mot de passe

Des messageries, aux réseaux sociaux, en passant par les e-commerces, les sites administratifs, ou encore les banques en ligne, voici quelques exemples des innombrables services qui requièrent un mot de passe. Malgré les risques, de nombreux utilisateurs ont encore tendance à utiliser des mots de passe trop simples et/ou le même pour tous les services. Voici quelques conseils pour renforcer la sécurité de ses sésames.

Chaque année, des dizaines de millions d’internautes à travers le monde sont victimes de cyberattaques à cause de mots de passe vulnérables. Ces derniers constituent une véritable mine d’or pour les hackers qui les revendent ou les utilisent pour pirater des comptes. Le site Cybernews.com a révélé récemment qu’un fichier contenant pas moins de 8,5 milliards mots de passe a été repéré sur un forum de hackers. À ce jour, il s’agit de la plus grande compilation de mots de passe jamais détectée sur la toile.

Les techniques de piratage de mots de passe :

Hameçonnage : vous êtes le maillon faible

Il existe différentes méthodes de piratage de mots de passe. À commencer par l’hameçonnage (ou phishing en anglais) qui consiste à inciter les utilisateurs à cliquer sur un lien par le biais d’un email/SMS pour installer un logiciel malveillant ou accéder à un faux site web ayant l’apparence d’un service légitime pour indiquer leurs identifiants. Pour parvenir à leurs fins, les hackers créent des phishing de plus en plus sophistiqués, rédigés dans un français parfait et personnalisés. Ils utilisent notamment des techniques d’ingénierie sociale pour glaner des informations en ligne sur leurs victimes afin de personnaliser leur message et les tromper plus facilement.

Pour éviter ces escroqueries vieilles comme le Web, il est recommandé de ne jamais cliquer sur un lien dans un courrier ou un SMS sans être à 100 % sûr de connaître l’expéditeur. En règle générale, mieux vaut également indiquer le moins d’informations personnelles sur internet et les réseaux sociaux. L’utilisation de logiciels de sécurité permet en général de déceler les spams et les faux sites Internet et d'ainsi se protéger de ce type de menaces.

Spear Phishing ou hameçonnage

Force brute : si facile à éviter !

L’attaque par force brute consiste quant à elle à utiliser un logiciel pour générer des mots de passe de manière aléatoire. Le programme teste des milliers de combinaisons de lettres (minuscules et majuscules) et de numéros. Il commence par tester les mots de passe faibles les plus populaires avant d’augmenter graduellement leur complexité. Un mot de passe court sans caractères spéciaux peut être ainsi cassé en seulement quelques minutes.

Dans une étude réalisée par l’organisme britannique National Cyber Security Centre (NCSC) sur les 100 000 codes les plus utilisés dans des cyberattaques, on apprend que les suites de chiffres « 123456 » et « 123456789 » étaient respectivement utilisés par 23,6 et 7,7 millions d’internautes ! Parmi les autres mots de passe les plus courants révélés par l’étude figuraient notamment « qwerty » (3,8 millions), « password » (3,6 millions), ou encore « 111111 » (3,1 millions) ! Nul besoin d'être un hacker chevronné pour casser ce type de codes…

L'attaque par dictionnaires

L’attaque par dictionnaires représente quant à elle une méthode utilisée par les hackers en complément de l’attaque par force brute pour trouver les mots de passe des internautes. Pour cela, ils utilisent les listes de mots communs référencés par toutes sortes de dictionnaires disponibles sur le web. Pour optimiser leurs chances de réussite, ils peuvent les combiner avec des chiffres et des caractères spéciaux placés avant ou après le mot de passe potentiel.

Logiciels malveillants contre logiciels de sécurité

Parmi les autres attaques courantes pour déchiffrer les mots de passe, citons également l’attaque par enregistreur de frappe (keylogger en anglais).

Il peut s’agir d’un logiciel malveillant ou d’un périphérique (vidéo ou autres) installé entre le clavier et l’ordinateur qui enregistre les frappes saisies au clavier. Moins courante car plus complexe (et moins massive) à mettre en œuvre, celle-ci permet à un attaquant de subtiliser tous les identifiants et codes d’accès de l’utilisateur.

