Si vous vous souvenez de votre mot de passe pour accéder à la messagerie, à Netflix ou à Amazon, vous faites fausse route. Cela signifie que vous avez créé un mot de passe facile à retenir : le nom de votre mère, celui de votre chat, vos vacances ou votre équipe favorite. Ils seront les premiers mots de passe qu’une personne malveillante utilisera pour se connecter à votre place à l’un des services que vous utilisez pour votre travail ou vos loisirs. Et ils le feront après avoir lu vos profils Facebook et LinkedIn, à la recherche de la bonne association. Mais nous devrions tous le savoir maintenant. Mais il s’avère que ce n’est pas du tout le cas. Plusieurs recherches ont montré que les utilisateurs utilisent des mots de passe trop faciles à pirater, et c’est pourquoi nous célébrons le 6 mai la Journée mondiale du mot de passe. Né de l’idée d’un chercheur en sécurité informatique, Mark Burnett, a pour objectif de rappeler à tous l’importance d’un mot de passe sécurisé. Un seul ? Peut-être. Chacun de nous doit avoir au moins 10 mots de passe différents pour le courrier électronique, le streaming vidéo, le registre de l’école et d’autres services et finit donc par utiliser le même qui, une fois compromis, permet de les percer tous.
Vous direz : je n’ai rien à cacher de toute façon ! Faux. Nous avons tous des petits et des grands secrets que nous cachons avec des mots de passe, et il peut être facile pour les cybercriminels – un mari jaloux, un concurrent déloyal ou un détective privé – de trouver le trou dans nos vies pour s’y glisser. Les mots de passe non sécurisés protègent en fait un ensemble de plus en plus important de données personnelles, y compris les “métadonnées” (où, comment, avec qui, quel outil, à quelle heure j’ai communiqué). Ceux qui se sentent intelligents utilisent l’astuce de “camoufler” les mots de passe en remplaçant les lettres par des chiffres ou des symboles spéciaux comme “HacK3r$” mais grâce à la puissance de calcul disponible et aux vocabulaires entiers sur le net qui les traduisent, cela reste une mauvaise idée. Ainsi que l’utilisation de célèbres phrases latines, telles que “Lex dura lex sed lex”, les plus utilisées par les avocats.
Commençons par un fait : selon le rapport d’enquête sur les violations de données de Verizon, 81 % des violations informatiques sont dues à un vol de justificatifs d’identité. En simplifiant, cela signifie que si la majorité d’entre nous s’équipait de mots de passe sécurisés, le nombre de cyberattaques dans le monde diminuerait de façon spectaculaire. En fait, plusieurs études ont montré que sur un milliard d’identifiants analysés, environ sept millions étaient des “123456”, puis les habituels “mot de passe”, “dragon” et “Ronaldo”. La Journée mondiale du mot de passe est un anniversaire important car le nombre de fuites de données, de violations massives de données, notamment de mots de passe, augmente chaque année, générant des vols d’identité et des escroqueries informatiques qui touchent vraiment tout le monde. Malgré cela, les mots de passe sont considérés comme quelque chose d’ennuyeux, nécessitant attention et effort, une nuisance face à la hâte d’accéder à un site, de chatter librement, d’envoyer un document. C’est pourquoi nous prenons des raccourcis dangereux, comme utiliser le même mot de passe pour plusieurs services ou choisir des mots de passe simples et faciles à mémoriser et ne pas les changer après une violation de données. Selon Bitdefender, 66 % des personnes n’envisagent pas de changer leurs mots de passe après avoir pris connaissance de violations de données majeures, et plus de la moitié n’ont pas changé leurs mots de passe au cours des 12 derniers mois. Mais le problème ne concerne pas seulement les utilisateurs ordinaires. Selon Panda Security, 42 % des entreprises s’appuient sur le presse-papiers pour gérer les mots de passe ; 59 % s’appuient sur la mémoire humaine pour gérer les mots de passe ; et 62 % disent ne pas prendre les mesures nécessaires pour protéger adéquatement les données mobiles.
Des mots de passe pour défendre la vie privée
Mais alors, comment choisir un bon mot de passe et comment se protéger ? Tout d’abord, en mettant à jour les mots de passe trop faibles. Plus vos mots de passe sont longs, complexes et absurdes, plus ils seront difficiles à craquer pour un pirate. Ensuite, vous devez protéger vos smartphones, tablettes et ordinateurs avec un code pin, un mot de passe ou un code biométrique. Enfin, adoptez des comportements sûrs. Chaque fois que nous saisissons nos informations d’identification en ligne, nous sommes potentiellement vulnérables : tant les personnes qui nous entourent que les caméras peuvent voir les mots de passe que nous saisissons.
Voici en détail ce que vous devez faire :
- Choisissez un mot de passe (ou une phrase de passe) de plus de 12 caractères qui prend 62 billions de fois plus de temps à pirater qu’un mot de passe à 6 caractères.
- Pour créer un mot de passe fort, vous devez utiliser des chiffres, des lettres, des signes de ponctuation, des majuscules et des minuscules.
- N’utilisez jamais d’informations personnelles (surnoms, noms d’enfants et de footballeurs) ou des phrases et références de chansons et de films célèbres dans votre mot de passe.
- N’utilisez jamais le même mot de passe pour plusieurs services numériques.
- Il n’est pas conseillé d’écrire le mot de passe sur des feuilles de papier, des fichiers ou des agendas ou d’essayer de les mémoriser, il est préférable de pouvoir le régénérer à chaque fois selon un code connu de nous seuls, un calcul complexe, une question abstruse.
- Utiliser une authentification à deux ou trois facteurs comme nous le faisons avec la banque : pour accéder au compte courant, nous utilisons un identifiant, un mot de passe et un mot de passe à usage unique (c’est-à-dire un mot de passe à usage unique généré ad hoc) que nous recevons via une appli ou un téléphone.
- Utilisez un gestionnaire de mots de passe pour stocker et gérer toutes vos informations d’identification. Il s’agit d’un logiciel, gratuit ou payant, qui fait office de “coffre-fort” pratique. Vous l’ouvrez et prenez la clé dont vous avez besoin à ce moment-là de manière automatique.
- Utilisez si possible des systèmes de reconnaissance biométrique tels que l’identification par les empreintes digitales, l’iris ou le visage.
Un monde sans mots de passe
Il faudra du temps pour créer un monde sans mots de passe, mais en avoir un bon nous aide en cas de problème. Pour Cisco, la croissance exponentielle des mots de passe est un phénomène qui génère des coûts supplémentaires et des difficultés de gestion. Les demandes concernant des mots de passe perdus et des connexions incomplètes constituent souvent la majorité des demandes adressées au service d’assistance et au service clientèle, ce qui entraîne une perte de productivité et une augmentation des coûts d’assistance pour l’entreprise. C’est pourquoi elle a annoncé un mode d’authentification sans mot de passe afin que les utilisateurs puissent accéder aux applications en nuage via une clé de sécurité ou par reconnaissance biométrique. Mais il existe des solutions encore plus innovantes, comme celles de la société italienne ToothPic. La start-up turinoise a inventé une solution pour transformer chaque smartphone en une clé sécurisée pour l’authentification en ligne, en exploitant la signature cachée et involontaire que chaque appareil photo laisse derrière lui. Le système stocke les clés de l’appareil utilisé, en les cryptant avec un code secret extrait d’une caractéristique matérielle de l’appareil lui-même : les imperfections de fabrication uniques et non reproductibles des capteurs photo qui font que chaque appareil est différent de tous les autres jamais produits.
