Facteur humain - 27 juin 2022
Que protégez-vous le mieux : vos mots de passe ou vos clés de maison ?
Photo de regularguy.eth sur Unsplash
Vous savez pertinemment qui a accès à vos clés de maison, c’est un fondement de la sécurité. Mais plus ces clés sont anciennes, plus il y a de chance que quelqu’un dispose d’une copie. Pour autant, avez-vous récemment changé les serrures et clés de votre domicile ?
Heureusement, c’est plus simple dans le numérique. La “clé numérique” d’accès à votre ordinateur coûte cependant moins cher à changer. Modifier son mot de passe est gratuit, et ne prend que quelques instants.
Les mots de passe sont devenus le moyen courant de gérer nos vies, dans le numérique. De nombreuses démarches de la vie quotidienne passent désormais par Internet : banque, messagerie, impôts, garde des enfants, e-commerce… et nécessitent une création de compte avec des informations confidentielles. L’accès à ces démarches est protégé par des mots de passe.
Mais il ne suffit pas seulement d’avoir des mots de passe, il faut surtout les gérer et les protéger efficacement.
Pourquoi est-il vital de disposer de mots de passe robustes
Utiliser un mot de passe faible a des conséquences énormes pour les entreprises et consommateurs
IBM a révélé dans une étude que le coût moyen d’une violation de données en 2021 atteignait plus de 4 millions de dollars, une hausse de 10% par rapport à 2020. Pour certaines entreprises de moyennes et petites tailles, cela peut entraîner une fermeture de l’entreprise si le coût financier est trop important par rapport à leurs revenus.
Pour les consommateurs, un mot de passe faible, ou compromis, peut signifier être victime d’un vol d'identité, ou des détournements de fonds. Si les banques sont de plus en plus efficaces, une fois sorti de votre compte, il reste complexe de récupérer votre argent. Aussi, reprendre le contrôle suite à un vol d'identité peut s'avérer difficile et prendre de longs mois. Alors que vous avez probablement bien d’autres choses à faire.
La majorité des attaquants ne prennent pas la peine de forcer les mots de passe longs
La plupart des pirates informatiques qui utilisent la technique de la force brute (tester toutes les combinaisons de mots de passe jusqu’à trouver la bonne) tentent principalement de deviner des mots de passe courts. Ils mènent très peu d’assauts pour découvrir des mots de passe longs et/ou complexes. C’est ce qu’a expliqué un Ross Bevington, chercheur en sécurité de Microsoft, dans un post sur LinkedIn.
Selon le chercheur, les attaquants ont tenté de percer, dans 77% des cas observés, un mot de passe comprenant entre un et sept caractères. Seulement 6% des attaques par force brute ont été menées pour découvrir des combinaisons de plus de dix caractères.
Il a indiqué que seulement 7% des tentatives d’attaques par force brute qu'il a analysées comprenaient un caractère spécial. 39% d'entre elles comportaient au moins un chiffre. Les assaillants n’ont jamais utilisé de mots de passe comportant des espaces blancs.
D’où l’importance de disposer d’un mot de passe robuste.
Comment un mot de passe est-il défini comme “robuste” ?
Plus le mot de passe est difficile à deviner, plus il est robuste. Ainsi, il ne doit pas représenter une idée, un souvenir, une personne ou un objet. Les cybercriminels pourront accéder aisément à nos données. L’idéal est donc un mot de passe réellement aléatoire. Par exemple, les mots de passe qui suivent les directives standards - une lettre majuscule, six caractères, un chiffre et un caractère spécial - ne sont pas robustes.
Dans un sondage Odoxa, 81 % des Français affirment utiliser des mots de passe complexes. Une affirmation qui semble être loin de la réalité puisqu’une étude réalisée par l’institut Harris Interactive pour Captain Cyber révèle que parmi les salariés interrogés, 78% utilisent des mots de passe identiques pour de multiples plateformes. Un comportement pas très optimal en termes de sécurité.
Mais alors, que faut-il faire ?
Utilisez un gestionnaire de mot de passe
Retenir des dizaines de mots de passe longs et complexes est humainement impossible. De plus, les noter sur un pense-bête ou bien dans les notes de votre téléphone rend la tâche beaucoup trop facile pour les cybercriminels. Une solution s’offre à vous : celle du gestionnaire de mots de passe.
Ce logiciel stocke tous vos mots de passe et les protège en les chiffrant, seul un mot de passe maître est à retenir pour accéder à l’ensemble des comptes. Si vous possédez un Mac, vous pouvez utiliser l’app Trousseaux d’accès qui, sur le même principe, stocke vos mots de passe ainsi que vos informations de compte, et réduit le nombre de mots de passe à mémoriser et à gérer.
Le gestionnaire de mots de passe est le meilleur moyen pour “ne pas enregistrer ces mots de passe dans un fichier”, comme 64% des Français indiquent le faire. Comme le nombre de comptes d’un Français dépasse allégrement la dizaine sinon la centaine, il est devenu vital d’utiliser un gestionnaire de mot de passe. Parmi les outils disponibles : Dashlane, LastPass, 1Password, NordPass.
Activez la double authentification sur chaque compte qui le permet
Celle-ci ajoute, en plus du mot de passe, un second moyen d’authentification.
C'est particulièrement vital pour protéger l’accès à vos comptes bancaires, à votre compte email et à vos comptes sur les réseaux sociaux, qui sont souvent également la porte d’entrée à d’autres comptes.
Les moyens sont par exemple, une validation par un code envoyé par texto sur votre téléphone. Ou mieux, une application d’authentification dédiée, telle que Google Authenticator ou Authy. Encore plus sécurisé, une clé USB biométrique telle que celles de Ubikey.
Dès aujourd’hui, reprenez le contrôle de vos mots de passe
Retrouvez le training “Maîtriser mes mots de passe” dans l’app Captain Cyber (App Store et Google Play). Étape par étape, apprenez à sécuriser au mieux vos données en vous mettant dans la peau des attaquants, puis passez à l’action. La gestion des mots de passe n’aura plus de secret pour vous !
Elle l’a fait. Voici ce qu’a pensé Nathalie, assistante de direction :
« Les formations sont très intéressantes ! J'ai appris beaucoup de choses, notamment sur la gestion de mes mots de passe. J'ai aussitôt changé tous mes mots de passe personnels et professionnels après la formation »
Et vous ?