Votre mot de passe est-il assez fort ?
La recrudescence des phishing, sweeping, Man-in-the-Middle, les attaques cybernétiques de type ransomware… et vos mots de passe volent en éclat. Des listes de mots de passe sont ainsi compilées en dictionnaire. L’opérateur malveillant qui souhaite accéder à vos données n’aura qu’à se servir de ces bases de données via des lignes de commandes… patatra !!! Vos données sont compromises, et votre vie privée ne l’est plus. Comment le rendre complexe, et surtout plus sécurisant ?
Le mot de passe : quelle galère quand il s’agit de le choisir ! Comme de nombreuses personnes, la solution de facilité est de prendre le même pour tout. Ce qui facilite le travail des personnes malveillantes après le vol de votre mot de passe, pour ensuite être infecté par un ransomware. Tant que vous n’avez pas été victime tout va bien ? « Monumentale erreur ! » disait Arnold Schwarzenegger dans Last Action Hero en 1993. Cette formule est toujours d’actualité. Oui, il est difficile de retenir un mot de passe différent pour chaque inscription sur un site, une application… mais c’est nécessaire pour évitez les pires mots de passe et les catastrophes.
Depuis 2019 jusqu’en 2022 le mot de passe « 123456 » est celui qui a trusté le meilleur classement. Il est premier en 2020 et 2021 et second en 2019 et 2022. Il représente à lui seul sur les quatre années 108 722 590 utilisateurs, soit la population totale de l’Espagne et de l’Italie réunie. Rassurez-vous « 123456789 » n’est pas loin avec 48 454 289 personnes l’ayant choisit. Pour clore le trio de tête, il ne manque que « 12345 » avec 36 144 521 choix.
(Crédits : NordPass)
L’évaluation s’effectue sur une base de données de 4,3 To extraite de sources accessibles au public, explique NordPass. En France les mots de passe suivants sont les plus plébiscités : 123456 (86656 personnes), 123456789 (38711 personnes), azerty (36579 personnes). Les trois nécessitent moins d’une seconde pour être déchiffrés.
Choisir son mot de passe
Peu importe le site où vous cherchez des conseils, ils sont quasiment identiques. Le site gouvernemental FranceNum relate l’importance de s’adapter avec la croissance rapide du piratage. Ainsi en 2020, un mot de passe de 8 caractères comprenant des lettres majuscules et minuscules, des symboles et des chiffres pouvaient être déchiffrés en 8 heures. « En 2023, il ne faut plus que 5 minutes. » Il préconise au minimum 11 caractères, et pour un solide au moins 17 caractères.
Oui, sauf qu’il existe encore des sites où le nombre de caractères est limité à 8 voire 11, sans oublier les restrictions de caractères. Comment faire ? Le changer fréquemment dans ce cas et bien sûr, utiliser un gestionnaire de mot de passe. Alors, pourquoi ne pas choisir quelque chose de facile à se remémorer et qui n’apparaisse pas dans les dictionnaires de mots de passe ?
| Nombre de caractères | Chiffres seuls | Lettres minuscules | Lettres minuscules et majuscules | Chiffres, lettres minuscules et majuscules | Chiffres, lettres minuscules, majuscules et symboles |
|---|---|---|---|---|---|
| 4,5,6 | Immédiat | Immédiat | Immédiat | Immédiat | Immédiat |
| 7 | Immédiat | Immédiat | 1 seconde | 2 secondes | 4 secondes |
| 8 | Immédiat | Immédiat | 28 secondes | 2 minutes | 5 minutes |
| 9 | Immédiat | 3 secondes | 24 minutes | 2 heures | 6 heures |
| 10 | Immédiat | 1 minute | 21 heures | 5 jours | 2 semaines |
| 11 | Immédiat | 32 minutes | 1 mois | 10 mois | 3 ans |
| … | |||||
| 17 | 14 heures | 18 000 ans | 2 milliards d’années | 48 milliards d’années | 380 milliards d’années |
| 18 | 6 jours | 481 000 ans | 126 milliards d’années | 1 trillion d’années | 26 trillions d’années |
Et si vous choisissiez une phrase ? Du style « Il s’est absenté sous un prétexte quelconque sans savoir où ». C’est un bon début et votre passphrase contient 59 caractères. Il faut avouer qu’il est plus simple à retenir que celui-ci « }4#atf^A~$jd6YD79zgD9_AC5a49kqJV23m.G7Gg,w4K5a-Lc!QS56:+(Y] » pour un même nombre de caractères, non ? La CNIL propose un outil pour générer un mot de passe solide. Ses préconisations sont d’avoir 1 nombre, une majuscule, un signe de ponctuation ou caractère spécial avec une douzaine de mots. L’exemple « Il s’est absenté sous un prétexte quelconque sans savoir où » peut alors devenir : « Il S’est absenté sous-1_prétexte quelConque 100 savoir houx ». C’est à chacun de trouver la bonne formule en fonction de l’usage.
Fuites et failles
Pour être sûr que votre mot de passe ne se trouve pas déjà dans un dictionnaire vous pouvez le passer à la moulinette de « Have i been pwned ». Pour rester sur le fameux « 123456 » le site WEB indique le résultat de plus de 37 millions de fois où celui-ci se trouve avoir fuité.
Le 15 novembre 2023 sur Developpez, un article relate que la star-up Unciphered a découvert une faille en cherchant le mot de passe perdu par un client. Ce fameux client possède un compte où se trouvent 600 000 dollars en bitcoin. « Les experts d’Unciphered […] ont réalisé que le code utilisé pour le créer était également utilisé par des millions d’autres portefeuilles, et qu’ils pouvaient être piratés en quelques secondes. »
Une vulnérabilité critique dans ownCloud est mise au jour par un article du 27 novembre 2023 sur IT-Connect. L’attaquant pourrait grâce aux failles récupérer le mot de passe administrateur.
(Crédits : HaveIBeenPwned)
Une dernière chose, dans cette partie de cache-cache, pensez à vider votre cache. Mais également si vous avez enregistré les mots de passe sur un fichier, et que pour plus de facilité vous utilisez Ctrl-C, Ctrl-V pour copier-coller votre mot de passe ou tout autre chose, attention. Prenez n’importe quel mot, phrase, sigle et copier le. Ainsi vous évitez de laisser la dernière chose copier en libre accès au prochain utilisateur, bienveillant comme malveillant. Ce qui peut-être pratique pour cacher le nom d’un cadeau, d’un restaurant, pour conserver la surprise.
Ping : La compagnie d’eau du nord du Texas victime de cyberattaque du ransomware Daixin – Libre Expression
Ping : Les clients d’Orange Espagne privés d’accès à internet durant quelques heures – Libre Expression
Ping : Cent hôpitaux roumains hors ligne après la cyberattaque du ransomware BackMyData – Libre Expression