion sur plusieurs comptes et de commettre d'autres erreurs de mot de passe courantes.
- Activez l'authentification à deux facteurs (2FA) sur tous vos comptes.
- Utilisez un gestionnaire de mots de passe, qui stockera des mots de passe forts et uniques pour chaque site et chaque compte, ce qui rendra les connexions simples et sûres.
- Changez immédiatement votre mot de passe si un fournisseur vous informe que vos données ont pu être volées.
- N'utilisez que des sites HTTPS pour vous connecter.
- Ne cliquez pas sur les liens et n'ouvrez pas les pièces jointes des courriels non sollicités.
- Ne téléchargez que des applications provenant de magasins d'applications officiels.
- Investissez dans un logiciel de sécurité d'un fournisseur réputé pour tous vos appareils.
- Assurez-vous que tous les systèmes d'exploitation et les applications sont à la dernière version.
- Méfiez-vous des internautes dans les espaces publics
- Ne vous connectez jamais à un compte si vous êtes sur un réseau Wi-Fi public ; si vous devez utiliser un tel réseau, utilisez un VPN.
La disparition du mot de passe est annoncée depuis plus de dix ans. Mais les alternatives aux mots de passe peinent encore souvent à remplacer le mot de passe lui-même, ce qui signifie que les utilisateurs doivent prendre les choses en main. Restez vigilant et gardez vos données de connexion en sécurité.