Chaque année, le 7 mai, la journée mondiale du mot de passe rappelle aux employés et aux utilisateurs l’importance d’utiliser des mots de passe forts et sécurisés.
Dans le monde actuel, où règnent la surabondance d’informations et les innombrables services numériques, ce conseil est plus pertinent que jamais. Pourtant, des rapports récents montrent que de nombreuses personnes ne parviennent toujours pas à le suivre.
Pour avoir une idée de la situation actuelle : selon Google, environ un quart des utilisateurs dans le monde ont utilisé des mots de passe faibles comme « motdepasse », « 123456 » ou « azerty » pour « protéger » leurs comptes. De plus, un utilisateur sur trois ne prend jamais la peine de changer son mot de passe.
Cependant, atteindre un niveau de protection solide pour les comptes de messagerie, les sites de commerce électronique, les réseaux sociaux, les CMS, les systèmes Cloud, etc. n’est pas aussi difficile qu’il y paraît. Tout commence par reconnaître l’importance de la sécurité des mots de passe et par le suivi de quelques règles simples. Quant à la fréquence à laquelle les mots de passe doivent être modifiés, la réponse est aussi fréquemment que possible – au moins tous les 3 à 6 mois.
8 règles pour créer un mot de passe fort
Voici quelques conseils clés pour créer un mot de passe offrant un niveau de protection solide :
- N’utilisez pas de chiffres ou de lettres séquentiels (par exemple, « 123456 » ou « abcdef »).
- Évitez d’inclure votre date ou votre mois de naissance.
- Utilisez une combinaison d’au moins 8 caractères, y compris des lettres, des chiffres et des symboles.
- Combinez des mots sans rapport qui n’ont aucun lien direct avec le mot de passe ou la phrase secrète.
- N’utilisez pas de détails personnels, tels que les noms de membres de votre famille, vos loisirs ou vos adresses.
- Utilisez un gestionnaire de mots de passe pour stocker vos mots de passe en toute sécurité.
- Ne recyclez jamais les anciens mots de passe.
- Changez votre mot de passe tous les 3 à 6 mois.
Comment fonctionne l’authentification à deux facteurs
L’une des meilleures façons d’améliorer la protection des comptes numériques est d’activer l’authentification à deux facteurs (2FA) dans la mesure du possible.
Comme son nom l’indique, la 2FA ajoute une couche de sécurité supplémentaire aux comptes en ligne en exigeant un identifiant d’accès supplémentaire en plus du nom d’utilisateur et du mot de passe habituels.
Il existe trois principaux types de 2FA :
- Authentification basée sur les connaissances : cela inclut des informations que seul le propriétaire du compte connaît, telles que les réponses aux questions de sécurité ou les numéros PIN.
- Authentification basée sur la possession : ils s’appuient sur quelque chose que possède le propriétaire, comme des jetons de sécurité ou des applications mobiles spécifiques qui génèrent des codes d’authentification.
- Authentification biométrique : cela implique des caractéristiques biologiques uniques du propriétaire, telles que des empreintes digitales ou la reconnaissance de la rétine.
Que sont les attaques par force brute ?
La force brute est une technique de piratage qui utilise une approche par essais et erreurs pour déchiffrer les mots de passe, les informations d’identification d’accès et les clés de cryptage. Bien que basique, il s’agit d’une méthode fiable pour obtenir un accès non autorisé à des comptes privés ou à des réseaux d’entreprise.
Essentiellement, l’attaquant effectue des tentatives répétées en saisissant des noms d’utilisateur et des mots de passe dans un grand nombre de combinaisons jusqu’à ce qu’il trouve les informations d’identification correctes.
Il existe plusieurs formes d’attaques par force brute :
- Attaques simples par force brute : le pirate essaie de deviner manuellement les informations d’identification d’accès sans utiliser aucun logiciel.
- Attaques par dictionnaire : l’attaquant sélectionne une cible et teste les combinaisons possibles en fonction de mots ou de phrases courants liés au nom ou aux informations de l’utilisateur.
- Attaques hybrides par force brute : une combinaison des deux premières méthodes, où l’attaquant utilise à la fois des suppositions manuelles et des tentatives assistées par logiciel.
- Attaques par force brute inverse : l’attaquant commence avec un mot de passe connu, souvent obtenu via une violation du réseau, puis le teste avec des millions de noms d’utilisateur pour trouver une correspondance.
- Bourrage d’identifiants : cette méthode exploite l’utilisation généralisée de mots de passe faibles. Les pirates informatiques utilisent des combinaisons volées de noms d’utilisateur et de mots de passe provenant d’autres comptes piratés pour accéder à des comptes supplémentaires.
Les dangers du phishing
Le phishing consiste à envoyer des messages frauduleux qui incitent les utilisateurs à divulguer leurs informations personnelles, souvent sous couvert de résoudre des problèmes techniques. Ces messages peuvent être aussi bien flagrants qu’évidents ou encore plus subtils et convaincants.
La forme la plus courante de phishing consiste à recevoir un faux e-mail qui demande au destinataire de fournir des informations personnelles ou qui contient un logiciel malveillant qui s’installe sur l’appareil de l’utilisateur s’il interagit avec lui.
Une autre tactique courante consiste à envoyer des e-mails de phishing qui semblent provenir d’une personne figurant dans la liste de contacts de l’utilisateur, ce qui donne à l’arnaque une impression d’authenticité et augmente les chances que la victime y tombe.
Une variante plus ciblée du phishing, connue sous le nom de whaling (ou whale phishing), fonctionne de manière similaire mais se concentre sur des individus de haut rang, tels que les cadres d’une entreprise. Ces attaques visent à exploiter l’autorité et l’accès de ces individus, conduisant souvent à des violations plus importantes.
