La création de mots de passe forts et leur mise à jour régulière constituent la première ligne de défense des informations personnelles et corporate. La mise en place d’une stratégie simple à gérer pour vos mots de passe (mais néanmoins suffisamment réfléchie pour que d’autres ne puissent la deviner) est un effort essentiel de cybersécurité auquel chaque collaborateur ou particulier doit contribuer.
Les risques de cybersécurité associés aux mots de passe
Selon le Verizon Data Breach Investigations Report, 81% des piratages tirent parti de mots de passe faibles. Cette problématique s’accentue si des mots de passes sont réutilisés d’un compte à un autre. Si un de ces comptes est piraté et que les identifiants se retrouvent sur le dark web, les cybercriminels, qui savent qu’une telle réutilisation est courante, tenteront de se connecter à d’autres comptes à l’aide de ces identifiants, jusqu’à accéder à l’un d’entre eux.
Ce risque est important quand on sait que 83% des personnes déclarent réutiliser les mêmes identifiants pour différents sites/comptes. Vous pensez peut-être que cette pratique est peu risquée pour des comptes n’hébergeant aucune donnée sensible ? Sauf qu’un seul de ces comptes permet de se mouvoir latéralement sur les réseaux à la recherche de données corporate ou personnelles.
La sécurité physique des mots de passe est également critique. En moyenne, aux États-Unis, une adresse email est associée à 130 comptes. Face à cette multitude de mots de passe à retenir, de nombreux utilisateurs avouent avoir déjà inscrit ces identifiants sur papier ou sur une liste non-sécurisée et présente sur leur ordinateur. On imagine facilement qu’en cas de perte ou de piratage, ces éléments finiront entre de mauvaises mains.
Qu’entend-on par mot de passe faible ?
Pour faire simple, un mot de passe est considéré comme faible s’il demande peu d’efforts à un hacker pour le pirater. En réalité, les hackers tenteront de le deviner à l’aide de bases de données propres qui associent des mots, phrases et chiffres.
Parmi les mots de passe les plus communs, on compte les noms d’équipes de sport, ainsi que des variantes de 123456789 ou d’AZERTY. De manière générale, il s’agit d’éviter ces schémas communs et trop simples :
● Dates d’anniversaires
● Numéros de téléphone
● Noms associés à des films ou équipes sportives
● Le masquage basique d’un mot commun (M0T2P@SSE)
Les cybercriminels peaufinent constamment leurs armes pour réussir leurs intrusions et générer des revenus et profits réguliers. Si votre mot de passe est déchiffré ou volé, vous ne vous en rendrez compte que si des achats suspects apparaissent sur votre relevé de compte. Mais un tel piratage pourrait ne pas vous impacter du tout. En effet, les données accessibles via votre compte piraté peuvent très bien servir à un assaillant pour accéder à des données et ressources d’une personne ou entité tierce.
L’utilisation d’un mot de passe fort sous forme de phrase (passphrase) constitue un moyen simple et efficace pour protéger vos dispositifs et vos données personnelles contre les cybermenaces. En clair, plus le mot de passe est long et complexe, plus il sera difficile à « cracker ». Mais il s’agit aussi de le définir selon une certaine logique pour éviter de l’oublier.
6 bonnes pratiques pour des mots de passe sécurisés
Un mot de passe est un peu comme une brosse à dents : il doit être bon, il ne se partage pas et se remplace chaque trimestre. Un bon mot de passe est une passphrase forte, que vous n’oublierez pas, mais qui reste néanmoins difficile à deviner, même par ceux qui connaissent bien les détails de votre vie personnelle. Le pire des mots de passe est celui qui est utilisé par tous, qui se devine facilement ou qui utilise des phrases et mots communs.
Pour créer de nouveaux mots de passe ou mettre à jour ceux déjà existants, voici 6 pratiques à retenir pour éviter qu’ils ne soient déchiffrés.
1. Pour une couche supplémentaire de sécurité, préférez une authentification à facteurs multiples lorsque possible. Cette technique permet de confirmer votre identité en associant différents facteurs basés sur une information que vous connaissez ou un élément dont dispose le gestionnaire de votre compte. Il s’agit par exemple d’un code d’accès mis à disposition sur votre smartphone.
2. À chaque compte, son mot de passe.
3. Changez votre mot de passe au moins tous les trois mois, pour verrouiller les cybercriminels susceptibles d’utiliser votre compte à votre insu, vous protéger des attaques de type force brute et éviter que les cybercriminels qui achètent des listes d’identifiants ne puissent réussir leurs intrusions.
4. Méfiez-vous des regards indiscrets lorsque vous saisissez vos mots de passe.
5. Soyez attentifs lorsque vous téléchargez des fichiers à partir d’Internet puisqu’ils peuvent contenir des malwares d’enregistrement de frappe et de copie des mots de passe. Il s’agit donc de procéder régulièrement à des analyses pour repérer la présence d’un tel malware.
6. Faites appel à un service cloud de gestion de mots de passe pour vous aider à créer et stocker des mots de passe forts, une option très pertinente si vous disposez de multiples comptes nécessitant un mot de passe fort. Ces outils de gestion vous permettent de stocker en toute sécurité une liste de mots de passe dans le cloud et d’y accéder à partir de tout équipement. Vous n’avez donc plus qu’à vous souvenir d’un seul mot de passe pour accéder à cet outil, tandis que les mots de passe stockés peuvent être d’autant plus complexes et forts que vous n’aurez pas à vous en souvenir.
En matière de sécurité des mots de passe, chacun joue un rôle essentiel pour protéger les informations personnelles et les données corporate. Les équipes IT et les utilisateurs sont invités à se pencher sur les risques que les mots de passe faibles font peser sur les organisations, tout en sensibilisant les utilisateurs aux meilleures pratiques. Le simple renforcement des mots de passe aide les collaborateurs à mieux protéger leurs données, tout en minimisant l’impact des menaces internes fortuites sur les entreprises.
Christophe Auberger, Director Systems Engineering, Fortinet