0000, 123456, foufoune : mais pourquoi utilise-t-on autant de mots de passe facilement devinables ?<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Les risques de se faire dérober ses comptes sont réels, qu'ils soient professionnels ou personnels.
Les risques de se faire dérober ses comptes sont réels, qu'ils soient professionnels ou personnels.
©Flickr/we-make-money-not-art

Sésame ouvre-toi

LinkedIn s'est fait dernièrement dérober plus de 6 millions de mots de passe d'utilisateurs. Les risques de se faire dérober ses comptes sont réels, qu'ils soient professionnels ou personnels.

La sécurité informatique, surtout en ligne, est devenue un enjeu majeur de notre époque. Les Etats et les entreprises, grands ou petits, se font quotidiennement attaquer par des pirates, plus ou moins organisés et expérimentés, et parfois soutenus par des pays, comme en témoigne l’attaque récente de plusieurs pays de Moyen Orient, en particulier l’Iran, par le virus Flame.

Pour autant, les particuliers aussi subissent les assauts des hackers au gré de leurs pérégrinations sur la toile. Dernièrement, le réseau social professionnel LinkedIn s’est fait voler les mots de passe de plus de six millions d’utilisateurs. Ses inscrits ont donc dû changer précipitamment leurs codes d’accès pour éviter de se faire pirater leurs comptes.

A cette occasion, le site ZDNet reprend une étude de Mark Burnett, consultant en sécurité informatique. Amoureux des mots de passe, il liste les « passwords » les plus utilisés au Etats-Unis, et donc les moins fiables, qui exposent aux risques de piratages et de vols de compte les plus grands. Au choix, on trouve : password, 123456, qwerty, dragon, pussy (qu'on pourrait traduire par "foufoune"), 696969, abc123, 111111, michael, superman, iloveyou, etc.

Mark Burnett insiste sur le fait que trop d’utilisateurs ne prennent pas ce sujet au sérieux. Pourtant, ils risquent de perdre leurs comptes personnels ou professionnels sur les réseaux sociaux ou serveurs emails, avec toutes leurs correspondances et données. Pire, ces derniers peuvent ensuite être utilisés à des fins frauduleuses et criminelles, comme par exemple des arnaques, à leur nom, en usurpant leur identité. Ils peuvent aussi se voir voler leur comptes sur les sites marchands, comme ebay ou amazon, et donc que des pirates réalisent des achats à leur insu.

L'éclairage d'Arnaud Garrigues, consultant et auditeur de la sécurité des systèmes d'informations, passionné par le domaine de la sécurité des systèmes d'informations dans lequel il exerce. Il s'intéresse également aux aspects stratégiques et géopolitiques des questions de sécurité de l'information.



Atlantico : Les Français sont-ils aussi maladroits en matière de mots de passe ?

Arnaud Garrigues : La plupart des mots de passe évoqués dans l’article ci-dessus sont en réalité des mots de passe par défaut. Ils existent sur tout type d’équipement informatique : réseaux, serveurs, logiciels, ordinateurs … Ils sont mis en place lorsqu’ils sont fournis. L’industriel utilise toujours le même. Lorsque l’on fait un audit sécurité dans des entreprises, on retrouve souvent, par exemple, de tels mots de passe qui n’ont jamais été changés.

Il existe des moteurs de recherche comme Shodan qui recherchent tout ce qui est accessible librement sur Internet. Des webcams de particuliers par exemple. Il est possible de tester toute une batterie de mots de passe par défauts dessus et parfois, par ce biais, on peut avoir accès à certains équipements : des caméras ou autre.

Comment remédier à ce problème ?

La base, c’est une bonne pratique de sécurité. Dès la mise en place d’un équipement, il faut veiller à changer le mot de passe par défaut et en mettre un nouveau, le plus fort possible. Il faut aussi veiller à sa sauvegarde et à sa transmission. Un mot de passe c’est ennuyant mais le perdre, c’est encore pire !

Un bon mot de passe, est-ce pour autant un gage de sécurité ?

De manière générale, un mot de passe fort, changé régulièrement, est un facteur de sécurité. Mais elle ne dépend pas que de l’utilisateur. Avoir plusieurs mots de passe, pour son sa boîte mail, pour son ordinateur, pour sa messagerie … complique la tâche d’un malfaiteur, même s’il ne sera pas forcément totalement bloqué.

Un windows normal garde une empreinte qui lui permet de reconnaître les mots de passe. Un algorithme de cryptographie lui permet de l’identifier. Malgré tout, il ne sera pas possible à partir de cette empreinte de retrouver le mot de passe.

Avec une bonne pratique et un bon équipement, tout va bien. Mais plus l’utilisateur prend des risques et plus le logiciel ou la machine est mal sécurisé, sur le plan technique, plus il sera facile de pirater l’outil.

Les particuliers et les entreprises sont-ils suffisamment prudents ?

Pour les particuliers, je n’en suis pas convaincu. Il y a encore trop régulièrement des piratages de mots de passe mal protégés. Lors d’un récent colloque sur la sécurité, un expert judiciaire s’est fait cracker son compte Gmail et à partir de là, a perdu l’accès à ses réseaux sociaux et autres par de simples régénérations de mots de passe passant par sa boîte mail. Nous parlons pourtant là de quelqu’un qui s’y connaît.

Pour l’utilisateur, la démarche reste compliquée. Il n’y a pas, aujourd’hui, d’outil connu pour avoir plein de mots de passe sécurités, différents, dont on puisse se souvenir. Entre les cartes bleues, les téléphones, les comptes sur Internet … les gens préfèrent utiliser un mot de passe simple pour être certains de s’en souvenir.

Pour les entreprises, la sécurité est normalement gérée de manière plus globale. Tout dépend des organisations : de manière générale c’est plutôt mal fait. Des industries qui travaillent sur des domaines sensibles, avec le ministère de la Défense par exemple, auront en général des systèmes mieux protégés.

Les bonnes pratiques, c’est quoi ?

Un bon exemple, c’est d’utiliser une citation, ajouter une majuscule, garder la ponctuation et ne garder que la première lettre de chaque mot. Cela donne des formules intéressantes, difficiles à identifier et faciles à mémoriser.

En général, on conseille d’avoir trois niveaux de mots de passe. Des très forts pour les comptes administrateurs, des mots de passe quotidiens et d’autres destinés aux sites web. Le tout est de trouver sa propre méthode et de s’en souvenir.

Propos recueillis par Romain Mielcarek

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !