.png)
Les mots de passe sont comme les sous-vêtements : ne les laissez pas voir, changez-les très souvent et ne les communiquez pas à des inconnus.
- Chris Pirillo
La cybersécurité ne se résume pas à la compréhension de cadres complexes ou à l'obtention de certifications. Il s'agit de faire preuve de proactivité, d'apprendre en permanence et d'adopter des habitudes quotidiennes qui renforcent vos défenses numériques. L'une des pratiques quotidiennes les plus importantes consiste à sécuriser ses mots de passe.
Nous sommes tous habitués à ce qu'on nous dise de ne pas utiliser le même mot de passe pour plusieurs services. Les mots de passe doivent également être forts, c'est-à-dire suffisamment longs et variés. Pour la plupart d'entre nous, deux objectifs opposés ont été énumérés ici. Personne ne peut se souvenir de mots de passe longs et obscurs, et nous finirons donc inévitablement par commettre de graves erreurs de sécurité si nous n'agissons pas de manière planifiée, en utilisant un système pour gérer les mots de passe en toute sécurité.
.png)
Les fuites de données sont fréquentes. De nos jours, presque tous les jours, on peut lire de nouvelles fuites de données dans les actualités. Certaines fuites de données impliquent une fuite directe d'informations sur les mots de passe, comme la fuite de 164 millions d'utilisateurs de LinkedIn en 2016 - et la fuite de 10 milliards de mots de passe pour le piratage d'un forum en 2024 avec des mots de passe en langage clair. En 2024, Meta a été condamné à une amende pour avoir stocké 600 millions de mots de passe Facebook et Instagram en clair. Outre les mots de passe, les fuites de données révèlent généralement des secrets commerciaux ou des informations personnelles, ce qui permet aux fraudeurs de créer des tentatives d'hameçonnage plus convaincantes.
Avez-vous déjà lu un article sur une fuite de données qui affirmait avec assurance que "les mots de passe ayant fait l'objet de la fuite étaient finalement cryptés"? En général, chaque service en ligne géré intelligemment a crypté les mots de passe à l'aide d'un algorithme de cryptage et les a salés, mais cela n'empêche pas les mots de passe d'être divulgués.
Lorsqu'un fraudeur met la main sur une liste de mots de passe cryptés à l'aide d'un algorithme de cryptage, il lance un programme de craquage de mots de passe. Une fois que les informations ont été divulguées, le piratage peut être effectué hors ligne et les restrictions concernant le nombre de tentatives de saisie d'un mot de passe réel, telles que celles utilisées dans les formulaires de connexion en ligne, n'existent plus. Avec la puissance informatique moderne, un mot de passe de 8 caractères utilisant les méthodes de cryptage les plus courantes peut être déchiffré en quelques minutes.
Nous vivons dans un monde numérique où nous faisons des achats en ligne, entretenons des relations sociales - en fait, nous effectuons toutes sortes de transactions et d'affaires. Nous devrions nous en préoccuper davantage que nous ne le faisons habituellement.
Un pirate peut parfois essayer d'installer sur votre appareil un "enregistreur de touches" qui suit vos clics, ou un programme qui duplique l'écran de votre téléphone, et en déduire votre mot de passe, mais l'utilisation sécurisée de l'appareil peut avoir une incidence considérable sur ce type d'opération. En ce qui concerne les fuites de mots de passe de services en ligne et leur déchiffrement à l'aide d'un simple logiciel de déchiffrement de mots de passe, la longueur du mot de passe influe directement sur le temps qu'il faut pour le déchiffrer. Ces programmes essaient différentes combinaisons jusqu'à ce qu'ils obtiennent le bon résultat. Un mot de passe de 5 caractères prend quelques secondes, un mot de passe de 10 caractères prend des années.
La puissance de calcul et les méthodes utilisées par les pirates pour apprendre à déchiffrer les mots de passe ne cessant de s'améliorer, ces temps de déchiffrement sont de plus en plus courts.
