Cybersécurité & password

17.03.2022  • Cécile Meriguet

Aujourd’hui, la digitalisation et la dématérialisation des supports se sont largement démocratisées, nous obligeant à multiplier la création d’espaces personnels sur Internet. Retenir une multitude de mots de passe n’est pas forcément une tâche simple pour tout le monde et pousse donc de nombreuses personnes à créer des mots de passe faibles (souvent plus facile à retenir) ou bien à utiliser le même mot de passe pour plusieurs comptes en ligne.

Quels sont les enjeux de la création d’un mot de passe fort ?

Que ce soit dans le cadre privé ou dans le cadre professionnel, utiliser un mot de passe fort est très important pour protéger ses données personnelles.

Se faire pirater son mot de passe peut avoir un impact grave sur la vie privée ou la vie d’une entreprise (usurpation d’identité, vol de données, atteinte à notre image ou notre réputation, attaque de nos propres contacts, clients, prospects, etc)

Parmi les techniques les plus utilisées pour pirater un mot de passe, on retrouve les attaques par brute force, l’hameçonnage (ou phishing), l’attaque par l’homme du milieu (man-in-the-middle), les logiciels malveillants et l’exploitation de fuite de base de données.

Brute force

La technique “brute force” consiste à tester une infinité de combinaisons. Une attaque par brute force aboutit lorsque la combinaison testée correspond au mot de passe. Plus le mot de passe est long, moins il sera facile de réussir une attaque avec cette méthode.

Hameçonnage

Selon la définition du site www.cybermalveillance.gouv.fr “L’hameçonnage ou phishing en anglais est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance”. Cette pratique est assez courante et beaucoup d’entre nous ont déjà été confrontés à ce genre d’attaque. Ces attaques ciblent quasiment la totalité des utilisateurs puisqu’elles sont pratiquées à la fois par SMS, par mail et sur les réseaux sociaux.

Pour éviter d’être victime de ces attaques, voici les conseils du gouvernement :

  • Ne communiquez pas d’informations sensibles (mot de passe, données bancaires, etc) par messagerie ou téléphone.
  • Avant de cliquer sur un lien douteux, positionnez le curseur sur ce lien (sans cliquer) pour le vérifier. Le lien s’affiche généralement dans le coin inférieur gauche de votre navigateur.
  • Vérifiez l’adresse du site qui s’affiche dans votre navigateur.
  • En cas de doute, contactez l’organisme concerné.
  • Utilisez des mots de passe forts et différents pour vos comptes en ligne.
  • Activez la double authentification si le site le permet.

L’homme du milieu (man-in-the-middle)

Cette technique vise à intercepter de l’information entre 2 entités. Ces attaques sont souvent utilisées sur des réseaux publics et/ou sur des connexions non sécurisées.

Pour se prémunir au maximum de ces attaques, il faut :

  • Éviter de se connecter à des réseaux publics ou bien utiliser un VPN lorsque c’est le cas.
  • Veiller à se connecter seulement à des sites avec un certificat SSL à jour (présence du HTTPS).
  • Faire les mises à jour des logiciels et applications ainsi que son système d’exploitation.

Fuite de données

Il arrive que les bases de données des applications ou services que nous utilisons subissent également des attaques et vol de données.
Voici un article qui liste quelques exemples des plus grands vols de données : World’s Biggest Data Breaches & Hacks

A l’échelle de l’utilisateur, il est impossible de prévenir ce type d’attaque. En revanche, nous vous donnons 2 conseils pour limiter au maximum les effets secondaires :

  • Testez si vos données ont déjà fuité avec l’outil Have I been pwned?. Il suffit de renseigner votre adresse mail et l’outil vous retournera les plateformes sur lesquelles vos données ont fuité. Si c’est le cas, il faudra rapidement modifier votre mot de passe et ne plus l’utiliser.
  • Utiliser un mot de passe unique pour chaque compte.

Malware

Un malware est un logiciel malveillant qui peut s’introduire sur votre machine et qui vise à voler des données, chiffrer ou supprimer des données, modifier ou détourner des fonctions du système, espionner l’activité de l’utilisateur.
Le meilleur moyen de se prémunir contre les logiciels malveillants est de maintenir son système et ses applications à jour et s’assurer d’avoir un antivirus à jour sur sa machine.

Qu’est ce qu’un mot de passe fort ?

Un mot de passe est considéré comme fort lorsque sa résistance est suffisamment élevée pour le rendre presque impossible à hacker avec la méthode brute force. La CNIL (Commission Nationale Informatique & Libertés) considère qu’un mot de passe fort doit contenir au minimum 12 caractères et 4 types différents (minuscules, majuscules, chiffres et caractères spéciaux).

Astuces pour créer et retenir un mot de passe fort

Créer un mot de passe

Créer un mot de passe fort n’est pas une tâche évidente et le retenir l’est encore moins. Heureusement, il existe des méthodes pour rendre cette tâche plus facile.
La CNIL propose par exemple un outil pour générer un mot de passe fort, tester l’outil ici.
Le fonctionnement de ce générateur est très simple, il suffit de mémoriser une phrase.

Par exemple : “Aussi loin que je me souvienne, j’ai toujours voulu être un gangster”. Les Affranchis, Henry Hill – 1990
En suivant les règles suivantes :

  • Conserver les majuscules, nombres et ponctuations
  • Prendre les premières lettres de chaque mot, conserver tous les nombres et ponctuation.
  • Cela donne le mot de passe suivant : “Alqjms,jtvêug”.LA,HH-1990

Utiliser un gestionnaire de mots de passe

La bonne pratique que nous recommandons également est d’utiliser un gestionnaire de mots de passe. Que ce soit dans le cadre privé ou professionnel, le gestionnaire permet de stocker l’ensemble de ses mots de passe de manière sécurisée. Le seul point important sera de créer et retenir un mot de passe (le plus fort possible) pour accéder au coffre-fort de mots de passe.

Voici quelques exemples de gestionnaires de mots de passe recommandé par la CNIL pour une utilisation dans le cadre privé :

Dans le cadre professionnel, nous recommandons le gestionnaire de mot de passe sécurisé Zoho Vault, facile d’utilisation et ergonomique il s’intègre à la suite d’outils professionnels Zoho One qui sont conçus et optimisés pour les professionnels. La particularité de cet outil est qu’il permettra aux utilisateurs de partager des mots de passe entre les collaborateurs d’une même équipe ou bien tout simplement stocker des mots de passe personnels.

Boîte à outils de sécurité :

Directrice Associée et Directrice conseil
Voir l’étude de cas
Lire l’article
Lire l’actualité
En savoir plus
En savoir plus
Voir le témoignage
Fermer