Les mots de passe, toujours sous-estimés : voici pourquoi c'est problématique

Ce n'est pas un hasard s'ils sont partout utilisés en ligne pour protéger nos comptes. Pourtant, malgré de nombreuses alertes et recommandations, les mots de passe sont encore trop souvent pris à la légère. Voici tout ce que vous devez savoir sur le sujet pour sécuriser vos usages digitaux.

En moyenne, selon France Numérique (initiative gouvernementale pour l’aide à la transformation numérique des TPE / PME), nous possédons une centaine de comptes en ligne et autant de mots de passe.

81%

des signalements de violations de données dans le monde sont liés à un problème de mot de passe.

Verizon Business - 2021 Data Breach Investigations Report

Des mots de passe trop simples

Selon les données de la CNIL (Commission nationale de l’informatique et des libertés), en 2021, 60% des plaintes reçues étaient liées à un piratage de mot de passe.

En 2023, d’après une étude de NordPass (gestionnaire de mots de passe), malgré les recommandations, les mots de passe les plus utilisés étaient toujours 123456, azerty, loulou, 00000… autant de "protections" pouvant être récupérées par les hackers·ses en moins d’une minute.

Attention à la récupération de mots de passe…

Le RGPD (Règlement général sur la protection des données) est formel : si vous avez oublié votre mot de passe et que vous faites une demande au site, l’entreprise doit vous renvoyer un lien de réinitialisation de mot de passe... et surtout pas le mot de passe saisi !

Pour les responsables de traitement de données, tout contrôle de la CNIL constatant un problème important de sécurité peut mener à une sanction significative : jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros (selon la taille de l’entreprise).

Pour continuer à vous informer sur la sécurité en ligne, abonnez-vous à notre newsletter mensuelle :

❌ 0% publicité
🫀 100% du contenu écrit par un·e humain·e
✏️ Le dessin du mois réalisé par le dessinateur Théo Schulthess
💡 Le meilleur du numérique responsable

Des conséquences lourdes en cas de piratage

Comment vos mots de passe sont-ils récupérés ?

Il existe plusieurs types de piratage :

Le hameçonnage (phishing en anglais) : consiste se faire passer pour un tiers de confiance afin de soutirer des informations à une personne (mots de passe, données de paiement…)

Exemple Hameçonage : UPS SERVICE D'EXPEDITION ET DE LOGISTIQUE INTERNATIONALEIUPS FRANCE Vous avez (1) colis en attente de livraison. Utilisez votre code pour le suivre et le recevoir Cher Client Planifiez votre livraison et abonnez-vous à notre calendrier notifications pour éviter que cela ne se reproduise ! — Exemple d'e-mail d'hameçonnage

L’attaque de l’intercepteur : un·e pirate s’infiltre entre 2 systèmes non compromis, analyse les échanges, le chiffrement et récupère des informations. Le terme technique employé pour désigner ce type d'attaque est "Man-in-the-middle".

Source : NordVPN

L'attaque par force brute : ce type de piratage consiste à essayer, à l’aide d’un logiciel, de nombreuses combinaisons possibles de mots de passe.

Available Dictionaries • 8-more-passwords.txt: Contains passwords with more than 8 characters. Excludes numeric-only passwords, consecutive characters (3 or more), all-lowercase passwords, and passwords without at least one capital letter and one number. Total: 61,682 passwords. • 7-more-passwords.txt: Includes passwords with 7 characters or more. Numeric passwords are removed. Total: 528,136 passwords. • 1000000_password_seclists.txt: A collection of 1,000,000 passwords from SecLists. — Source : bruteforce-database

Quelques exemples tirés de ces dictionnaires :

123456 password 12345678 qwerty 123456789 12345 1234 111111 1234567 dragon 123123 baseball abc123 football monkey letmein 696969 shadow master 666666 qwertyuiop 123321 mustang 1234567890 michael 654321 pussy superman 1qaz2wsx 7777777

Le bourrage d’identifiants : suite à un piratage, les hackers·ses réutilisent des mots de passe récupérés pour tester différentes combinaisons.
L'enregistrement de frappes : des logiciels espions (KeyLogger) enregistrent toutes les données tapées sur les claviers. Certains programmes en open source permettent d'analyser les clics de souris, les caractères saisis... et de les envoyer par e-mail à l'attaquant·e, sans que l'antivirus le détecte.

