Les chiffres sur les mots de passe en ligne sont clairs : alors même que la protection de nos données personnelles devrait être au cœur de nos préoccupations, de trop nombreux utilisateurs continuent à être victimes de piratage et d’autres s’obstinent à utiliser les combinaisons les plus banales. Il existe pourtant aujourd’hui de nombreux gestes pour prévenir ou parer les cyberattaques.

ji32k7au4a83

Le mot de passe « ji32k7au4a83 », loin d’être l’assurance d’une sécurité sur Internet, est un mot de passe « remarquablement commun », soulignait Gizmodo le 4 mars. Sa succession de symboles semble aléatoire, mais cet exact mot de passe a pourtant fait 141 fois l’objet d’une violation de données, selon Have I Been Pwned.

Lancé en décembre 2013 par l’expert en sécurité Troy Hunt, le site largement applaudi Have I Been Pwned permet aux internautes de vérifier si une adresse email ou des mots de passe ont été compromis suite à un piratage. Il référencie également les différentes violations de données enregistrées.

Des internautes ont alors tenté de comprendre comment un tel mot de passe pouvait être aussi couramment utilisé. Des Taïwanais ont rapidement décodé l’affaire sur Twitter. En utilisant un clavier chinois selon le système phonétique zhuyin fuhao, les suites de chiffres et de lettres sur le clavier forment des caractères en mandarin. « ji32k7au4a83 » veut ainsi dire « mon mot de passe », et c’est bien là le problème.

Figurer sur les listes de Have I Been Pwned est hélas très banal. Et être un utilisateur lambda ne vous met pas plus à l’abri que des personnalités de premier plan d’une attaque, surtout lorsque la cible est la plateforme qui héberge les données.

Des mots de passe forts et multiples

Le mot de passe est la pierre angulaire de la sécurité sur Internet. Ils sont d’ailleurs liés à deux problèmes principaux. Tout d’abord, une grande quantité de mot de passe utilisés sont « faibles » et faciles à deviner. Start-up franco-américaine créée en 2009, Dashlane est spécialisé dans la gestion de mots de passe et dans la protection des données personnelles en ligne. Une version gratuite du logiciel qu’il permet de gérer jusqu’à 50 mots de passe.

D’après une étude que Dashlane a réalisée en 2013, plus de 80 % des clients des boutiques en ligne utilisent des mots de passe criants de banalité comme « azerty », « 123456 » (tristement élu pire mot de passe de 2013) ou l’inimitable « motdepasse ». Véritables passoires en termes de sécurité, ces mots de passe sont d’ailleurs les tout premiers qu’encode un hacker.

Hormis les multiples astuces pour créer un mot de passe fort (comme celle de ne prendre que les premières lettres d’une phrase donnée), un rapport de la CNIL en janvier 2017 révèle son mot de passe idéal. Celui-ci doit contenir douze caractères de trois types différents, comme des chiffres, de la ponctuation, des minuscules ou des majuscules.

Outre ce problème de trop grande simplicité, un même mot de passe est régulièrement utilisé sur différentes plateformes. Si ce mot de passe est découvert, c’est presque une haie d’honneur qui guide le hacker à travers les comptes en banques, la messagerie ou les boutiques en ligne. Il va sans dire qu’un utilisateur qui cumule simplicité et unicité court à coup sûr à la catastrophe.

La hotline d’Access Now

En novembre 2018, Motherboard tente d’apporter des éléments de réponses pour repérer toute trace d’intrusion sur des comptes en ligne tels que Gmail, Twitter ou encore Facebook. Il joint toutefois à ses explication une mise en garde : « Parfois, vous ne pourrez pas obtenir de réponse formelle quant à savoir s’il y a eu violation », écrit Lorenzo Franceschi-Bicchierai, journaliste spécialisé en piratage informatique.

Avant toute chose, il commence donc par conseiller à ses lecteurs de s’adresser dans les plus brefs délais à un professionnel « tel que l’employé de votre magasin d’informatique local, ou la ligne d’assistance de sécurité numérique d’Access Now ».

Née lors des élections iraniennes de 2009, la plateforme Access Now s’emploie à « défendre les droits numériques des utilisateurs en danger dans le monde entier ». À l’aube de sa création, des millions de personnes s’organisent pour éveiller l’attention de tous sur les violations des droits humains à travers le pays et sur la fraude électorale. La réponse du gouvernement iranien est immédiate : il s’évertue à bloquer l’accès à Internet dans certaines régions et à censurer ses opposants.

C’est alors qu’Access Now voit le jour, constitué d’une équipe d’informaticiens du monde entier créée d’urgence. Ensemble, ceux-ci s’efforcent de redonner un accès à Internet et d’assurer la sécurité en ligne des utilisateurs. Près de dix ans plus tard, Access Now s’est déployé à travers quatorze pays et emploie une cinquantaine de personnes. Lancé en 2013, son service d’assistance de sécurité numérique propose un soutien technique 24 h/24, tous les jours, aux citoyens « faisant l’objet d’une attaque technique ».

Repérer une intrusion

Passer en revue la « dernière activité sur le compte » sur Gmail permet déjà de pouvoir vérifier que personne n’ait pu saisir votre compte. La présence d’un pays ou d’un appareil inhabituel sur ce descriptif de connections devrait faire passer tout cerveau en alerte rouge. Si c’est le cas, il faut donc se « déconnecter de toutes les autres sessions web Gmail ». Cette opération déconnecte tout le monde et permet à l’utilisateur de rapidement modifier son mot de passe.

« Enfin, vérifiez si les pirates informatiques n’ont pas ajouté des filtres, des redirections d’e-mail ou des paramètres de transfert pour voler subrepticement vos emails ou masquer le fait qu’ils le font », ajoute Lorenzo Franceschi-Bicchierai, qui espère peut-être être entendu des 1,5 milliard d’utilisateurs actifs de la messagerie de Google.

Ce type de mécanisme est également proposé par Microsoft Outlook, Yahoo ou Facebook. Le réseau social propose en outre une fonctionnalité supplémentaire permettant de « recevoir des alertes sur les connexions non reconnues ».

Twitter et Instagram sont toutefois à la traîne, affichant bien les appareils utilisés mais pas les adresses IP. Franceschi-Bicchierai conseille finalement de systématiquement changer de mot de passe si apparaissent des éléments suspects ne cadrant pas avec vos précédentes activités, ce qui devrait déconnecter tout pirate informatique.

Le gestionnaire Myki

Pour répondre aux problèmes de simplicité et d’unicité des mots de passe, le gestionnaire de mot de passe s’est rapidement imposé comme étant un allié de choix. Également appelés portefeuilles numériques, ces applications permettent à des particuliers ou des entreprises de se souvenir de la quantité de mots de passe toujours plus nombreux et complexes qu’ils possèdent.

Les gestionnaires de mots de passe proposent généralement un service en ligne (sauvegardé sur le cloud) ou logiciel. Ils se chargent sans difficulté des centaines d’identifiants et peuvent même générer des mots de passes ultra-sécurisés. Le service sur cloud a l’avantage de permettre une synchronisation entre les différents appareils de l’utilisateur. Dashlane, Lastpass ou encore LockSelf, l’offre de gardiens de sécurité en ligne (gratuite ou payante) est en pleine expansion. L’un d’entre eux, Myki, s’est bâti en l’espace de quelques années une très belle renommée.

Créé en 2016 à Beyrouth, Myki est une application gratuite pour différents types d’appareils électroniques qui se distingue de la concurrence car les mots de passe des utilisateurs sont stockés sur leur smartphone et non en ligne. Ainsi, pas de risque de voir ses informations secrètes fuiter si le service lui-même est pris pour cible. Pour qu’un hacker puisse accéder à votre coffre fort, il faudrait qu’il dérobe à la fois votre smartphone… et votre doigt pour ouvrir l’application. Aujourd’hui basé à New York, Myki compte désormais plus de 400 000 utilisateurs à travers le monde et observe une croissance rapide.

Le 13 février dernier, la start-up libanaise a remporté le prix Editor’s Choice Award du mensuel sur l’informatique PC Magazine, rejoignant Netflix sur la liste des heureux lauréats. Fameux coup de projecteur pour la start-up, Myki grimpe ainsi sur la première marche du podium des gestionnaires de mots de passe. « Ce prix prestigieux témoigne du travail acharné et de la passion que nous partageons tous chez Myki alors que nous travaillons jour après jour pour aider les utilisateurs à retrouver contrôle de leur identité numérique », déclare Antoine Vincent Jebara, cofondateur et PDG de Myki.

Double authentification et antivirus

Il est également vivement recommandé d’utiliser la double authentification sur Facebook ou sa boîte mail principale. Ce système de sécurité implique que l’internaute entre son mot de passe et qu’un code lui soit ensuite communiqué par téléphone ou par email.

Enfin, si posséder un mot de passe complexe et unique complique le piratage en direct (le fait de tester tous les mots de passe possibles avec un identifiant connu), pour Clubic, l’un des plus gros dangers aujourd’hui pour les utilisateurs reste les virus. Un malware pourrait être capable de récupérer des identifiants stockés dans un navigateur ou d’intercepter des saisies au clavier.

Avoir un antivirus/malware à jour semble ainsi être l’un des derniers remparts pour protéger ses données et retrouver le contrôle de son identité numérique. Autant que faire se peut.

Auteure : Malaurie Chokoualé