Comme chaque fin d’année l’heure des bilans est arrivée. Celui nous intéressant aujourd’hui concerne la sécurité et plus particulièrement les mots de passe utilisés et ayant une facilité d’être déchiffrés très rapidement. D’être trop prévisibles tout simplement.

C’est à travers l’analyse annuelle de la société SplashData, l’un des principaux fournisseurs d’applications et de services de sécurité depuis plus de 10 ans, de plus cinq millions de mots de passe divulgués sur l’Internet que nous constatons que les mauvaises habitudes ont la vie dure.  

123456….

123456 est pour la cinquième année consécutive le mot de passe le plus utilisé comme l’indique cette analyse. A croire que malgré toutes les mises en garde effectuées, une partie du cerveau humain est pour certains anesthésiée et donc ne comprend pas les informations qu’il reçoit.  Ou peut-être est-ce beaucoup plus simple : ne s’agirait-il pas plutôt de paresse et d’une incompréhension des dangers d’utiliser un tel mot de passe ?

Pourtant il serait si simple de mettre par exemple une barre oblique avant et après 123456 donnant à ce mot de passe plus de difficulté pour le trouver.

Les pires mots de passes

Mais en dehors de cette série de chiffres ne protègeant rien, il y a comme chaque année, le classement honorifique des “pires mots de passe de 2018” comme le souligne SplashData.  En voici les 25 premiers :

  1. 123456 (classement inchangé par rapport à l’année dernière)
  2. mot de passe (inchangé)
  3. 123456789 ⬆+3
  4. 12345678 ⬇-1
  5. 12345 ⬌
  6. 111111 (nouveau)
  7. 1234567 ⬆+1
  8. ensoleillé (nouveau)
  9. qwerty ⬇-5
  10. iloveyou ⬌
  11. princesse (Nouveau)
  12. admin ⬇-1
  13. bienvenue ⬇-1
  14. 666666 (Nouveau)
  15. abc123 ⬌
  16. football ⬇-7  
  17. 123123 ⬌
  18. singe ⬇-5
  19. 654321 (Nouveau)
  20. ! @ # $% ^ & * (Nouveau)
  21. charlie (Nouveau)
  22. aa123456 (Nouveau)
  23. donald (Nouveau)
  24. mot de passe1 (nouveau)
  25. qwerty123 (nouveau)

La société SplashData …” estime que près de 10% des personnes ont utilisé au moins l’un des 25 mots de passe les moins performants de la liste cette année et près de 3% d’entre elles ont utilisé le pire mot de passe, 123456.
Plus de cinq millions de mots de passe divulgués évalués pour la liste de 2018 étaient principalement détenus par des utilisateurs d’Amérique du Nord et d’Europe occidentale. Les mots de passe révélés par les piratages de sites Web pour adultes ne sont pas inclus dans ce rapport.”

Les pirates ont beaucoup de succès en utilisant des noms de célébrités, des termes issus de la culture pop et des sports, et des schémas de clavier simples pour percer dans les comptes en ligne car ils savent que beaucoup de gens utilisent ces combinaisons faciles à retenir.

Extrait de l’analyse annuelle de SplashData

En guise d’anecdote, pour la première fois, l’actuel président des Etats-Unis d’Amérique voit son prénom utilisé comme mot de passe.

Quels mots de passe utiliser pour se protéger et comment ?

Prêchant pour sa chapelle, la société SplashData, préconise trois astuces pour protéger aussi bien son contenu data que son identité numérique :

 

  1. Utilisez des phrases secrètes de douze caractères ou plus avec différents types de caractères.
  2. Utilisez un mot de passe différent pour chacune de vos connexions. Ainsi, si un pirate informatique accède à l’un de vos mots de passe, il ne pourra pas l’utiliser pour accéder à d’autres sites.
  3. Protégez vos actifs et votre identité personnelle en utilisant un gestionnaire de mots de passe pour organiser les mots de passe, générer des mots de passe sécurisés aléatoires et vous connecter automatiquement à des sites Web.

La protection par PassPhrase

En dehors de ces préconisations, il existe heureusement d’autres moyens permettant de se protéger via des mots de passe.

