Félicitations, tu as maintenant un mot de passe super sécurisé !

On estime qu’en France 120 000 personnes se font pirater leur compte chaque année. Petit tour d’horizon des principales techniques de piratage et des meilleures pratiques pour s’en prémunir.

Les principales techniques de piratage

Les réseaux sociaux constituent une mine d’information pour les hackers. lls leurs permettent d’obtenir de nombreuses informations sur l’identité et la vie privée des internautes. Selon l’étude Toulona, réalisée en décembre 2016 pour Affinion international, les réseaux sociaux représentent 40% des usurpations d’identité. La technique dite de “hameçonnage” ou “phishing”, qui consiste à envoyer un faux e-mail afin d’obtenir des données personnelles, est le deuxième moyen le plus utilisé. Elle touche une victime sur trois. La troisième technique la plus utilisée est le piratage sur les sites de e-commerce. En effet, 32% des victimes de vol d’identité le sont suite à une transaction sur le web.

La multiplication des comptes personnels et des types d’activité en ligne explique l’augmentation exponentielle de piratage de comptes. L’affaire du piratage des 500 000 comptes Yahoo en 2014, confirme le fait que la plupart des internautes ne prennent pas les précautions nécessaires pour sécuriser leurs comptes. En effet, 35% des internautes utilisent des mots de passe faibles. Les autres 65 % utilisent des mots de passe qui peuvent être hackés relativement facilement.

Les internautes utilisent des mots de passe identiques

Une étude de Splashdata ayant passé au crible plus de 5 millions de mots de passe révèle que les internautes font preuve de peu d’imagination lorsqu’il s’agit de choisir un mot de passe sécurisé. Les deux mots de passe les plus utilisés depuis 2011 sont “123456” et “motdepasse”. Il ne faut pas sous-estimer les noms de sports : en 2016, “football” et “baseball” sont les 7e et 10e mots de passe les plus utilisés. Dans ce classement 2016, six mots de passe sont constitués uniquement de chiffres.

Outre le fait que les internautes ont tendance à utiliser des mots de passe “par défaut”, ceux-ci utilisent les mêmes techniques lorsqu’il s’agit de générer un mot de passe plus complexe.

Les utilisateurs choisissent en général un mot générique ou un mot de passe utilisé antérieurement, ils ajoutent une majuscule et un caractère spécial et y juxtaposent un chiffre. Ils ont ainsi recours au même schéma de construction sans en avoir conscience.

Les piratages de mots de passe permettent aux hackers de comprendre ces schémas et de créer des dictionnaires de mots de passe. Il est dès lors très facile pour eux de pirater un grand nombre de comptes.

Comment générer un mot de passe efficace ?

1 Un mot de passe efficace doit contenir au moins 12 caractères comprenant à la fois une majuscule, un chiffre et un caractère spécial. Comment faire alors pour mémoriser un tel mot de passe ? Il existe des méthodes permettant de créer des mots de passe efficaces, mais faciles à retenir.

2 La fondation Mozilla propose une recette efficace. Mémorisez une phrase et utilisez la première lettre de chaque mot pour générer votre mot de passe. Ajoutez ensuite un chiffre, une majuscule et un caractère spécial. Ex. : “le chat de Rosie est gris”. Lc2reg#.

Ayez recours ensuite à une règle de différenciation pour chaque plateforme utilisée. Vous pouvez par exemple prendre les 3 premières lettres d’une plateforme et déplacer la majuscule vers la droite. Pour Twitter, cela donne tWitlc2reg#. Pour Facebook, nous obtenons fAclc2reg#.

3 Afin d’éviter le piratage en cascade, n’utilisez jamais le même mot de passe pour plusieurs comptes. En effet, si celui-ci est compromis sur un de vos comptes, vos autres comptes sont automatiquement mis en danger.

4 Votre mot de passe ne doit faire référence à aucune de vos données personnelles telles que le nom de vos enfants ou votre date de naissance.

5 Evitez également de stocker vos mots de passe dans un vieux mail. Les hackers font régulièrement des recherches par mots clefs dans votre messagerie tels que “mot de passe” “visa” “carte de crédit’” ou “banque”.

6 Si vous souhaitez stocker vos mots de passe en toute sécurité, utilisez plutôt un gestionnaire de mot de passe tel que Keepass, Zenyway ou Passwordsafe.

7 Utilisez également la multi-authentification. Cette pratique, qui consiste à rentrer un code que vous recevez sur votre téléphone portable, est déjà courante pour les boites mail et les réseaux sociaux.

