Dans la plus récente émission du Gros laboratoire, une expérience a permis de démontrer que les cobayes n’ont pas vraiment d’aptitude pour choisir des mots de passe qui répondent aux normes de sécurité moderne. Le résultat de cette expérience n’est toutefois pas très étonnant : des études réalisées chaque année auprès de la population générale établissent un constat similaire. Les vôtres passent-ils le test?
En 2022, pour la troisième année de suite, le mot de passe le plus utilisé par les Canadiens et les Canadiennes est le fameux « 123456 », une combinaison qui fournit un degré de sécurité quasi nul. Cela signifie que malgré les nombreux efforts de sensibilisation en matière de cybersécurité déployés depuis l’arrivée d’Internet, les gens ont encore tendance à choisir des mots de passe faciles à mémoriser plutôt que des combinaisons de caractères difficiles à deviner.
Lors d’une expérience diffusée à l’émission Le gros laboratoire mercredi, la moitié des cobayes à qui Jean-René Dufort et Marie-Pier Élie ont demandé de se créer un mot de passe de huit caractères n’ont pas opté pour une combinaison de chiffres et de lettres qui répond aux standards de sécurité recommandés par les spécialistes.
Si ces cobayes ont l’habitude de choisir leurs mots de passe ainsi, leurs différents comptes personnels pourraient donc déjà être à la merci de n’importe quelle personne malveillante.
Les méthodes populaires pour voler un mot de passe
Les individus mal intentionnés disposent de plusieurs moyens pour découvrir les mots de passe d’autrui.
Le premier, l’attaque de type force brute, consiste à les déchiffrer en essayant une multitude de combinaisons de caractères, à commencer par les plus communes (123456, password, Admin, etc.). Le tout peut se faire manuellement, mais il s’agit généralement d’un processus automatisé qui permet de tester des milliers de combinaisons à la seconde.
Un mot de passe complexe est particulièrement efficace pour résister à ce type d’attaque. S’il est seulement composé de chiffres ou de lettres, il se trouve presque instantanément, alors qu’un mot de passe de plus de 12 caractères composé de chiffres, de lettres majuscules et minuscules ainsi que de symboles pourrait résister pendant des années à une telle attaque en continu. Heureusement, de nombreux sites offrent aujourd’hui une protection contre cette méthode en limitant le nombre de tentatives de connexions infructueuses.
L’ingénierie sociale est une autre méthode employée pour obtenir des informations sur vous qui pourraient révéler les mots de passe les plus simples : le nom de votre animal de compagnie, votre date d’anniversaire ou encore votre date de mariage, par exemple. Avec les réseaux sociaux, il peut être très facile d’obtenir ce genre de renseignements.
Certains logiciels et périphériques facilitent aussi les attaques ciblées : ils sont conçus pour enregistrer les frappes d’une personne sur son clavier (keylogger), mettant ainsi tous ses mots de passe à risque, peu importe leur complexité.
Pour se protéger contre ces enregistreurs de frappe, il est important de respecter certaines règles de base de la cybersécurité : ne pas ouvrir de liens suspects, ne pas installer de logiciels inconnus et ne pas laisser son ordinateur sans surveillance dans des lieux publics.
Bien sûr, l’hameçonnage est également utilisé pour voler des mots de passe. Cette méthode consiste à se faire passer pour une entité légitime à partir d’un faux site, d’un courriel ou d’un appel téléphonique afin d’obtenir des informations confidentielles.
Afin de se prémunir contre cette méthode, il est important de toujours vérifier l’authenticité des sites visités et, surtout, de ne jamais communiquer son mot de passe à quiconque, même en cas de problème avec son compte sur une plateforme web. Le personnel de soutien technique ne devrait normalement jamais le demander. En cas de fuite de données sur un site réputé, il est aussi recommandé de rapidement changer son mot de passe.
Quelques bonnes pratiques
Voici les bons réflexes qui sont généralement recommandés par les spécialistes en cybersécurité pour protéger vos mots de passe :
- Choisissez un mot de passe complexe composé d’au moins 12 caractères, incluant des chiffres, des lettres et des symboles, qui ne contient pas de références personnelles faciles à deviner.
- Utilisez l’authentification à deux facteurs lorsque cela est possible.
- Assurez-vous toujours de verrouiller votre ordinateur lorsque vous ne l’utilisez pas.
- Évitez d’ouvrir un compte sur un appareil accessible au public. Si c’est inévitable, n’enregistrez pas le mot de passe utilisé et, surtout, pensez à fermer votre session avant de quitter les lieux.
- Changez vos mots de passe tous les trois mois, personne n'est à l'abri d'une fuite de données!
- N’utilisez pas le même mot de passe à différents endroits.
Selon une étude faite en 2021, le Nord-Américain moyen utilise environ 100 mots de passe dans sa vie de tous les jours. Ce n'est pas surprenant qu'on ait tendance à choisir des mots de passe simples, ou d'en avoir quelques-uns que l'on réutilise dans toute sorte de contextes.
- Marie-Pier Élie, animatrice de l'émission Le gros laboratoire.
Avez-vous tendance à oublier vos codes d’accès? Avec la multitude de sites qui exigent une connexion à un compte, c’est tout à fait normal! Des gestionnaires de mots de passe sécurisés, comme Bitwarden ou 1password, peuvent être bien utiles pour vous souvenir de ces nombreuses combinaisons de caractères.