Bien entendu, ils essaient également de vous soutirer directement votre mot de passe
Le phishing est l'un des problèmes de sécurité les plus courants. Il s'agit d'un escroc qui tente d'usurper l'identité de votre carte de crédit et de vous faire donner des informations confidentielles - par exemple, votre identifiant de connexion au service en question. Les escroqueries par hameçonnage sont aujourd'hui très sophistiquées et il n'est pas toujours facile de savoir s'il s'agit d'une escroquerie ou d'une demande légitime.
L'un des mots de passe les plus populaires semble être l'éternel "password". On peut le trouver sur le site web susmentionné https://haveibeenpwned.com/Passwords, qui a fait l'objet d'une fuite avec des millions d'identifiants d'utilisateurs, et pourtant il figure toujours dans le "top ten" des mots de passe les plus populaires dans les dernières enquêtes. L'ingéniosité consistant à remplacer o par 0 ou a par @ ne suffira pas non plus à sauver la situation. Voici les résultats de haveibeenpwned, qui montrent combien de fois le mot de passe en question a été impliqué dans des fuites de données :
Lorsque je teste le mot de passe aléatoire "8oQ%z7$hJTOL3!RV" recommandé par mon système de gestion des mots de passe sur le site, la réponse est zéro fois. Il est donc judicieux de trouver des outils qui vous permettent d'utiliser des mots de passe aléatoires que vous n'avez pas besoin de connaître vous-même, et encore moins d'essayer de vous en souvenir.
Aleksi86 ! ou Tampere20#. Cela ressemble-t-il à un style de mot de passe familier ? La plupart des mots de passe que vous créez vous-même sont en fait très courants et prévisibles. Par exemple, nous commençons par un nom, un lieu ou un autre mot courant, éventuellement en majuscules. Nous poursuivons par un chiffre et terminons par un caractère spécial courant, obligatoire ( !, @, # ou autre).
Le résultat est que c'est le type de schéma auquel un programme de craquage de mot de passe peut s'attendre, et qu'il fait de nombreuses suppositions correctes avant même que le craquage du mot de passe ne commence. Les fuites de mots de passe sont si nombreuses que les craqueurs connaissent très bien les techniques courantes de dénigrement des mots de passe - ne les utilisez donc pas et contentez-vous de mots de passe totalement aléatoires.
Vous avez peut-être entendu dire qu'il est plus judicieux d'utiliser un mot de passe de quatre mots plutôt qu'un mot de passe plus court, par exemple. Cela peut effectivement être plus sûr, mais n'est souvent pas du tout pertinent, car chaque système nécessiterait de toute façon un mot de passe différent. Si quelqu'un peut se souvenir de 100 mots de passe de quatre mots, qu'il le fasse. Pour la plupart d'entre nous, il est inutile d'essayer de rendre les mots de passe mémorables - il y en a tout simplement trop à retenir, même s'ils sont très simples.
Une personne moyenne réutilise chaque mot de passe 14 fois. La réutilisation des mots de passe sur plusieurs comptes est une erreur grave. Si un compte est compromis, tous les autres comptes avec le même mot de passe sont en danger. Cette pratique peut entraîner un effet domino, où la violation d'un service peut exposer des informations sensibles sur plusieurs plateformes.
Si les mots de passe ne sont pas réutilisables, l'idée de créer votre propre algorithme inventif pour générer des mots de passe peut vous venir à l'esprit. Toutefois, les escrocs craqueurs de mots de passe et les logiciels qu'ils utilisent sont généralement au moins aussi inventifs. Si vous utilisez une méthode astucieuse pour générer des mots de passe, la divulgation d'un mot de passe signifie généralement qu'il ne faut pas beaucoup d'efforts pour déduire la méthode elle-même et les autres mots de passe.
Honnêtement, vous souvenez-vous d'avoir possédé un compte dont le mot de passe est toujours le même, année après année ? Certaines plateformes peuvent obliger les utilisateurs à changer régulièrement de mot de passe, et même si cette tâche peut sembler fastidieuse lorsqu'elle survient au pire moment, les avantages qui en découlent en valent la peine. Toutes les brèches et vulnérabilités ne sont pas détectées immédiatement. Si un mot de passe est exposé lors d'une violation de données ou par le biais d'un logiciel malveillant, le fait de le mettre à jour régulièrement minimise la fenêtre d'opportunité pour un attaquant de l'exploiter.