Attaques des services web, le chalut à mots de passe

Les cyberattaques de services web et autres marchands en ligne demeurent la forme d’attaque la plus dévastatrice pour les identifiants et les mots de passe des internautes. Les attaquants exploitent généralement des failles de sécurité pour pirater les serveurs de sites web pouvant stocker parfois plusieurs millions ou milliards d’identifiants. Rien que durant le premier semestre 2021, les vols et les fuites de données se sont multipliés avec les piratages de Facebook, Amazon, Instagram, Décathlon, Netflix, ou encore LinkedIn. Pour savoir si ses identifiants numériques ont été compromis, il suffit de saisir son adresse de messagerie dans le moteur de recherche du site Have I Been Pwned.

Les règles d’or pour sécuriser ses mots de passe

Utiliser des mots de passe différents pour chaque compte


L’un des principes de base à respecter est de ne surtout pas utiliser le même mot de passe pour différents services. Cela permet en effet de limiter les dégâts et éviter les piratages en cascade de tous ses comptes. Plus facile à dire qu’à faire, il est conseillé idéalement de privilégier l’utilisation d’un mot de passe unique pour chaque compte et renouveler régulièrement ceux qui comprennent des données sensibles. Les spécialistes préconisent de renouveler les sésames à minima tous les 90 jours.

Chiffrer ses mots de passe


Cela peut sembler évident, mais il ne faut pas stocker ses mots de passe dans un fichier vulnérable sur un compte cloud ou sur un ordinateur, se les envoyer par email ou SMS, ou les griffonner dans un calepin. De même, il est préférable de configurer les navigateurs internet pour qu’ils n’enregistrent pas automatiquement les mots de passe. L’une des meilleures solutions consiste à chiffrer ses mots de passe à l’aide d’un logiciel gratuit tel que DiskCryptor, AxCrypt, etc. Même en cas d'attaque, ils demeureront ainsi inaccessibles et inutilisables.

Profiter de l’authentification à double facteur


De plus en plus de services web proposent l'authentification à deux facteurs pour renforcer l’accès aux comptes. En plus des informations d'identification traditionnelles telles que le nom d'utilisateur et le mot de passe, les utilisateurs sont invités à confirmer leur identité avec un code à usage unique envoyé sur leur smartphone ou par email. Grâce à cette méthode, il n’est plus possible pour un attaquant d’accéder à un compte même s’il est parvenu à deviner ou déchiffrer le mot de passe de ce dernier.

Utiliser un gestionnaire de mots de passe


Au fil du temps, les internautes ont de plus en plus de comptes et par conséquent d’identifiants et de mots de passe à gérer. Les gestionnaires de mots de passe constituent sans doute la meilleure solution pour accéder à ses comptes en toute sécurité. Avec ce type d’outils protégé par un mot de passe maître, il n’est plus nécessaire de mémoriser des dizaines de sésames, mais un seul ! Les gestionnaires de mots de passe ne se contentent pas de stocker les mots de passe, ils permettent de générer des mots de passe forts et uniques pour chaque compte et de les stocker dans un espace chiffré sécurisé. Lorsqu’on se connecte sur un service, il suffit de cliquer sur le gestionnaire de mots passe pour remplir automatiquement les champs de connexion des différents services.

Une solution moderne et universelle

Les gestionnaires de mots de passe sont devenus des outils quasi indispensables à notre quotidien. Compatibles avec les différents environnements (Windows, macOS, et Linux), ils fournissent également des extensions pour les différents navigateurs Internet, ainsi que des applications pour les terminaux mobiles Android et iOS. La plupart d'entre eux permettent en outre de synchroniser automatiquement ses mots de passe sur tous ses appareils et d'y avoir accès partout et à tous moments.

Certains proposent également de vérifier la qualité des mots de passe utilisés et de savoir s’ils ont été compromis.

La suite de sécurité Bitdefender Total Security, notre partenaire pour cet article, intègre un excellent gestionnaire de mots de passe baptisé « Password Manager » permettant de stocker tous ses mots de passe et de les synchroniser de manière cryptée sur ses différents appareils via le cloud. Une solution idéale pour assurer sa sécurité sur Internet et ne plus jamais avoir à se soucier de ses mots de passe.

Découvrez notre test de Bitdefender Total Security, actuellement classé parmi les meilleures solutions de sécurité dans les tests indépendants (AV-TEST et AV-COMPARATIVES) ainsi que meilleur antivirus 2021 dans notre comparatif des meilleures suites de sécurité :

  • Excellent rapport fonctionnalités/prix
  • Efficacité sans faille
  • Impact léger sur les performances
  • Bon confort d'utilisation, logiciel très autonome