Jusqu’au 25 décembre prochain, nous vous proposons une série d’article hebdomadaire présentant les bases de la cybersécurité. Parce que la cybersécurité n’est pas que l’affaire des experts, mais touche tout le monde, ces 25 articles courts et simples s’adressent au grand public. N’hésitez donc pas à partager ceux-ci avec vos proches, qui s’inquiètent de leur sécurité en ligne mais ne savent pas trop par où commencer!

Cette semaine, nous aborderons les mots de passe et l’authentification sécuritaire.

***

Combien de comptes en ligne avez-vous? Ajoutez vos accès bancaires, vos accès hors-ligne, votre boite vocale, etc. On comprend vite que le nombre de mots de passe que vous devez retenir est énorme. Selon un rapport publié par LastPass en 2017, un employé doit retenir 191 mots de passe en moyenne. 191 mots de passe. C’est presque étourdissant!

Il n’est donc pas étonnant que nous cherchions des moyens pour nous simplifier la vie. Comme on l’a vu hier, les mots de passe trop simples – et donc trop faciles à craquer pour les criminels – sont à oublier. La prochaine option qui vient souvent en tête est de choisir avec soin un ou quelques mots de passe et les réutiliser. C'est ce qu'on appelle le recyclage de mots de passe. Malheureusement, cette solution vient avec son lot de problèmes, et ceux-ci sont majeurs.

Chaque semaine ou presque, des brèches de sécurité majeures font la une de l’actualité. Plateformes de médias sociaux, institutions financières, sites de streaming, comptes de courrier électronique, etc., aucun profil en ligne n’est 100 % protégé. En plus des brèches visant l’ensemble d’une base de donnée, vos informations d’accès pourraient aussi être la proie de tentatives d’hameçonnage. Ou peut-être avez-vous oublié de vous déconnecter d’un poste public.

Vous avez trouvé la phrase de base idéale. Disons « J’aD0RE WeL1vE $eCUriTy » (et on vous comprend! J ). Vous utiliserez probablement le même nom d’utilisateur ou adresse courriel sur tous vos profils – parce que retenir 191 noms d’usager distincts n’est pas plus facile, ni plus pratique, que de retenir 191 mots de passe. Prenons l’exemple « VotreNomComplet@email.com »

Soudain, votre plateforme de médias sociaux favorite subit une brèche de sécurité. Ou vous avez malheureusement été victime d’une tentative d’hameçonnage où des cybercriminiels se font passer pour votre service de streaming, ou votre carte fidélité de prédilection.

Pensez-vous vraiment que les arnaqueurs – et les criminels qui achèteront les informations d’accès – s’en tiendront à accéder aux comptes en question? Bien sûr que non. Les cybercriminels veulent maximiser les profits engendrés par leurs méfaits. Si vos informations d’accès à un compte sont disponibles sur le marché noir, il y a fort à parier que les criminels vont tenter d’utiliser ces mêmes informations d’accès sur d’autres plateformes.

En réutilisant le même mot de passe, il suffit de connaître la combinaison :

Pour pouvoir accéder à vos comptes bancaires, profils de service publics, courriel, médias sociaux, informations d’achat en ligne, etc. Pire encore, cette combinaison est probablement accessible sur le Dark Web pour plusieurs cybercriminels, et il faut généralement compter un certain temps avant de réaliser que des informations de connexion ont été compromises.

Évidemment, il est rare qu'un utilisateur ne prenne exactement les mêmes identifiants partout. Il peut être tentant d'utiliser les mêmes identifiants pour 2 ou quelques accès. Encore une fois, malheureusement, cette méthode démultiplie les risques de voir plusieurs des comptes de l'utilisateur compromis.

Une autre variante parfois rencontrée, mais jamais recommandée, est l'utilisation d'une légère variante entre chacun de vos mots de passe. Par exemple, si vous aviez 3 comptes, les mots de passe correspondants pourraient être :

  1. « J’aD0RE WeL1vE $eCUriTy »
  2. « J’AD0RE WELIVE $ECUr1Ty_1 »
  3. « J’aD0RE_WeL1vE_SeCUriTy_2 »

Deux problèmes se posent ici. Tout d'abord, cette méthode ne fait que remplacer la difficulté à se remémorer l'ensemble des informations de connexion par la confusion entre celles-ci. Pis encore, elle ne protège pas vraiment plus efficacement contre les attaques des cybercriminels. En effet, les logiciels de cassage de mots de passe (password cracking)  ne seront pas floués par cette stratégie. En effet, avec la technique du dictionnaire, dont nous avons parlé hier, ces outils tentent généralement des variations simples ou courantes des mots de passe déjà connus.

Bref, beaucoup d'effort, pour une sécurité toujours défaillante!

Il n'y a pas de solution miracle; une bonne hygiène de mot de passe exige d'utiliser des identifiants différents pour tous vos accès. Mais comment faire pour conserver autant d’informations de connexion sécuritaires et variées? Excellente question, à laquelle nous continuerons au cours de la semaine. Soyez des nôtres!