Les mots de passe, talon d'Achille de la cybersécurité

À l'approche des Jeux Olympiques et des élections européennes, les cyberattaques vont s'intensifier. L'une des causes principales de leur réussite est un mot de passe trop faible ou usurpé.

En février dernier, les opérateurs de tiers payant Viamedis et Almerys alertaient leurs plus de 33 millions d’assurés qu’ils avaient été victimes d’une cyberattaque d’ampleur. À l’origine de cette brèche, l’usurpation d’identifiants et de mots de passe de professionnels de santé.

Cette faille de sécurité souligne l’importance de renforcer la protection des identifiants de connexion. Une étude réalisée aux États-Unis indique que 63% des vols de données ont abouti à cause d’un mot de passe faible par défaut ou volé en amont de l’attaque. La sécurisation des mots de passe, premier rempart entre nos données sensibles et les cybercriminels, est bien trop souvent négligée.

1 seconde suffit pour déjouer un mot de passe composé de lettres

Si en 2020, il fallait près de 8 heures pour décrypter un mot de passe incluant majuscules, minuscules, symboles et chiffres, en 2023, cette tâche ne prenait plus que 5 minutes. Cette rapidité de décryptage s’explique par l’utilisation, à la maison comme au travail, de combinaisons simples comme « 12345 », « login », ou encore l’emploi de données personnelles en guise de mot de passe (date d’anniversaire, nom de l’animal de compagnie, prénom des enfants, etc.). Le partage fréquent de ces informations sur la toile via les réseaux sociaux facilite le travail des hackers.

D’autre part, une étude révèle que 31% des utilisateurs n’ont jamais changé leurs mots de passe depuis leur création. À cette mauvaise habitude s’ajoute celle de la réutilisation d’un même mot de passe à travers plusieurs plateformes, personnelles et professionnelles, et leur sauvegarde hasardeuse sur des appareils numériques ou des post-it. Autant de pratiques qui accentuent la vulnérabilité des données personnelles, mais également celles de l’entreprise du collaborateur concerné.

Quelles technologies pour se protéger ?

Les mots de passe peuvent être revendus par les hackeurs à des tiers ou être utilisés pour initier de nouvelles attaques, avec pour conséquence, le vol et la revente de données confidentielles, la demande de rançon, ou encore la réalisation de transactions bancaires non autorisées. Dans le cas de messageries électroniques ou de comptes de réseaux sociaux compromis, ces derniers peuvent être utilisés comme vecteurs de propagation de logiciels malveillants et d’arnaques en usurpant l’identité de l’utilisateur.

Pour prévenir ces risques, certains internautes mettent en place le salage (password salt en anglais), pratique consistant à ajouter une chaîne aléatoire de caractères aux mots de passe avant de les soumettre à l’algorithme de hachage, les rendant plus sécurisés. D’autres outils, comme le gestionnaire de mots de passe, jouent le rôle de coffre-fort numérique en stockant et en sécurisant l’ensemble des identifiants de connexion.

La formation, clé de voûte de la sécurisation des données

Pour diminuer la vulnérabilité des utilisateurs, il est essentiel de les former aux bonnes pratiques cyber. Limiter les risques de compromission des identifiants passe par des mots de passe robustes comprenant plus de douze caractères alternés (lettres, chiffres, et caractères spéciaux), totalement anonymisés et uniques, renouvelés fréquemment, voire conçus par un gestionnaire de mots de passe. Ces pratiques devraient être enseignées et acquises dès le plus jeune âge, et tout au long de la vie.

Bien que des initiatives aient été mises en place par le gouvernement dans les écoles pour renforcer l’esprit critique des élèves et leurs compétences en la matière, ces sensibilisations doivent se poursuivre dans les entreprises. Elles ont une responsabilité à tenir dans la sécurisation des données de leurs collaborateurs et de leurs utilisateurs.

Face à la multiplication des vols de mots de passe, quel sera leur avenir ? L’authentification via la biométrie les remplacera-t-elle ? Cette technologie, qui s'appuie sur les traits physiques ou comportementaux de l'Homme, offre un niveau de sécurité et de praticité supérieur. Dans un futur relativement proche, les mots de passe n’auront peut-être qu’un rôle de soutien à la biométrie, en apportant une couche supplémentaire à l’authentification.