À une époque où les violations de données semblent faire la une des journaux presque toutes les deux semaines, la menace mondiale qui pèse sur la sécurité des mots de passe est une préoccupation pour tout le monde.

En janvier 2019, l’une des plus grandes fuites de données de l’histoire a vu les adresses électroniques et les mots de passe de 770 millions d’utilisateurs publiés sur un site de piratage. L’incroyable volume de données a été attribué à de multiples sources. En particulier, les utilisateurs de LinkedIn et MySpace ont été touchés, ainsi que des millions d’adresses électroniques.

Les faiblesses des systèmes traditionnels de gestion des mots de passe …

Des attaques de cette ampleur ont permis de mettre en évidence les faiblesses des systèmes traditionnels de gestion des mots de passe. 99,7 % des gens n’ont toujours pas de mot de passe différent pour chaque compte, ce qui signifie que l’ouverture de nouveaux comptes à l’aide d’informations d’identification précédemment divulguées est devenue plus facile à mesure que les données sont collectées.

Parallèlement, le piratage est devenu plus accessible et moins cher, car des outils tels que les kits d’hameçonnage et les vidages de données peuvent être achetés en ligne par n’importe qui et ne nécessitent que de faibles niveaux de compétences techniques pour être utilisés. Les techniques de piratage les plus courantes sont les suivantes :

  • Hameçonnage : les pirates envoient des courriels pour inciter les gens à saisir leur mot de passe sur un « site d’hameçonnage » qui ressemble au site original. Plus de 90 % des piratages et des violations de données réussis sont dus au phishing.
  • Remplissage de justificatifs : Il s’agit de l’utilisation par les pirates de combinaisons mot de passe/login précédemment divulguées pour tenter de se connecter à d’autres sites web. Plus de 90 % des tentatives de connexion sont automatisées et exécutées par des robots.
  • Pulvérisation de mots de passe : Il s’agit d’une variante du « credential stuffing », sauf que les tentatives sont limitées en nombre et en temps, de sorte que cela ressemble à une véritable erreur humaine.
  • Attaques par force brute : les pirates exécutent des scripts pour « deviner » un mot de passe en se basant sur des essais et des erreurs. Le logiciel peut extraire des données pertinentes telles que les dates de naissance des utilisateurs à partir des profils de médias sociaux et les intégrer au script pour un résultat plus rapide. Cela peut prendre moins de 24 heures.
  • Attaques par dictionnaire : les pirates tentent simplement de deviner le mot de passe en se basant sur des mots qui se trouvent dans le dictionnaire de la langue cible de l’entreprise ou de l’utilisateur.
  • Attaques par araignée : les pirates étudient le langage général utilisé par une entreprise, par exemple son nom de marque, et l’utilisent pour deviner des mots de passe tels que company1234. Par exemple, ils peuvent étudier les informations publiées sur un site web et les utiliser pour accéder aux mots de passe wi-fi de l’entreprise.

En outre, dans des cas tels que la plus grande violation de données de l’histoire mentionnée ci-dessus, la sécurité de votre mot de passe peut être à nouveau compromise si vous avez déjà été ciblé auparavant. Quelle que soit la force du mot de passe, si ce même mot de passe ou une variante est utilisé sur d’autres comptes, ces comptes sont désormais vulnérables à des attaques telles que le « credential stuffing » ou le « password spraying ».

Authentification à deux facteurs :

En réponse à ces attaques, il est devenu courant ces dernières années que les fournisseurs de messagerie et les sites de réseaux sociaux proposent une authentification à deux facteurs. Celle-ci demande aux utilisateurs un point d’accès supplémentaire, par exemple un SMS envoyé sur le téléphone portable personnel de l’utilisateur lorsqu’il tente de se connecter à ses e-mails.

Toutefois, cette méthode n’est pas sans défaut, car les pirates ont trouvé des moyens de contourner cet obstacle. Les méthodes les plus courantes sont l’interception de SMS, lorsque des messages texte en transit sont détournés, exploitant les faiblesses du réseau cellulaire, ou l’échange de cartes SIM, lorsqu’un pirate recueille des données personnelles telles que la date de naissance ou l’adresse par le biais de l’hameçonnage et de l’ingénierie sociale, puis trompe un employé de l’opérateur mobile pour qu’il réachemine le numéro de téléphone de l’abonné vers la carte SIM du pirate.

Ces dernières années, pour relever le défi apparemment insoluble des mots de passe, de nombreuses entreprises et de nombreux particuliers ont utilisé des gestionnaires de mots de passe pour les aider à gérer le grand nombre de mots de passe. D’autres ont testé l’authentification sans mot de passe.*

L’aide et les limites des gestionnaires de mots de passe en nuage :

Un gestionnaire de mots de passe en ligne offre une alternative centralisée à la mémorisation de centaines de mots de passe. Tous les mots de passe d’un utilisateur sont stockés dans un nuage, et le logiciel vous demande de vous souvenir d’un mot de passe super fort, également appelé mot de passe principal. Il suffit à l’utilisateur d’entrer ce mot de passe pour avoir accès à tous ses mots de passe stockés dans le nuage.