L'authentification multifactorielle, ou plus communément appelée MFA, ajoute une couche supplémentaire de sécurité en exigeant une autre forme de vérification en plus du mot de passe choisi. Il peut s'agir d'un code de message texte, d'une application d'authentification ou d'un facteur biométrique tel qu'une empreinte digitale ou une reconnaissance faciale. Ainsi, même si un mot de passe est compromis, l'AMF peut empêcher tout accès non autorisé. Sans MFA, votre compte dépend uniquement de votre mot de passe, ce qui augmente la vulnérabilité.
.png)
L'utilisateur moyen possède plus de 90 comptes en ligne nécessitant des mots de passe. Que faire alors si l'on veut garder ses mots de passe en sécurité ? Vous devez utiliser un logiciel conçu pour la gestion des mots de passe.
Ces logiciels sont comme le petit livre noir dans lequel vous notez tous vos mots de passe, mais ils sont cryptés et plus faciles à utiliser. La protection des mots de passe est une compétence essentielle de ces fournisseurs de gestion de mots de passe, et LastPass, par exemple, décrit de manière assez détaillée les principes qu'ils ont utilisés pour construire une protection multicouche pour nos "coffres-forts". Leur objectif est de garantir que, même en cas de violation, le contenu crypté des coffres-forts ne soit jamais compromis. En outre, il est également dans l'intérêt d'un tel fournisseur de vérifier que les mots de passe divulgués par d'autres services ne correspondent pas aux mots de passe principaux des utilisateurs. Il est bon d'avoir un tel partenaire dans sa vie quotidienne.
Le système de gestion des mots de passe vous permettra toujours de décider, au moment de l'enregistrement, de la complexité du mot de passe cette fois-ci, et de le mémoriser pour vous. Les systèmes de gestion des mots de passe sont également conçus pour fonctionner avec plusieurs appareils. Que vous vous inscriviez à un nouveau service à partir de votre téléphone, de votre ordinateur portable ou de votre tablette, votre mot de passe et votre nom d'utilisateur sont automatiquement placés dans un coffre-fort où ils peuvent être récupérés lors de votre prochaine connexion, quel que soit l'appareil que vous utilisez.
Il reste encore au moins un défi à relever. Comment trouver un mot de passe suffisamment fort pour le système principal de gestion des mots de passe ? Dans ce cas, la phrase de passe mentionnée plus haut pourrait fonctionner. Pour obtenir de l'aide ou des idées sur la manière de créer une phrase de passe, consultez par exemple le site severalpassphrase.com.
La deuxième option consiste à faire confiance à votre mémoire et à vous forcer à utiliser le mot de passe principal suffisamment souvent pour ne pas l'oublier. Cela fonctionne généralement assez bien pour les codes de passe de votre téléphone ou de votre tablette, par exemple, dont vous devrez bien sûr vous souvenir pour accéder au gestionnaire de mots de passe.
De nombreux utilisateurs tombent dans des pièges courants tels que l' utilisation de mots de passe faibles, la réutilisation du même mot de passe sur différents comptes ou l'utilisation d'informations faciles à deviner, ce qui accroît considérablement leur vulnérabilité. En outre, si les mots de passe ne sont pas mis à jour régulièrement, les comptes peuvent être attaqués.
Heureusement, des outils tels que les systèmes de gestion des mots de passe et l'authentification multifactorielle permettent de renforcer les mesures de sécurité. Un gestionnaire de mots de passe simplifie la création et le stockage de mots de passe sécurisés, tandis que l'authentification multifactorielle ajoute une couche de défense supplémentaire essentielle, rendant l'accès non autorisé aux pirates beaucoup plus difficile. Se souvenir de ces conseils et de ces erreurs courantes n'est pas seulement judicieux, mais nécessaire pour protéger votre identité numérique.
