Mot de passe à utilisation multiples : bonne idée ?

Mots de passeMot de passePhishing
mot de passe

Mot de passe à utilisation multiples : bonne idée ?

mot de passeNous vous mettons en garde fréquemment, sur les dangers d’utiliser le même mot de passe pour de multiples comptes.

Mais si vous choisissez un mot de passe vraiment long et complexe, en vous arrangeant pour le mémoriser de manière fiable, n’est-ce pas suffisant ?

Même si une chaîne ne peut être plus résistante que son maillon le plus faible, vous serez en sécurité sans aucun doute jusqu’au moment le maillon le plus faible lâchera !

Comment savoir qu’un mot de passe est vraiment efficace ?

Le problème est que l’efficacité d’un mot de passe n’est malheureusement pas fonction, uniquement, du mot de passe que l’on choisit.

En effet, en raisonnant de manière extrême, lorsque vous créez un compte en ligne, vous devez le partagez au moins avec le service auprès duquel vous êtes en train de vous enregistrer.

Même si le mot de passe va directement de votre clavier vers la mémoire de votre ordinateur, et est crypté et décodé seulement lorsque il est stocké en mémoire à l’autre bout de la ligne, il y a toujours le risque qu’un pirate mette la main dessus.

Si vous avez réutilisé le même mot de passe pour d’autres comptes, peu importe qu’il soit complexe ou non, un pirate qui parviendra à mettre la main dessus, aura alors une sorte de passe-partout pour avoir accès total à votre vie en ligne !

Comment la récupération de mots de passe est-elle possible ?

Une faille permettant la récupération des mots de passe, peut très bien se produire à votre niveau.

Vous pouvez avoir été infecté par un malware, même sur une courte durée, qui contient ce que l’on appelle un « keylogger » qui mémorise toutes vos frappes sur le clavier.

Les “keyloggers” enregistrent d’habitude, les lettres frappées à des moments très spécifiques, comme lorsque vous visitez certains sites internet (par exemple, le site de votre banque en ligne), ou bien encore lorsque certains mots apparaissent à l’écran, tels que “identifiant” ou “mot de passe”.

Vous pouvez aussi être dupé par un site d’hameçonnage, qui présente tous les signes d’une vraie page de login, et vous piègera donc en envoyant après coup votre mot de passe à un imposteur.

Une faille permettant la récupération de mots de passe, peut aussi se produire à l’autre bout de la connexion.

Les derniers bugs, au niveau des cartes de crédit chez Target et Home Depot, ont été causés par des malwares sur les caisses enregistreuses, qui ont permis aux pirates de voler des données personnelles directement depuis la mémoire, et avant que ces dernières ne soient cryptées pour transmission et stockage.

Quant à la faille géante chez Adobe en 2013, elle aurait permis le vol de plus de 100 000 000 mots de passe, qui étaient supposés être stockés en toute sécurité !

Le problème avec Adobe, est qu’ils ont cryptés tous les mots de passe avec la même clé d’encodage, et qu’ils ont ensuite stockés les indications de mot de passe sans cryptage !

Ainsi, si quelqu’un avait le même mot de passe que vous, et a négligé l’indication (en effet beaucoup d’utilisateurs utilisent leur mot de passe à titre d’indication !!), votre mot de passe est alors découvert !

Le coût de la répétition

La réutilisation d’un mot de passe est-elle si fréquente que cela ?

Combien de gens utilisent le même mot de passe pour 2 comptes sensibles ?

Un récent reset massif des mots de passe par WordPress nous en dit plus.

Début septembre 2014, des pirates ont mis en ligne sur un forum bitcoin Russe presque 5 000 000 de logins et mots de passe Gmail.

Il n’y a pas eu de faille majeure chez Google, de la même manière que les récentes photos de célébrités nues n’étaient pas la conséquence d’une faille au niveau de l’iCloud.

Les mots de passe ont été dérobés au fur et à mesure, collectés grâce à diverses mauvaises utilisations du système.

Les keyloggers qui envoient de manière non sécurisée des mots de passe via des mails non cryptés, l’hameçonnage et l’engineering social (envoyer des emails ou appeler quelqu’un pour lui extorquer des informations confidentielles) : toutes ces techniques ont pu permettre aux pirates d’obtenir ces mots de passe.

WordPress a trouvé que 700 000 adresses Gmail sur les 5 millions de la liste dérobée (14%), apparaissaient dans la base de données de WordPress.

Parmi ces 700 000 comptes, 100 000 avaient exactement le même mot de passe (14%) que celui de la liste Gmail.

14% reste de trop

A priori, « 1 sur 7 » ne semble pas si mal !

Cela signifie que 6 utilisateurs WordPress sur 7, semblent faire les choses correctement.

Mais ces “1 sur 7” utilisateurs mettent tout le monde en danger bêtement, et pas seulement eux.

Les pirates adorent les comptes WordPress « gratuit », car cela leur permet de publier leur contenu malveillant sur le compte d’autrui, et en utilisant des sites web officiels.

S’ils connaissent votre mot de passe, ils n’ont même pas besoin de s’ennuyer  à courir après des « exploits », qui leur permettraient de s’infiltrer en douce sur vos comptes.

Ils peuvent entrer tout simplement par la grande porte, tout comme vous !

La conclusion ?

Ne simplifiez pas la vie des cybercriminels :

  • Appliquer la règle de base : un compte = un mot de passe.
  • Si vous pouvez mémoriser qu’un seul mot de passe complexe, essayer alors un manager de mot de passe.
  • Changer votre mot de passe dès que possible lorsqu’un pirate vient de mettre la main dessus.
  • Utiliser, si vous le pouvez, le 2FA (two-factor-authentification).

Le 2FA signifie qu’il faut utiliser une application sur votre mobile pour générer un code login à usage unique, ou bien recevoir un code login par SMS.

En ajoutant un autre équipement dans l’équation, en rendant les codes  2FA valides pendant un lapse de temps court (par exemple, 30 secondes), et pour une utilisation unique, vous compliquez grandement la vie d’un pirate qui voudrait se connecter comme vous si c’était vous !

Si vous ne voulez pas faire tous ces efforts pour vous, faite le au moins pour tous les autres utilisateurs !

 


Billet inspiré de : “Is it *really* such a bad idea to use a password twice?” de Paul Ducklin de Naked Security

Partagez “Mot de passe à utilisation multiples : bonne idée ?” avec http://bit.ly/1uhfFfA

2 Commentaires

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.