Sécurité : quand votre mot de passe est le maillon faible

Publié par Laisser un commentaire

Applications, site de commande en ligne, espaces personnels,… nombreux sont les endroits où nous devons nous identifier pour obtenir une information ou s’inscrire à un événement. Point commun ? Le mot de passe demandé. Oubliez le prénom de votre chien ou votre date de naissance, les pirates connaissent tout de votre vie… Au travers de cet article, nous allons vous expliquer comment vous protéger contre le piratage de votre mot de passe.

Quelques contre-mesures servant à sécuriser son mot de passe

D’abord, rappelons-le, il n’existe pas de sécurité à 100%. Quand on sait que même le Pentagone arrive à se faire pirater… L’essentiel cependant est de limiter les possibilités d’accès à vos données personnelles.

Pour être sûr de disposer d’un mot de passe sécurisé, il faut connaître quelques techniques de piratage (hacking en anglais). Techniques que nous allons voir en détail ci-après :

La technique de l’attaque par « force brute »

Soyons clairs, cette technique est longue et fastidieuse à mettre en place. Même si elle a su porter ses fruits, elle est plutôt abandonnée par les pirates. Mais il est quand même essentiel de la connaître.

Elle repose sur le fait de tester une série de caractères connus (par exemple les mots existants dans le dictionnaire) ou des suites logiques de chiffres ou de lettre (123456789 ou abcdefgh….).

 Ainsi pour se protéger efficacement, la première règle consiste à privilégier un mot de passe long et ne disposant pas de caractère qui se suivent.

 Les exemples à ne pas suivre :

  • abcdefghijklmnopqrstuvwxyz : Le mot de passe est certes long, mais très peu complexe.
  • *e3Q : Le mot de passe est complexe mais très court.
  • JeanDupond67 : Le mot de passe est correct en longueur et normalement complexe, mais avoir son nom, département ou autres informations facilement trouvables par modèle ou dans un dictionnaire n’est pas recommandé (du tout).

 Ce que nous vous recommandons :

  • J34N-DuP0Nd-six7 : Ce mot de passe est plutôt long et assez complexe. En revanche, il est plutôt complexe à retenir, mieux vaut privilégier un acronyme ou quelque chose qui nous parle efficacement.

Autre technique : l’ingénierie sociale

« Les pratiques de social engineering exploitent les faiblesses psychologiques, sociales et plus largement organisationnelles pour permettre d’obtenir quelque chose de la personne ciblée (un bien, un service, un virement bancaire, un accès physique ou informatique, la divulgation d’informations confidentielles, etc. ). Utilisant ses connaissances, son charisme, l’imposture et le culot, l’attaquant cherche à abuser de la confiance, de l’ignorance et de la crédulité des personnes possédant ce qu’il souhaite obtenir. » – Wikipédia

Vous le comprendrez, le pirate n’est autre qu’une personne s’étant rapproché de vous uniquement à des fins d’extorsion de votre mot de passe. En abusant de votre confiance, il récupère facilement les informations qu’il souhaite… et vous êtes en plus consentant ! C’est le cas le plus classique et connu des arnaques bancaires.

Dés lors, il s’agit d’un véritable problème de sécurité informatique, pour lequel il n’existe pas de logiciel de protection.

 Deuxième règle : Ne faites pas confiance aveugle aux personnes que vous ne connaissez pas, et faites également attention aux personnes que vous connaissez, elles se sont potentiellement faites pirater.

 Ce que nous vous recommandons :

Vous devez obligatoirement donner votre mot de passe à un technicien pour qu’il vous dépanne ? Si vous n’avez pas d’autre solution, soyez vigilant : communiquez par oral votre mot de passe et uniquement en présence de la personne en face de vous. L’intervention terminée, changez immédiatement votre mot de passe.

Rappelons également que la plupart des techniciens dispose d’un mot de passe « administrateur » leur permettant de se connecter à votre système sans l’utilisation de vos identifiants.

L’intrusion malveillante : virus, malware, chevaux de Troie et autre…

Cette technique – plutôt radicale et efficace – permet au pirate de recevoir, en direct, tout ce que vous tapez à votre clavier : texte simple, mot de passe (affiché ou non avec les étoiles), codes… Cette technique d’intrusion consiste à vous installer, sans que vous vous en apercevez, un logiciel directement sur votre poste. Ils prennent également une autre forme, puisque certains smartphones sont eux aussi touchés !

 Troisième règle : Utilisez prioritairement VOTRE ordinateur et protégez le par un anti-virus

 Ce que nous vous recommandons :

  • Lorsque vous devez taper votre mot de passe, utilisez un clavier virtuel. Certains établissements bancaires appliquent d’ores et déjà cette stratégie.
  • Mettez à jour régulièrement votre anti-virus.
  • Ne téléchargez pas tout et n’importe quoi ! Sous prétexte d’offre alléchante ou d’accéder à un service en particulier, vous pourriez être tenté de télécharger certains contenus… qui peuvent contenir ces fameux virus !

On part à la pêche avec le phishing ou l’hameçonnage

Rien de plus simple, pour comprendre cette technique, de s’imaginer être un poisson dans l’eau. Pauvre victime que vous êtes,  le pécheur (notre pirate) vous a lancé un leurre au bout de son hameçon. Et vous voilà pris dans les mailles de son filet !

En effet, le pirate va vous faire croire que vous êtes sur le vrai site que vous voulez visiter, alors qu’il s’agit en fait d’un site fabriqué toute main, ressemblant à deux gouttes d’eau à l’original, mais permettant au pirate de récupérer vos informations.

 Quatrième règle : vérifiez où vous êtes !

 Ce que nous vous recommandons :

  • Cette technique est assez simple à débusquer : soyez vigilant sur ne nom du site. Par exemple leposte.net est différent de laposte.net. Sauf qu’en lisant rapidement, vous pouvez vous tromper.
  • Un doute ? Au lieu de cliquer sur le lien, tapez le nom de celui-ci dans votre moteur de recherche.
  • La plupart de ces attaques vise les établissements bancaires : vérifiez auprès de votre banque les informations qu’elle pourrait vous demander par mail.
  • N’agissez jamais à chaud et dans l’urgence.

Quand le pirate devine votre mot de passe

Non, il ne s’agit pas d’un tour de magie mais bel est bien d’une devinette facile ! Souvenez-vous la dernière fois que vous avez perdu votre mot de passe. Pour le retrouver, le site en question a dû certainement vous poser des questions que vous avez préalablement rentré lors de votre inscription : le nom de la rue où vous habitiez dans votre enfant, la marque de votre premier véhicule, le nom de votre chien…

Si cela permet à l’utilisateur de retrouver facilement son mot de passe, c’est une belle porte d’entrée aux pirates. D’autant plus que certains sites vus permettent de personnaliser totalement les questions qui vous seront posés… et c’est là où vous choisissez la facilité : ma ville de naissance, le prénom de mon épouse et la couleur du cheval blanc d’Henri IV !

 Cinquième règle : soyez plus malin qu’un pirate 😉

 Ce que nous vous recommandons :

  • Si vous devez choisir les questions, faites-le de manière complexe
  • Imagez vos réponses : si vous devez répondre « Audi » à la question de la marque de votre première voiture, préférez plutôt comme réponse « la marque aux anneaux »…

En résumé, comment optimiser la sécurité de son mot de passe ?

La CNIL illustre la sécurisation de vos mots de passe de cette manière :

UN MOT DE PASSE EN BÉTON

UN MOT DE PASSE EN BÉTON

Un bon mot de passe doit contenir au moins 12 caractères et 4 types différents : des minuscules, des majuscules, des chiffres et des caractères spéciaux. Il peut être plus court si votre compte est équipé de sécurités complémentaires !

IL NE DIT RIEN SUR VOUS

UN COMPTE, UN MOT DE PASSE

Personne ne doit deviner votre mot de passe à partir du nom de votre chien ou de votre film préféré. Idem pour le code de votre smartphone : préférez un nombre aléatoire à une année.

UN COMPTE, UN MOT DE PASSE

IL NE DIT RIEN SUR VOUS

Pour éviter les piratages en cascade, chacun de vos comptes en ligne qui présente un caractère sensible (banque, messagerie, réseau social, etc.) doit être verrouillé avec un mot de passe propre et unique.

 

 

 

Ne jamais l'abandonner en pleine nature

Ne jamais l’abandonner en pleine nature

Les post-it, les fichiers texte, votre smartphone  ou votre boite de messagerie ne sont pas conçus pour sécuriser le stockage de vos mots de passe. Pensez aussi à ne jamais les enregistrer dans le navigateur d’un ordinateur partagé.

Deux cadenas valent mieux qu’un

Quand le service vous le propose, activez la double authentification. Si quelqu’un se connecte à votre compte depuis un terminal inconnu, le site vous prévient par SMS/e-mail. Libre à vous d’autoriser ou de refuser l’accès !

Les retenir sans les écrire

… en travaillant vos neurones

... en reposant vos méninges

Mémorisez une phrase puis utilisez la première lettre de chaque mot pour créer votre mot de passe. La phrase doit contenir des chiffres et des caractères spéciaux ! La CNIL met à votre disposition un générateur qui permet de concevoir votre mot de passe en quelques secondes !

… en reposant vos méninges

... en travaillant vos neurones

Utilisez un gestionnaire de mots de passe ou un trousseau d’accès chiffré pour stocker vos mots de passe en toute sécurité. Vous n’aurez à retenir qu’un mot de passe pour accéder à l’ensemble de vos comptes !