Site web et sécurité, le constat est navrant

Pas une semaine ne s’écoule sans qu’on entende le mot piratage. Les exemples sont nombreux comme Sony en 2011 ou, plus récemment, Apple, Google, Hotmail, Twitter, LinkedIn ou encore LastFm.

Un même mot de passe unique

La grande majorité des internautes utilise un mot de passe identique pour tous ses comptes. Le bon point, c’est qu’il est facile à retenir. Le mauvais, c’est que si quelqu’un le trouve, c’est la porte ouverte à toutes les fenêtres tous les comptes !

Or, souvent, on lie tous ses comptes ensemble comme pour les services Google. De même, l’adresse Gmail est l’identifiant du compte PayPal.

Tu vois où je veux en venir ? Si je trouve ton mot de passe, je pourrais tout faire et cela te coûtera cher :

  • Je peux squatter tes comptes et m’amuser à foutre le bordel ;
  • Je peux récupérer tes sous et me payer des trucs de dingue ;
  • Je peux aussi ne rien te montrer mais tout espionner et récupérer, quand cela sera le plus intéressant, tout ce que je convoite chez toi.

Le noobisme du mot de passe

Il y a plusieurs degrés de nazitude pour réaliser son mot de passe.

Niveau 1 : identifiant = mot de passe

Tu as du mal à te souvenir de ton mot de passe ? Qu’à cela ne tienne, prends ton identifiant.

Plus facile, plus rapide pour plus de piratage.

Niveau 2 : un mot bateau

Dans le genre, tu as azerty, qwerty, password, pwd, 1234, 4444… J’en passe et des meilleures !

Un mot bidon, redondant et vraiment tout sauf personnel donc qui craint !

Niveau 3 : ton nom/prénom

Là, on commence à montrer un peu plus de réflexion. Pour l’identifiant, j’indique mon prénom et, en mot de passe, mon nom de famille, le prénom de mon mec/ma copine, le fils/la fille, le nom de mon chien (qui a un profil Facebook et demeure très connu de Google)…

Toutes ces informations peuvent permettre à une connaissance de trouver le password. Dans le pire des cas, une rapide Googlelisation permettra de tout savoir.

J’ai même vu mieux. Une adresse mail catholique orientée Mère de Dieu avec, comme mot de passe, Marie… Navrant non ?

Le mot de passe bidon, légende urbaine ?

Pas tant que cela, comme le démontre l’étude sous forme d’infographie de Dashlane, le constat est même édifiant !

  • en 2012, ce sont 21 sites importants (Twitter, Google, Hotmail, LinkedIn…) qui ont été piratés ;
  • 69% utilisent le même mot de passe sur tous les sites ;
  • la moitié ne changent pas régulièrement de mot de passe ;
  • 36% laissent leurs coordonnées bancaires sur des sites…

Les conseils de Dashlane sont assez intéressants :

  • utiliser des mots de passe forts ;
  • ne pas sauvegarder les mots de passe sur son navigateur ;
  • utiliser un gestionnaire ;
  • éviter d’aller sur des sites sensibles en WiFi non sécurisé ;
  • vérifier les liens reçus dans les mails ;
  • ne jamais sauvegarder ses coordonnées bancaires sur un site ;
  • changer son mot de passe dès qu’on entend parler d’une brèche de sécurité.

Vos mots de passe sont trop simple !

J’avoue que je suis assez d’accord. Pour ce qui est de la force du mot de passe, je pars sur 40 caractères en moyenne mêlant majuscules, minuscules, symboles et caractères spéciaux.

L’inconvénient, c’est que je ne les retiens pas. Du coup, ils sont sur une clé USB qui me suit partout, dans un fichier Excel crypté et sécurisé… Il y a probablement mieux oui :)

Un jour, un AtOM sage et expérimenté m’a dit :

N’oublie jamais le minimum vital : un stylo et un papier valent toutes les sauvegardes du monde.

Reste à savoir où on met le papier :)