Bien qu’il s’agisse d’une solution très pratique, cette méthode comporte deux risques majeurs. Premièrement, avec un seul mot de passe pour accéder à tous les autres, les utilisateurs peuvent avoir des problèmes s’ils l’oublient ou si le mot de passe est compromis.

Deuxièmement, comme tous les mots de passe sont stockés sur un nuage, parmi ceux de nombreuses autres personnes, ces serveurs particuliers deviennent une cible de choix pour les pirates. De nombreuses violations ont été signalées au fil des ans, y compris la plus récente en janvier 2019.

Authentification biométrique :

La biométrie implique l’utilisation d’une empreinte digitale, d’un visage ou d’un scan rétinien pour identifier un utilisateur et lui donner accès. Aujourd’hui, on les voit le plus souvent sur les smartphones, donnant aux utilisateurs un accès instantané grâce à leurs empreintes digitales, mais elles peuvent aussi être utilisées sur les logiciels de paiement mobile ou pour donner accès à des bâtiments.

L’avantage évident de la biométrie est qu’elle ne peut être « devinée ». Chaque empreinte digitale est entièrement propre à l’individu, ce qui est pratique pour des utilisations telles que l’authentification à deux facteurs. Certains téléphones portables, par exemple, peuvent utiliser l’empreinte digitale et des codes d’accès pour l’accès.

Si cette méthode est sûre pour un usage local comme l’accès à votre téléphone portable, elle devient très risquée si elle est utilisée par une organisation, y compris un État, pour identifier les utilisateurs, car nous savons que toute organisation est une victime potentielle d’une violation de données.

En juillet 2018, 1,5 million de patients ont été affectés par un piratage du système de santé de Singapour, l’un des pays les plus avancés technologiquement au monde. Le problème ici est que si les données biométriques sont effectivement compromises – par exemple, si quelqu’un clone votre empreinte digitale ou votre visage, l’utilisateur ne peut pas changer ce « mot de passe ».

Par conséquent, pour limiter le risque de perdre des mots de passe ou de se faire pirater son identité, une solution beaucoup plus sûre consiste à adopter un modèle de risque décentralisé, associé à une utilisation localisée de la biométrie.

Modèle de risque entièrement distribué et décentralisé :

Il s’agit en fait du « meilleur des deux mondes ». Plutôt que de stocker les mots de passe dans un nuage potentiellement piratable, chaque mot de passe est conservé sur un appareil local individuel, comme un smartphone ou une tablette. Tous les mots de passe sont cryptés et protégés par l’un des trois niveaux de sécurité, en fonction de la sensibilité des comptes.

L’accès à ces mots de passe est accordé via une combinaison de méthodes, notamment :

  • Empreinte digitale
  • code PIN unique
  • Schéma de verrouillage
  • Identification faciale
  • Phrase de passe vocale

Ces éléments permettent un accès rapide et protégé aux mots de passe. Il est important de noter que, comme ces identifications sont conservées localement sur l’appareil, et non sur le cloud, elles ne peuvent pas non plus être piratées.

Ainsi, si vous êtes victime d’une violation de données sur l’un de vos comptes, vos autres comptes ne seront pas compromis. Si des pirates parvenaient à accéder à votre adresse électronique, par exemple, ils ne pourraient pas aller plus loin sans ce mot de passe unique.

Pour plus de commodité et de sécurité, des fonctionnalités avancées permettent aux utilisateurs de copier et de coller des mots de passe difficiles d’un smartphone à un ordinateur de bureau plutôt que de les taper, de synchroniser des mots de passe cryptés sur plusieurs appareils et de sauvegarder des mots de passe cryptés au cas où ils casseraient ou perdraient leur appareil principal.

Rester en sécurité en ligne

En règle générale, pour rester en sécurité en ligne :

Utilisez des mots de passe forts

Les mots de passe courts et faciles à deviner, basés sur la date de naissance ou d’autres données, sont sujets à des attaques. 98,8 % des mots de passe figurent dans la liste des 10 000 mots de passe. Utilisez 12 chiffres ou plus avec une sélection de majuscules et de minuscules, de chiffres et de signes de ponctuation.

Ne réutilisez pas les mots de passe

Lorsqu’un pirate en a un, il les a tous, alors gardez-les différents. De même, les variantes sont faciles à deviner, comme la substitution de majuscules ou de chiffres, alors gardez-les distinctes.

Ne les écrivez pas

Les Post-it, blocs-notes et feuilles de calcul bien intentionnés peuvent facilement tomber entre de mauvaises mains.

Jusqu’à présent, les gens ont été entièrement libres de choisir comment stocker leurs mots de passe. Cependant, comme les gens ont besoin de plus en plus de mots de passe chaque année, se souvenir des mots de passe est devenu une chose redoutée pour beaucoup. S’ils craignent de les oublier, ils peuvent désormais stocker leurs mots de passe de manière pratique à l’aide d’une solution de mot de passe décentralisée qui atténue le risque de les perdre.

👉🏼 Lecture complémentaire :

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici