Sensibiliser à la cyberhygiène lors de la Journée mondiale du mot de passe

Une bonne posture de cybersécurité nécessite plus qu'un simple mot de passe fort pour éviter toute compromission. Cela est d'autant plus vrai que les employés se tournent de plus en plus vers le travail à distance.

La Journée mondiale du mot de passe (le 6 mai) a toujours servi à rappeler aux utilisateurs de mettre à jour les mots de passe faibles ou anciens afin de garantir la sécurité des informations personnelles et professionnelles. Mais comme les cybermenaces continuent d'évoluer et que les acteurs malveillants développent de nouvelles techniques d'attaque, une bonne posture de cybersécurité nécessite plus qu'un simple mot de passe fort pour éviter toute compromission. Cela est d'autant plus vrai que les employés se tournent de plus en plus vers le travail à distance et ne disposent plus du même niveau d'assistance informatique et de sécurité sur site pour les aider. 

Comment les cybercriminels compromettent-ils les mots de passe ?

L'un des aspects les plus importants pour éviter les menaces est de comprendre comment les cybercriminels peuvent tenter d'accéder à vos données essentielles. Les techniques d'attaque continuent d'évoluer et de devenir plus sophistiquées, ce qui donne aux cybercriminels une vaste boîte à outils à utiliser pour exploiter les utilisateurs. Voici quelques techniques dont il faut se méfier :

• Les attaques dites “d'ingénierie sociale” : Attaques telles que le phishing (hameçonnage) par le biais d'e-mails et de textes, où les utilisateurs sont amenés à fournir leurs informations d'identification, à cliquer sur des liens ou des pièces jointes malveillants, ou à se rendre sur des sites Web malveillants.
• Attaques “dictionnaire” : L'attaquant utilise une liste de mots courants, appelée dictionnaire, pour tenter d'accéder aux mots de passe en anticipant que les gens ont utilisé des mots courants ou des mots de passe courts. Leur technique consiste également à ajouter des chiffres avant et/ou après les mots courants pour tenir compte du fait que les gens pensent que le simple fait d'ajouter des chiffres avant et/ou après rend le mot de passe plus complexe à deviner.
• Attaque par force brute : Une approche dans laquelle les assaillants génèrent de manière aléatoire des mots de passe et des jeux de caractères pour deviner de manière répétée les mots de passe et les comparer à un hachage cryptographique disponible du mot de passe. 
• Pulvérisation de mots de passe : Dans une attaque par force brute traditionnelle, les assaillants essaient de deviner plusieurs fois le mot de passe sur un seul compte, ce qui conduit souvent au verrouillage du compte. Avec la pulvérisation de mots de passe, l'attaquant n'essaie que quelques-uns des mots de passe les plus courants sur plusieurs comptes d'utilisateurs, en essayant d'identifier la personne qui utilise un mot de passe par défaut ou facile à deviner, évitant ainsi le scénario de verrouillage du compte.
• Attaque par enregistrement des touches : En installant un logiciel d'enregistrement des touches sur l'ordinateur de la victime, généralement par le biais d'une forme d'hameçonnage par courrier électronique, l'adversaire peut capturer les frappes de la victime pour obtenir son nom d'utilisateur et ses mots de passe pour ses différents comptes.
• Interception du trafic : Les criminels utilisent des logiciels comme les renifleurs de paquets pour surveiller et capturer le trafic réseau qui contient des informations sur les mots de passe. Si le trafic n'est pas crypté ou utilise des algorithmes de cryptage faibles, la capture des mots de passe devient encore plus facile.
• L'homme du milieu : Dans ce scénario, l'attaquant s'insère entre l'utilisateur et le site Web ou l'application visée, généralement en se faisant passer pour ce site Web ou cette application. Il saisit alors le nom d'utilisateur et le mot de passe que l'utilisateur saisit sur le faux site. Les attaques de phishing par courrier électronique conduisent souvent les victimes sans méfiance vers ces faux sites.