Démonstration de récupération des touches saisies par e-mail : ben (konu yok) - Key.ctrl a Key.ctrl Key.shift Nfa Key.ctrl ayoutube.com Ke — Source : KeyLogger

Partant du principe que chaque touche fait un son légèrement différent en fonction du processus de manufacture, il existe même des projets de reconnaissance de touches tapées en utilisant le microphone de l'ordinateur - et du machine learning.

Pourquoi des hackers·ses s'intéressent-ils·elles à nos mots de passe ?

Les pirates informatiques ou hackers·ses cherchent à récupérer les mots de passe des particuliers dans le but d’usurper leur identité, subtiliser des coordonnées bancaires, effectuer des transactions en leur nom à leur insu, ou encore leur faire du chantage.

Concernant les entreprises, le piratage industriel avec la récupération de secrets de fabrication ou de méthodes de fonctionnement sont parmi les motivations les plus fréquentes. La violation de données qui en résulte entraîne de lourdes conséquences pour les firmes qui en sont victimes : réputation amoindrie, perte de confiance par les clients, perte de CA, augmentation des coûts d’assurance…

Quelques conseils pour un mot de passe solide

Ne partagez jamais vos mots de passe personnels et évitez d’enregistrer automatiquement vos mots de passe.
- Si jamais vous vous trouvez en situation de devoir partager un mot de passe : envoyez l'identifiant de votre compte avec un outil de mail ou de messagerie et votre mot de passe depuis un autre service, afin qu'il y ait besoin de deux outils pour récupérer vos accès. Après coup, changez votre mot de passe : rien ne vous garantit que votre contact respecte bien les règles de protection des mots de passe.
Les mots de passe longs et complexes sont plus difficiles à récupérer : un mot de passe efficace doit contenir au moins 14 caractères, avec un mélange de majuscules, minuscules, chiffres et caractères spéciaux (par exemple : ! & / ).
La CNIL encourage également les responsables d'outils en ligne à mettre en place l’authentification à deux facteurs. Cette méthode reste l’un des meilleurs moyens pour renforcer la sécurité des données des utilisateurs·rices. Elle impose l’identification par deux moyens différents : un code d’accès et une reconnaissance faciale, ou une suite de chiffres à usage unique envoyée par SMS...
En tant qu'utilisateur·rice, paramétrer l'authentification à deux facteurs sur les services en ligne qui le proposent.

Quelques outils pratiques

Les gestionnaires de mots de passe se révèlent efficaces pour se prémunir du piratage. Ces solutions numériques disposent de plusieurs fonctionnalités :

Génération de mots de passe.
Stockage des identifiants et mots de passe.
Connexion automatique.

France Num recommande d’utiliser Keepass, logiciel français, disponible sur ordinateur ou mobile. Cet outil vous permet de gérer vos mots de passe par vous-même, sans dépendre des serveurs d'une entreprise tierce.

Vous pouvez utiliser un gestionnaire sur votre bureau, votre cloud ou votre navigateur. Mais cette dernière solution est peu recommandée : un pirate informatique pourrait récupérer vos mots de passe en utilisant la fonction “remplissage automatique”. Par exemple, les mots de passe stockés sur Chrome ont attiré l'attention des hackers·ses : certaines extensions leur permettent d'arriver à leurs fins.

Sinon, la CNIL met à disposition un outil pour construire un mot de passe sécurisé, construit à partir de la phrase de son choix.

Que faire en cas de mot de passe volé ?

En cas de piratage, plusieurs actions sont recommandées par le Ministère de l’Intérieur :

Effectuer un signalement au réseau social ou au site web en question afin qu’ils vérifient si la récupération du mot de passe est liée à une faille dans leur système de sécurité.
Réinitialiser son mot de passe.
Saisir la CNIL via un formulaire en ligne .
Changer vos mots de passe sur tous les sites requérant le mot de passe volé : les hackers·ses parcourent de nombreux sites pour tester la combinaison adresse e-mail / mot de passe volé, pour tenter d'accéder à d'autres comptes.

Il est donc essentiel de veiller à sécuriser ses données en utilisant des mots de passes forts, pour éviter tout piratage de vos données et assurer la sécurité de vos informations sensibles. Des outils de création et de gestion de mots de passe sont désormais disponibles pour vous aider. Ceux-ci sont sécurisés mais restent, comme tout système informatique, vulnérables.