Les atteintes à la protection des données s’aggravent et nos mauvaises habitudes en matière de mots de passe n’aident pas. A l’occasion de la journée mondiale du mot de passe, retour sur les faits particulièrement alarmants relevés dans un récent rapport.
2 mai 2019 : Journée mondiale du mot de passe
Le 2 mai était comme tous les ans la journée mondiale du mot de passe (World Password Day lancée en 2013 par Intel). L’occasion pour les entreprises de sécurité de plaider auprès des internautes paresseux et/ou négligents – et des entreprises – en faveur d’une amélioration des habitudes en la matière. L’éditeur Avira, qui vend notamment des gestionnaires de mots de passe, a publié un rapport sur la sécurité des mots de passe. Une étude qui met en lumière de grosses carences en la matière, à même de créer des possibilités d’atteintes majeures à la protection des données.
Selon ce compte-rendu, non seulement les atteintes à la protection des données sont de plus en plus fréquentes, avec déjà quatre incidents majeurs relevés en 2019, mais ils sont aussi plus graves. En début d’année, les fuites de données “Collection #1” et “Collection #2-5” ont touché près de 3 milliards de combinaisons d’identifiants mail et de mots de passe. La pire atteinte à la protection des données, le piratage de 3 milliards de comptes Yahoo, s’est produite en 2013 mais n’a été découvert qu’en 2016, ce qui signifie que les pirates bénéficient bien souvent d’une énorme avance sur les chercheurs en sécurité, qui leur laissent largement le temps d’exploiter les données récupérées.
L’étude rappelle par ailleurs que plus nous avons de comptes en ligne, plus nous sommes vulnérables. Une personne n’ayant qu’une petite dizaine de comptes différents aura déjà 9% de chances de voir ses données personnelles mises en danger. Pour 100 occurrences, la probabilité passe à 30%. La raison de cet état de fait ne provient pas simplement d’un simple calcul proportionnel, mais d’une raison plus pernicieuse : plus il y a de comptes, plus il est probable que nous réutilisions des noms d’utilisateur ou des mots de passe. Cette habitude, très courante, est l’une des failles les plus destructrices que les pirates exploiteront s’ils en ont l’occasion.
Le gestionnaire de mots de passe, indispensable ?
Selon un sondage en ligne mené par Avira auprès de 2 519 répondants, les mauvaises habitudes en matière de sécurité des données ont la peau dure. 36% des sondés enregistrent ainsi leurs mots de passe dans un navigateur, tandis que 35% synchronisent autant d’appareils que possible via Internet. Plus d’un répondant sur cinq (22%) a admis utiliser le moins de mots de passe possible, tandis que 17% utilisent régulièrement les options “rester connecté”. Enfin, 9% des personnes interrogées utilisent encore des mots de passe très simples, ce qui facilite grandement le travail d’éventuels intrus.
Pour régler cette situation une bonne fois pour toutes, l’utilisation d’un gestionnaire de mots de passe peut être un très bon début. Et si le fait de payer pour un service de ce genre pose problème, il reste les conseils habituels, encore trop peu appliqués : utiliser des mots de passe longs et complexes, ne pas choisir les mêmes identifiants pour plusieurs sites différents, utiliser autant que possible l’authentification biométrique ou à deux facteurs…
Zoom sur LastPass et Dashlane
Les capacités et le coût des gestionnaires de mots de passe sont très variables. Pour y voir plus clair, PC World a comparé six gestionnaires de mots de passe parmi les plus populaires. Tous supportent Windows, Mac OS, Android et iOS, et les principaux navigateurs Internet. Et tous permettent de synchroniser ses données entre plusieurs appareils, même s’il faut parfois payer pour bénéficier de cette fonctionnalité. Deux sortent du lot en particulier : LastPass et Dashlane.
LastPass coche toutes les cases fonctionnelles : la création de mots de passe uniques et complexes, la capture et la gestion des identifiants de connexion, leur synchronisation sur plusieurs périphériques et leur partage avec d’autres personnes de confiance, et tout cela de façon simplissime. De plus, grâce à ses fonctions d’audit et de mise à jour des mots de passe, il est possible d’identifier et d’éliminer facilement les mots de passe faibles ou redondants en un ou deux clics. LastPass stocke également les numéros de carte de crédit et d’autres données personnelles pour remplir automatiquement des formulaires Web quand vous effectuez un achat, ou si vous vous abonnez à un service ou payez une facture. LastPass prend également en charge une série d’options d’authentification multifactorielle pour protéger le coffre-fort, y compris des authentificateurs basés sur des applications comme Symantec VIP et Google Authenticator, des tokens matériels comme YubiKey, et des lecteurs d’empreintes digitales.
Classé en seconde position du test de nos confrères, Dashlane est le prétendant potentiel le plus sérieux face à LastPass. Son interface est très bien faite, il est facile à utiliser, et comprend un tas de fonctionnalités pour renforcer la sécurité en ligne. C’est le cas en particulier de son excellent tableau de bord de sécurité qui classe les mots de passe en fonction de leur niveau de sécurité et propose des actions pour améliorer son score et sa protection. Seul son prix de 40 euros par an – le plus élevé des 6 produits – met une limite à l’enthousiasme de nos confrères pour ce gestionnaire de mots de passe.
Un bon mot de passe c'est quoi ?
anque, e-commerce, messagerie électronique, documents, administration : de nombreuses démarches de notre vie quotidienne passent désormais par Internet et par la création de comptes sur les différents sites. Nombre de ces espaces privatifs contiennent des informations confidentielles qui ne doivent pas être rendues disponibles à des personnes non habilitées.
Un bon mot de passe doit contenir au moins 12 caractères et 4 types différents : des minuscules, des majuscules, des chiffres et des caractères spéciaux. Il peut être plus court si votre compte est équipé de sécurités complémentaires : conseils sur l’utilisation d’un bon mot de passe, temporisation d’accès au compte après plusieurs échecs, verrouillage du compte après un certain nombre d’échecs (en général 5), protection par Captcha, collecte de données identifiant le terminal de l’utilisateur (adresse IP, adresse mac…), matériel détenu en propre par la personne (carte sim, carte bancaire…).
De plus, personne ne doit pouvoir deviner votre mot de passe à partir du nom de votre chien ou de votre film préféré par exemple. Idem pour le code de votre smartphone : préférez un nombre aléatoire à une année.
Enfin, pour éviter les piratages en cascade, chacun de vos comptes en ligne qui présente un caractère sensible (banque, messagerie, réseau social, etc.) doit être verrouillé avec un mot de passe propre et unique.