Tout d’abord, bien choisir ses mots de passe n’est pas si facile que ça en a l’air. De plus, on n’a pas forcément le temps de se creuser la tête pour trouver la bonne suite de caractères. Mais aussi, il faut savoir qu’il y a quand même des travers dans lesquels il ne faut surtout pas tomber, lorsque vous choisissez un mot de passe.
NordPass a dévoilé son étude annuelle sur ceux qui sont les plus utilisés dans le monde et l’évaluation de leur sécurité. Le but est de sensibiliser les utilisateurs à propos du choix de leur sécurité.
En 2022, le bilan reste assez identique aux années précédentes. Les mots de passe les plus utilisés sont faibles. Le top 10 montre une majorité qui sont facilement déchiffrables par des personnes malintentionnées. À commencer par la fameuse suite de chiffres 123456. Qui reste le mot de passe le plus choisi par les français et l’un des moins sécurisés…
Voici le top 10 de ceux les plus utilisés en France :
Tout d’abord, la phrase « mes comptes web n’intéressent personne et je n’ai rien à me reprocher, mon compte ne sera jamais piraté » est totalement fausse. Bien entendu, un compte Instagram de star, d’un président… vaut plus que celui d’un citoyen « normal ». Cependant, tous les comptes sont intéressants pour un pirate.
Principalement, le pirate peut l’utiliser pour vider vos comptes bancaires. S’il dispose de votre compte E-mail, il peut demander des réinitialisations de mot de passe. Et ainsi accéder à votre compte Paypal, votre compte Amazon…
Il peut aussi se faire passer pour vous et extorquer de l’argent à vos amis. Grâce notamment à du phishing.
Il peut utiliser votre compte pour de la propagande ou des messages haineux. Il peut s’en servir pour favoriser un candidat dans une élection, en association avec des milliers d’autres comptes piratés… Ceci est courant et beaucoup de personnes possèdent des vieux comptes Twitter, Facebook… qui ont été piratés sans le savoir.
Bien entendu, si un hacker pirate les réseaux sociaux et les boites E-mail… Imaginez les soucis que cela peut engendre… Sachez que cela a déjà eu lieu plusieurs fois. Voici d’ailleurs une petite vidéo qui montre qu’il faut être vigilant.
TV5 Monde vient de se faire pirater. Ce monsieur semble surpris. Si vous n’avez rien remarqué, zoomez sur les papiers derrière lui…
Donc si vous soupçonnez d’avoir été piraté : prenez tout de suite les bonnes dispositions pour y remédier. Cependant, un pirate peut vous avoir piraté sans que vous ne le sachiez. C’est ce que nous allons voir ici.
Le site web haveibeenpwned.com vous permet de vérifier si l’un de vos comptes a déjà été piraté.
Je vous invite à entrer votre adresse e-mail habituelle, dès l’arrivée sur le site.
Si vous avez le message « Good news — no pwnage found! ». Alors félicitations ! Votre adresse e-mail n’apparaît sur aucune liste de pirates.
Pour l’exemple, j’ai mis mon adresse personnelle. Je l’utilise (trop) souvent. Mon adresse est donc dans la liste de certains pirates (comme des millions de personnes).
Sur ce site : les adresses E-mail, les mots de passe et les pseudonymes ont été piratés. J’ai donc tout intérêt à changer mon mot de passe sur ce site. MAIS pas uniquement ! Je dois aussi le changer sur tous les sites où j’utilise la même adresse (ou pseudonyme) et le même mot de passe. Car les pirates testent toutes ces combinaisons sur les sites les plus connus.
Le site haveibeenpwned.com vous permet aussi de tester votre mot de passe. Pour cela rendez-vous dans l’onglet « Passwords ». Pour ce test, j’ai utilisé le mot de passe « azerty » et voici le résultat.
Ce mot de passe a été vu 315 309 fois sur des listes piratées ! Il est donc préférable de ne pas l’utiliser. Je vous laisse tester les mots de passe « simples » pour vous rendre compte de la catastrophe. Mais je vous conseille aussi de tester le vôtre : le nom de votre chien n’est pas un mot de passe sûr ! ^^
Les mots de passe, pour s’identifier sur un site internet, sont presque aussi anciens que la création du web. Cependant, il existe deux gros soucis :
C’est pourquoi depuis plusieurs années des entreprises sont à la recherche d’une alternative. La « biométrie comportementale » semble être cette alternative et elle est déjà testée sur de nombreux sites internet.
Grâce à la biométrie, vous possédez une signature qui vous est unique, mais pas celle habituelle : ici c’est votre comportement. Les façons presque infinies d’utiliser un site ou une application. Ensemble constituent la biométrie comportementale, une technologie d’identification plus performante que les mots de passe.
Plutôt qu’un simple garde-barrière à mot de passe, que l’on ne rencontre qu’à l’entrée d’un site, la biométrie comportementale vérifie en temps réel si c’est bien vous. Tout d’abord en détectant tout changement suspect : si vous vous connectez d’une nouvelle machine, d’un nouveau smartphone, le site doutera de vous.
Si vous vous mettez à utiliser le smartphone d’une autre main que d’habitude, si vous utilisez l’application en mode paysage plutôt qu’en mode portrait, l’algorithme le verra. Et si vous vous mettez à utiliser l’application comme si vous la découvriez plutôt que d’aller directement dans vos rubriques habituelles, alors le système se mettra à sérieusement douter de vous.
Concrètement, c’est comme si au lieu de taper votre numéro de carte de crédit à quatre chiffres pour retirer de l’argent au distributeur. Ce distributeur réalisait une analyse ADN pour vérifier que c’est bien vous, et ceci en moins d’une seconde !
Le procédé fonctionne aussi pour de nouveaux utilisateurs inconnus. Les fraudeurs qui veulent créer des comptes frauduleux à la chaîne connaissent parfaitement la navigation des sites. Ils savent exactement où ils vont, utilisent souvent des raccourcis clavier et auront tendance à remplir les formulaires par copier-coller plutôt qu’au clavier. En détectant ce genre de comportements, des sites de vente en ligne font l’économie de dizaines de millions de dollars de fraude chaque année.
Au total, ce sont plus de 2000 paramètres qu’utilise la biométrie comportementale pour vous différencier d’un potentiel hacker.