Tout d’abord la PassPhrase comme le conseille Esward Snowden, une logique basée sur un système mnémotechnique permettant d’avoir un mot de passe personnalisé par site ou adresse email. Ainsi concernant la PassPhrase, cela se décompose de la manière suivante :

  • intégrer le nom du site, ou service dans la phrase.
  • changer toutes les sonorités en chiffre façon SMS , exemple le “de” en “2
  • intégrer des symboles
  • Utiliser des majuscules et des minuscules
  • et dans la mesure du possible intégrer une ponctuation
LA PASSPHRASE, LE CONSEIL DE EDWARD SNOWDEN POUR MIEUX PROTÉGER VOS DONNÉES

La protection logiciel

Il existe ensuite la protection logiciel. Il s’agit d’outils générant des mots de passe et les gardant en mémoire.  C’est ce que l’on appelle les gestionnaires de mot de passe. Nombreux sur le marché ils sont payants ou gratuits. Ici même Nicolas vous a détaillé l’emploi de Bitwarden le gestionnaire de mot de passe OpenSource pour #ChromeOS. Sa facilité d’emploi mais aussi le fait qu’il soit 100% open source donne à cette application un gage de sécurité.

Bitwarden le gestionnaire de mot de passe OpenSource pour #ChromeOS

La protection physique

La protection physique est une clé requise à chaque demande d’authentification. Pouvant être sur un support Usb ou Bluetooth, elle permet de valider telle ou telle fonction. Comme l’indiquait Nicolas concernant la clé physique Google Titan au standard Fido U2F « Dans le but de protéger toujours mieux les utilisateurs de ses produits, Google va proposer sa propre clé physique au standard d’authentification Fido U2F dite aussi Second Facteur Universel.  Comme l’a écrit le journaliste de cyber-sécurité Brian Krebs en juillet dernier, l’utilisation de cette clé par 85 000 employé de la société a permis de les protéger contre les tentatives d’hameçonnage. Fort de ces résultats, Google va mettre en vente la clé Titan, c’est son nom, à tous les utilisateurs.  Les clés USB Fido étant une sécurité physique supplémentaire d’espaces dématérialisés, il faudra lier votre clé à votre compte puis brancher sur un port USB de votre Chromebook  ou tout autre outil informatique ce support de validation, afin d’accéder à vos espaces numériques. « 
Actuellement en test au sein de la rédaction de mychromebook.fr, la clé Google Titan fera prochainement l’objet d’un long article, vous expliquant son paramétrage mais aussi son utilisation et dans quels contextes.

L’authentification à deux facteurs

L’authentification à deux facteurs se base comme son nom l’indique sur deux éléments :

  • un élément immatériel connu de vous seul, en général un mot de passe,
  • un élément matériel que vous aurez en votre possession, un téléphone par exemple.

Mais afin de vous permettre d’utiliser cette authentification à deux facteurs, il vous faudra effectuer auparavant trois opérations :

  • la configuration de la validation en deux étapes,
  • la configuration des options de secours,
  • la configuration des informations de récupération. 

Pour toutes ces opérations, si cela n’a pas été encore été effectué, veuillez consulter cette page d’aide de Google

Comme à chaque fois ou nous publions un article sur votre sécurité, il nous semble que le sujet est, soit vite évacué car beaucoup de personnes considèrent que cela ne les concerne pas, soit elles pensent que le mot de passe identique pour divers accès est suffisamment fort pour ne pas être cassé. Pourtant il est prouvé que vous aimez (vraiment) vous faire cambrioler vos données dans le cloud de Google. Certains balayent le sujet en déclarant attendre une authentification via un lecteur d’empreinte digitale directement installé sur le Chromebook. Je comprends très bien qu’une telle facilité permette de gagner du temps (combien de dixièmes de secondes ?), ne pas avoir à garder en mémoire un mot de passe qui est de toute façon ennuyeux à taper. J’admets une telle attente, mais en attendant qu’un tel lecteur soit installé vous laissez les portes d’accès à vos données ouvertes ? Vous êtes si pressé pour ne pas savoir dire à la personne à laquelle vous allez communiquer des informations se trouvant dans votre Chromebook « Tu permets… J’accède à mes données ! » ? Si le lecteur d’empreintes tombe en panne, aurez-vous une solution permettant d’accéder à vos données ? 
Je ne suis ni donneur de leçon et encore moins à me considérer comme sachant parfaitement comment me protéger, mais une chose est sûre : si vous êtes victime de vol de données, cela n’impactera en rien celles que je protège et vous ne pourrez que vous en prendre à vous mêmes. 
Alors l’être humain est-il un bipède idiot ? Je n’ai pas la réponse mais les chiffres parlent d’eux-mêmes.  

Quel type de protection utilisez-vous pour vos données ? Avez-vous été victime d’un vol de données ? Si oui, dans quelles circonstances ? Pour vous quelle est la meilleure sécurité ?