Comment les utilisateurs peuvent empêcher la compromission ?

Les utilisateurs peuvent adopter un certain nombre de tactiques pour s'assurer que les personnes malveillantes ne puissent pas compromettre leurs informations personnelles grâce aux techniques ci-dessus. Il s'agit notamment des mots de passe forts, de l'authentification multifactorielle et des fonctions d'authentification unique. En plus de ces éléments, une solide éducation à la cybersécurité est essentielle pour vous protéger, ainsi que votre famille et votre employeur, contre toute compromission.

Comment créer un mot de passe fort ? Il est important de créer des mots de passe impossibles à oublier et difficiles à deviner, même pour une personne qui pourrait connaître des détails intimes de votre vie comme le nom de la rue où vous avez grandi ou le nom de votre premier chien. 

Bien qu'il puisse sembler convaincant d'ajouter des chiffres et des caractères spéciaux à des mots courants pour élaborer un mot de passe fort, les cybercriminels peuvent exploiter un certain nombre de techniques d'attaque pour le craquer. 

Évitez d'utiliser les éléments suivants dans un mot de passe : Anniversaires, Numéros de téléphone, Informations sur l'entreprise, Noms, y compris de films et d'équipes sportives, La simple obfuscation d'un mot courant ("P@$$w0rd").

Utilisez plutôt ces bonnes pratiques en matière de mots de passe pour sécuriser vos informations :

• Exploitez des combinaisons improbables ou apparemment aléatoires de lettres majuscules et minuscules, de chiffres et de symboles, et assurez-vous que vos mots de passe comportent au moins dix caractères.
• N'utilisez pas le même mot de passe pour plusieurs comptes, cela augmente la quantité d'informations auxquelles un cybercriminel peut accéder s'il parvient à compromettre votre mot de passe. 
• Changez votre mot de passe tous les trois mois pour réduire la probabilité que votre compte soit compromis.
• Utilisez un gestionnaire de mots de passe pour créer des mots de passe uniques, longs, complexes et faciles à modifier pour tous les comptes en ligne et pour stocker ces mots de passe de manière cryptée et sécurisée dans un coffre-fort local ou dans le nuage.  Il vous sera ainsi plus facile de vous assurer que vous utilisez les mots de passe les plus forts possibles, car vous n'aurez qu'à mémoriser le mot de passe de votre casier à mots de passe.

Mesures supplémentaires d'authentification et de protection à prendre

Avoir une seule ligne de défense n'est plus efficace pour tenir à distance les cyberattaques avancées. Pour garantir une solide posture de sécurité, il faut recourir à plusieurs tactiques. N’hésitez pas à considérer les points suivants : 

• L'authentification multifactorielle (MFA) : L'authentification multifactorielle confirme l'identité des utilisateurs en ajoutant une étape supplémentaire au processus d'authentification, que ce soit par des jetons physiques ou basés sur des applications mobiles. Cela garantit que même si un mot de passe est compromis, les acteurs malveillants ne peuvent pas accéder aux informations.
• L'authentification unique (SSO) : L'authentification unique permet aux utilisateurs d'utiliser un nom d'utilisateur et un mot de passe uniques et sécurisés pour plusieurs applications au sein d'une organisation. 
• Formation et éducation à la cybersécurité : Comme les cybermenaces évoluent et que les personnes malveillantes développent de nouvelles techniques pour cibler les individus, les utilisateurs doivent rester cyberconscients et se tenir au courant de l'état du paysage des menaces. 

Alors que les événements actuels obligent les individus à passer plus de temps en ligne pour le travail, l'apprentissage et la communication avec la famille et les amis, les cybercriminels intensifient les attaques visant ces utilisateurs. Il est important d'effectuer une vérification de la posture de sécurité de tous ses comptes - en mettant à jour les mots de passe faibles et périmés si nécessaire.