Protection des identifiants personnels : la responsabilisation est la clé de la tranquillité d’esprit

Face à l'industrialisation du piratage d'identifiants personnels et leur monétisation sur le Dark Web, il est temps que les utilisateurs prennent conscience des risques et se responsabilisent en utilisant les bonnes pratiques élémentaires.

Les données sont l’élément moteur de nos activités professionnelles. C’est pourquoi la sécurité des informations personnelles est si importante. Pourtant, un volumineux lot d’identifiants s’est récemment vu livré au côté obscur de la toile : le « Dark Web ». Il s’agit de 200 millions d’identifiants de comptes Yahoo, une mise en vente qui intervient dans la foulée de celle des données LinkedIn de 2012 et d’identifiants MySpace. Tous ces identifiants sont actuellement revendus par un cybercriminel qui se fait appeler « peace_of_mind » ou « Peace ». Les informations de comptes Yahoo sont proposées pour 3 bitcoins, soit un peu plus de 1 800 €.

Les informations d’identification volées représentent un marché énorme. Le fait est que les données génèrent de l’argent et il en va de même pour les identifiants acquis de manière illégale. Pour lutter contre ce fléau, nous devons faire en sorte qu’ils perdent toute leur valeur pour les cybercriminels. 

Informations d’identification non chiffrées

Vous croyez qu’il suffit de changer vos mots de passe pour que les cybercriminels n’aient plus accès à vos informations d’identification ? Détrompez-vous. Surtout quand on sait que l’internaute moyen se connecte chaque jour ou chaque semaine à 26 comptes différents, depuis les réseaux sociaux jusqu’aux services publics et aux comptes bancaires en ligne.

Que se passe-t-il lorsque des personnes malintentionnées se procurent vos identifiants ? Vous pensez certainement que vos mots de passe sont hachés ou chiffrés et, dans tous les cas, protégés. La base de données LinkedIn de 2012 utilisait SHA1, un algorithme de hachage aujourd’hui considéré comme « cassé » et à éviter. Pire encore, les mots de passe étaient hachés sans « salage » préalable (ajout de données supplémentaires au mot de passe choisi par l’utilisateur avant de le hacher).

Un prestataire spécialisé dans la récupération de mots de passe a profité de l’occasion pour tester ses compétences et la qualité de ses services. Résultat : il a été en mesure de décrypter plus de 80 % des mots de passe. Il s’avère que plus d’1,1 million d’utilisateurs avaient choisi le mot de passe « 123456 », et près de 190 000 le mot de passe « password ». Si les internautes adoptent de telles configurations sur LinkedIn, il y a fort à parier qu’ils utilisent le même mot de passe sur des sites plus sensibles, comme des comptes bancaires, autrement plus intéressants pour les cybercriminels. 

Protection des mots de passe

Aujourd’hui, la plupart des sites exigent une combinaison de lettres majuscules, de chiffres et, parfois, de caractères spéciaux dans les mots de passe. Toutefois, nous avons tous tendance à suivre un même schéma, à savoir commencer par une lettre majuscule et terminer par une série de chiffres. Si un caractère spécial est requis, nous le plaçons généralement à la fin. Des pratiques qui n’ont pas échappé à la perspicacité des pirates. Même des machines dotées d’une puissance de traitement standard peuvent décrypter ces hachages dans des délais relativement courts. Alors que faire ?

Se contenter de renforcer la sécurité à l’aide d’un pare-feu n’est pas suffisant. Les utilisateurs doivent assumer leur part de responsabilité. On peut même aller jusqu’à dire que la sécurité commence par les utilisateurs eux-mêmes.

Les réseaux de cybercriminels recrutent de véritables armées d’individus dont l’unique tâche est d’essayer de pirater des sites indispensables à nos activités quotidiennes. En tant qu’utilisateurs, nous devons être plus vigilants dans le choix de nos mots de passe. Ne pas recourir à un gestionnaire de mots de passe revient à laisser les informations d’identification sans protection. 

Un gestionnaire de mots de passe automatise la création des mots de passe, vous laissant libre de choisir leur niveau de complexité, leur longueur, ainsi que le type de schéma. Son véritable intérêt réside dans le fait que vous n’avez pas besoin de tous les mémoriser. Il les stocke et vous permet de les copier dans le champ de connexion des sites Web. De plus, un bon gestionnaire de mots de passe enregistre les URL de sites Web et renseigne automatiquement le champ de connexion correspondant lorsque vous accédez à ces derniers. L’inconvénient de cette approche est que, pour une protection efficace, le mot de passe du compte doit être très complexe. L’avantage, en revanche, est qu’il s’agit du seul mot de passe à mémoriser.

Assumer ses responsabilités

En résumé, vos données personnelles sont précieuses. Des cybercriminels sans scrupules déploient d’importants efforts pour se les approprier à des fins mercantiles. Grâce au respect des meilleures pratiques en matière de sécurité personnelle, vos identifiants perdent automatiquement leur valeur pour le cybercriminel en cas de vol. N’ignorez pas les dangers du Dark Web. La cybersécurité est de notre responsabilité à tous. Protégez-vous.