Shares:

5 Comments

  • Bullabs
    Bullabs
    18 décembre 2018 at 14 h 16 min

    Perso, j’utilise 1password, et je ne suis pas prêt de changer (cela dit j’aurai pu utiliser n’importe quel autre gestionnaire de mot de passe).
    Le gestionnaire de mot de passe intégré dans Chrome, Safari ou Firefox j’aime pas trop cette idée.
    Les passphrase ça peut etre pas mal mais si un pirate en trouve un il pourrait se baser sur celui là pour trouver ceux des autres services (par exemple si il trouve que mon mot de passe est: motdepasse#Mycrh0meb00k! et qu’il est un peu malin il va essayer motdepasse#Amaz0n! sur le site d’amazon, donc je trouve ça un peu risqué)
    L’authentification à deux facteurs et les dongles USB, c’est top mais on perd sur le coté pratique, donc je limite ça vraiment aux sites qui ont par exemple mes coordonnées bancaire. Mais à terme c’est effectivement sans doute la meilleure solution (à mon avis).

    Reply
  • Pattricky
    Pattricky
    18 décembre 2018 at 9 h 25 min

    cet article (au titre très « Ola!, Paris Match, Closer….) me fait penser à deux choses:
    1) pourquoi critiquer ou encore enfonceer le clou sur le fait que des mot de passe simple soient utilisés ? tout le monde n’a pas envie de se compliquer la vie, et si le mot de passe n’est utilisé que pour un jeu ou un truc ‘à la con’, quelque part on s’en fout.
    cela ne me dérange pas que les pirates russes trouvent mon mdp pour mon compte M6 replay ou TF1….
    donc, pour certain site, « 123456 » est excellent !
    et 2), j’adore le fait que « 123456789 » monte dans le classement devant « 12345678 », cela prouve quand même aussi que les gens se rendent compte que parfois il faut mieux se protéger !!!

    Reply
    • Mister Robot
      Mister Robot
      18 décembre 2018 at 11 h 37 min

      Bonjour

      J’admet que le titre a été choisit volontairement pour bousculer un peu. Le « politiquement » correct est parfois de trop pour faire prendre conscience aux utilisateurs qu’il s’agit de se protéger.
      D’employer un mot de passe simple pour une chaîne de Tv ou un jeu en streaming, cela ne me dérange pas, mais il est tellement simple d’employer le même mots de passe aussi bien pour ce type de site, mais aussi pour Gmail, sa banque en ligne et tout autre lieu? Et que l’on ne me dise pas que cela ne se fait pas. Je le vois tous les jours ne serait-ce qu’au niveau du cercle familial.
      Alors oui je reconnais que cet article bouscule volontairement, mais si nous ne le faisons pas, qui le fera ? L’Etat ? D’autres chats à fouetter ! Des organismes gouvernementaux ou privés ? Je ne pense pas ! Des sociétés ayant un lien important avec la sécurité ? Trop partisan ! Alors qui ? …….

      Reply
      • Pattricky
        Pattricky
        18 décembre 2018 at 12 h 27 min

        je suis entièrement d’accord sur le fait que pas mal de personne utilisent « azerty » pour des comptes très sensibles.
        et je ne jette pas la pierre, c’est très bien d’en parler.
        par contre, s’il existe des programme de gestion de mot de passe, il existe aussi la solution d’utiliser Google ou Facebook comme login sur cetain site.
        j’utilise, dès que possible, de prendre la signature de Google comme inscription sur des sites. j’ai bien sécurisé (j’espère) mon compte Gmail, et puis c’est ce dernier qui sert de user/pwd sur d’autres sites (FB propose cela aussi).
        et puis aussi, depuis la lecture d’empreinte sur nos gsm (et Chromebook), cela permet de ne plus avoir de mdp pour certaines applications (bancaire par exemple).

        Reply
        • Mister Robot
          Mister Robot
          18 décembre 2018 at 13 h 00 min

          Je ne jette la pierre à personne, mais simplement je trouve qu’il est anormal qu’aujourd’hui encore trop de personnes utilisent des mots de passe tellement facile que c’est désespérant de voir à quels points ils n’ont pas conscience du danger. Car même si les outils gratuit permettant de protéger ses fichiers data existent et sont disponible pour tout utilisateur de Google, sur plus d’un milliard d’utilisateurs il n’y a que 10% à utiliser la validation en deux étapes.
          Maintenant utiliser la passerelle (mdp/password) de Google pour accéder à un site, je trouve que c’est dangereux. Pourquoi ? Nous ne sommes jamais sûr de la protection que nous mis en place. La segmentation si le terme est approprié permet de ne pas raccrocher à un même wagon (Google) un certain nombre d’accès. Je considère qu’utiliser la même clé pour différentes pièces (sites) peut être un danger.
          Pour ce qui concerne la lecture des empreintes tous les Chromebook n’en sont pas pourvus et que fait-on des Chromebox et autres produits ?

          Reply

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.