habillage
premium1
clavier illuminé en rouge
© Taskin Ashiq via Unsplash

Bad news : vous êtes toujours aussi nuls pour faire des mots de passe corrects

Le 6 févr. 2019

2,2 milliards de comptes et de mots de passe circulent actuellement sur le web. Cette fuite record dans l’histoire de la cybersécurité permet de s’apercevoir d’une chose : la grande majorité des internautes ne savent toujours pas écrire un mot de passe.

Le 17 janvier dernier, le chercheur en cybersécurité Troy Hunt a lâché une bombe sur web. Dans un long article posté sur son blog, il a raconté qu’il avait identifié un fichier contenant des millions de mails et de mots de passe. Ces derniers étaient facilement accessibles sur la plateforme de partage de fichier Mega. L’expert fouille un peu plus et découvre rapidement cinq autres collections de comptes. Au final, il met à jour la plus grande fuite de données personnelles de toute l'histoire du web avec 2,6 milliards de données sensibles.

Pour les pirates, c'est le moment des soldes !

Heureusement, ces données ne sont pas toujours très récentes. Certaines sont issues de vieux hacks réalisés sur des services comme Yahoo, Facebook, Sony, Dropbox ou Tumblr. Pour Benjamin Preminger, analyste en cybersécurité chez Sixgill, l’existence de ces informations n’est pas une surprise. « Les données de comptes et de mots de passe piratés ont toujours été échangées sur des forums underground et sur des marchés noirs, explique-t-il. Sur le darknet, on les appelle des « combos ». Une fois qu’un pirate obtient un nouveau combo, il va souvent diviser sa liste en petits paquets et les vendre en ligne. Après plusieurs reventes, ces paquets perdent de la valeur jusqu’à ce qu’ils soient échangés gratuitement dans ce type de collection. Aujourd’hui il est très simple de trouver des mots de passe pour Linkedin, Myspace et Twitter par exemple. »

Non, « 123456 » n'est pas une bonne protection

Bien qu'elles soient anciennes, les données donnent aussi beaucoup d’informations sur le type de mots de passe que nous utilisons. « Nous avons trouvé un nombre alarmant de comptes issus d’entreprises appartenant au groupe des Fortune 500 (classement des entreprises américaines les plus riches), explique Benjamin Preminger. On découvre très souvent les codes « 123456 », « motdepasse » ou « AZERTY » comme clé de sécurité. D'après le site SplashData qui répertorie chaque années les mots de passe les plus utilisés, ces derniers sont toujours en tête de classement. Même constat chez le youtubeur Sylvqin qui s’est amusé à décortiquer les données françaises trouvées dans les collections. En plus de tomber sur de nombreux comptes issus de différents services d'État, la plupart des mots de passe sont composés d’un seul mot, très facile à déchiffrer pour des pirates débutants.

Changez votre mot de passe maintenant !

Pour s’assurer que votre compte ou votre mot de passe ne fait pas partie de cette liste, Troy Hunt a mis à la disposition des internautes deux moteurs de recherches séparés. Le premier, haveibeenpwned recense les adresses mail tandis que Pwned Passwords répertorie les mots de passe trouvés dans ces collections. Si vous y trouvez vos informations personnelles, pas de panique ! Il est toujours temps de changer le mot de passe pour se protéger d’une attaque possible. En effet, même si les données trouvées par Troy Hunt sont anciennes, elles présentent l’avantage d’être facilement exploitables par des pirates débutants. Ces dernières sont accessibles sans avoir besoin de passer par le darknet et sont classées par zones géographiques. En quelques clics, il est donc possible d’atteindre des milliers de comptes Facebook ou Amazon. Bon. Vous attendiez une bonne raison pour changer de mot de passe ? Vous l’avez trouvé !

Commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.