Un vaste piratage de comptes mails a révélé la faiblesse des identifiants du web. Les entreprises sont autant concernées que les personnes. Conseils d’usage.
Le lundi 5 octobre, les identifiants et mots de passe de 30 000 comptes mails enregistrés chez Hotmail, Yahoo, AOL et Gmail ont été publiquement dévoilés sur Internet. Microsoft a d’abord affirmé que ces données ont été illégalement récupérées grâce à la technique de l’hameçonnage ou “phishing”. Elle consiste à utiliser des mails frauduleux, déguisés en requêtes envoyées par des sites de confiance, pour tromper la vigilance des internautes et les amener à entrer leurs informations personnelles sur un site contrefait.
Mais la tactique du phishing n’a pas autant d’ampleur, et un chercheur en sécurité informatique de la société ScanSafe a évoqué une autre hypothèse : les mots de passe, trop faiblement sécurisés, auraient été plus simplement devinés et volés par des programmes automatisés. Parmi les vingt mots de passe les plus utilisés dans la liste de comptes piratés, on retrouve en effet de simples suites de chiffres comme “123456″, “000000″… Après ces attaques à grande échelle, il est donc temps de rappeler quelques recommandations de sécurité.
Motus et bouche cousue
Le conseil peut paraître évident, mais voler le mot de passe de son collègue de bureau est bien plus facile que celui d’internautes inconnus via le web… Si le nombre de mots de passe à retenir nécessite de les lister quelque part, on prêtera donc la plus grande attention à bien protéger ce fichier. La pire des bêtises à faire est de l’enregistrer sur son ordinateur sous un nom transparent, comme “mes mots de passe”. Le camoufler en document de travail et le ranger dans un dossier adéquat est une précaution simple et efficace.
Sur internet comme dans la vie réelle, il est bien sûr interdit de communiquer son mot de passe à qui que ce soit, même à un internaute attentionné qui prétend pouvoir donner un coup de main sur un problème informatique. Sans verser dans la paranoïa, il est également prudent de ne pas se connecter sur son compte mail professionnel ou bancaire depuis un ordinateur public (dans des cybercafés, bibliothèques…).
Déjouer les mécanismes
Si vous vous sentiez follement original en choisissant “sesameouvretoi” ou “motdepasse”, sachez que c’est raté. Les mots du dictionnaire, références et noms célèbres font partie des mots de passe les plus courants sur internet, aux côtés des suites logiques de chiffres, de lettres, de touches de clavier (”azerty”) ou des prénoms. Or, plus les mots sont répandus et plus les pirates informatiques sont susceptibles d’y penser et de les essayer aussi. Pour compliquer la tâche des attaques automatisées, il est redoutablement efficace de mélanger dans le mot de passe plusieurs “alphabets” : lettres minuscules, majuscules, chiffres et caractères spéciaux (-, $, @…). Un mot de six caractères, par exemple, peut correspondre à 300 000 combinaisons s’il est composé uniquement de lettres minuscules, et 56 milliards de combinaisons s’il intègre en plus des majuscules et des chiffres.
Variété est mère de sûreté
Réutiliser un même mot de passe pour plusieurs sites internet est très risqué. Comme l’explique Google, “si quelqu’un parvient à se procurer votre mot de passe pour un des services que vous utilisez, il peut potentiellement accéder à vos mails, vos coordonnées personnelles et même votre compte bancaire”. Dans l’idéal, il est conseillé d’utiliser un mot de passe par site - et si le nombre de comptes personnels rend l’affaire vraiment trop compliquée, la règle vaut au moins pour la boîte mail et la gestion de comptes bancaires en ligne. Un moyen mnémotechnique peut aider à associer les différents mots de passe aux sites concernés. On peut penser à des mots-clés (”courrier”, “argent”), ou même des questions, puis les crypter en y insérant des symboles ou des chiffres, en les écrivant à l’envers… La phrase “Combien d’argent ai-je ?” peut ainsi devenir “Cb€Ai-J3″.
Bannir la fausse originalité
En cas d’oubli du mot de passe, la plupart des sites internet proposent de le réinitialiser en cliquant sur un lien envoyé par mail. Bien entendu, cette technique ne peut fonctionner que si l’adresse mail fournie lors de l’inscription est toujours valide… Ce qui implique de penser, quand on en change, à refaire un tour des sites auxquels on est inscrit et d’y changer ses informations personnelles. D’autres sites ont un système de “question secrète” pour retrouver le mot de passe. Quand c’est possible, préférez la rédaction d’une question personnalisée. Y répondre permet d’accéder au compte aussi simplement que si l’on en connaît le mot de passe, et il est donc primordial que la réponse soit aussi difficile à deviner que le mot de passe lui-même. Sont à bannir les “prénom de mon chien”, “date de naissance de ma mère”, “chanteur préféré” et toutes informations qui risquent de traîner sur les sites sociaux ou les forums que vous fréquentez.
Derniers Commentaires