Chaque jour, les plateformes subissent de nombreuses tentatives d’attaque visant à voler les données personnelles de leurs utilisateurs. De fait, le mot de passe est devenu un point central de la sécurité sur internet. Si aucune solution n’est parfaite, il convient toutefois de respecter des règles élémentaires pour complexifier la tâche des hackers.

Plusieurs mots de passe tu auras

Il est parfois tentant de se simplifier la vie en utilisant un même mot de passe pour tous ses comptes. C’est une erreur qui peut être lourde de conséquences : un compte compromis, et ce sont tous les autres qui tombent aux mains des “pirates” ! Les conséquences ? Usurpation de votre boîte mail pour piéger vos contacts, utilisation de vos données bancaires pour des achats frauduleux, demandes de rançon s’il trouve des données compromettantes dans votre boîte mail (…) la liste est longue.

Si idéalement il faut utiliser un mot de passe différent pour chaque compte, il est déjà raisonnable de définir des “niveaux de menace”. Un même mot de passe peut à la rigueur servir pour les comptes sans enjeu (comptes sans données personnelles ou bancaires), mais un mot de passe doit être spécifique pour chaque adresse mail, chaque réseau social et chaque autre compte important.

Les mots de passe trop simples tu fuiras

Les mots de passe suivants peuvent facilement être trouvés par des logiciels conçus pour tester rapidement le plus grand nombre de possibilités :

• les combinaisons de clavier facile ;
• les suites de chiffres ;
• les mots du dictionnaire ;
• les données personnelles (date de naissance, ville ou département, animal de compagnie, etc.)
• les références culturelles (livre, série TV, film, théâtre, etc.).
• Voici quelques conseils pour élaborer un mot de passe sécurisé :
• 12 caractères minimums ;
• le changer régulièrement ;
• un mot de passe n’ayant aucune signification et contenant aucun lien avec vos données personnelles ;
• mélangez des chiffres, des majuscules et des caractères spéciaux ;

Pour tester la difficulté de votre mot de passe, rendez-vous ici.

Les experts recommandent d’avoir recours à des “phrases de passe” (quatre mots), plus longues, faciles à retenir mais difficiles à pirater. Prenons un exemple concret : un mot de passe tel que “GarFi3LD^^”, qui peut être le nom de votre chat, sera plus simple à trouver qu’un mot de passe comme “TigreVéloÉcolePays”. Il suffit simplement de vous créer un moyen mnémotechnique : “Le tigre se rend à vélo à l’école dans tous les pays”. Cette phrase de passe est moins facile à craquer surtout si vous la complexifiez “Tigr3-Vél0@Éc0l3>P4y$”.

Si vous êtes à court d’idées, la CNIL propose un générateur de mots de passe.

Un service de gestion tu utiliseras
Vous pouvez enregistrer vos mots de passe grâce à votre navigateur mais prenez garde à cette fonctionnalité. Si elle peut s’avérer utile, elle n’est viable que si vous êtes le seul utilisateur de cet ordinateur. Sur un ordinateur public, n’importe qui pourra accéder à vos comptes. La solution la plus sûre est d’utiliser un service de gestion et de sécurisation, avec un seul mot de passe principal à mémoriser. La plateforme s’occupera de générer tous les autres (exemple : Lastpass et Dashlane).

La double authentification tu actionneras

Pour cela, différentes options s’offrent à vous, plus ou moins complexes.

• Il existe un processus permettant d’ajouter un niveau de sécurité supplémentaire à un compte sur un réseau social ou sur un site, généralement grâce à votre numéro de téléphone portable ou à un mail.

• Un deuxième moyen est possible : l’utilisation d’une application dédiée à la double authentification, qui génère un code unique à renseigner lors de la connexion, beaucoup plus sûr qu’un mail ou un téléphone pouvant être piraté.

• L’authentification à deux facteurs peut également être permise grâce à des notifications envoyées sur l’application de son smartphone.

• Enfin, de nouvelles technologies se développent, comme le Face ID ou le Touch ID, sur Android et Apple qui doublent le mot de passe d’une reconnaissance faciale et digitale. Mais attention, leur nouveauté les rend parfois moins fiables que les technologies énoncées précédemment.

Comment savoir si un site propose l’authentification à double facteur ?

La méthode la plus simple est aussi la plus pénible : il s’agit d’aller vérifier manuellement dans les paramètres de chaque site Web si l’option correspondante s’y trouve. Heureusement, de bonnes âmes ont eu la bonne idée de regrouper tous les sites proposant l’A2F à l’adresse twofactorauth.org.