Votre vie privée est peut-être en danger

Pour votre site internet, pour vos e-mails, vos comptes Facebook ou Twitter, mais aussi pour beaucoup d’aspects de votre vie quotidienne, vous utilisez des mots de passe. La tentation est grande d’utiliser le même partout, en général un mot de passe simple dont vous vous rappellerez facilement… si vous vous reconnaissez, votre « vie informatique » est en danger !

Pourtant, nous entendons régulièrement parler dans les médias de piratage de sites internet, de comptes divers et variés. Il suffit de taper dans Google « piratage de site » pour trouver des exemples concrets : le site du FBI, le site de la ville de MONTAUBAN, le site du diocèse de VALENCE, le site de SONY FRANCE, le site de RACHIDA DATI… Évidemment, seul les plus connus sont cités dans la presse. Mais pour vous PMI, PME, particulier ? Qu’en est-il ?

Comment font ces « pirates » ?

Il existe des centaines de méthodes (je vous laisse le soin de faire quelques recherches sur Google pour vous en rendre compte), mais ce qui est certain, c’est qu’une des premières pistes explorées par les hackers (nom anglophone pour Pirates informatiques) est celle du mot de passe et du nom de l’utilisateur. Récemment, un site gouvernemental (hors de France, rassurez-vous) a été infiltré le plus simplement du monde, car il suffisait pour accéder à son administration d’entrer le nom d’utilisateur « admin » et le mot de passe « admin ».

Que peut faire un pirate pour utiliser vos « comptes » ? Et bien il va commencer par utiliser votre adresse email comme nom d’utilisateur, il va faire quelques recherches sur le web et grâce aux informations qu’il trouvera sur vous : nom, prénom, date de naissance, éventuellement votre adresse, le nombre et le nom de vos enfants, de votre femme, de votre animal de compagnie suivant vos passions et les sites sur lesquels vous vous êtes inscrits… ensuite, il va tester des mots de passe dits standard : tel que le fameux « admin » puis il va commencer à tester des mots de passe qui vous concerne de plus près, votre date de naissance, le prénom de votre épouse, de vos enfants, leurs dates de naissance, le nom de votre chien, de votre lieu de naissance. Il existe des algorithmes permettant de tester tout cela dans un ordre bien précis, avec toutes les combinaisons possibles et bien sûr, automatiquement (ne croyez pas qu’ils le fasse à la main…). Je suppose que certains d’entre vous se reconnaitront sur la façon dont ils ont choisi leur mot de passe.

Le risque n’est pas lié qu’à l’informatique ou au web

Au-delà de la simplicité du mot de passe choisi, le risque existe à d’autres niveaux, « l’erreur humaine », il m’est arrivé de voir, par exemple, des noms d’utilisateurs et des mots de passe scotchés sur l’écran de certains ordinateurs, marqués sur des post-it posés sur un bureau. D’autres fois, des collaborateurs (trices) m’ont fourni sans plus de vérification, le mot de passe de leur patron pour gérer ses emails… heureusement que mon poste garantit la confidentialité ! Évidemment, il faut aussi parler du « fishing » : vous recevez un mail de votre banque qui, pour des raisons techniques vous demande de cliquer sur un lien, vous arrivez sur un site qui imite parfaitement les codes visuels de votre banque, vous saisissez votre nom, votre mot de passe, vos numéros de cartes bancaires, de compte, etc… que reçoit directement le hacker. Je vous laisse imaginer les dégâts ! Encore un point, dans votre navigateur internet, éviter d’accepter ou de valider la fonction « se rappeler du mot de passe », car dans ce cas quelqu’un ayant accès à votre ordinateur (physiquement ou parce qu’il utilise une Backdoor pour le contrôler à distance) pourra accéder à vos comptes sans devoir en connaitre les identifiants.

Quels sont les risques ?

En plus des risques évidents d’utilisation frauduleuse de vos données bancaires, le piratage de vos « comptes » informatiques ou web peuvent générer de multiples tracas. Utilisation de votre adresse email pour adresser des campagnes de SPAM (courriers non souhaités) pour le VIAGRA entre autres. Utilisation de votre compte Facebook pour des campagnes de dénigrement. Inscription à votre insu sur des sites spécialisés (pornographie, politiques etc…). Utilisation de votre adresse email pour envoyer des demandes d’aide (financière la plupart du temps) à tout votre carnet d’adresses. Remplacement de pages de votre site internet, commande sur des sites de marchandises ou de produits illégaux. Cette mini-liste est loin d’être exhaustive.

Comment bien créer vos mots de passe ?

La première règle est d’utiliser des mots de passe longs, complexes mélangeant les lettres les chiffres les majuscules et les caractères spéciaux (lorsque c’est autorisé). Un exemple de mot de passe pourrait être par exemple : tH78jJlMa#458. Il est trop difficile à retenir ? Attendez la suite… La deuxième règle est d’utiliser des mots de passe différents sur chacun de vos comptes, l’idéal étant de ne jamais utiliser 2 fois le même. C’est encore pire me direz-vous ? Attendez la suite, ou passez directement au chapitre : Quelles solutions ?

Une autre voie pour imaginer son mot de passe est d’utiliser (ici aussi, uniquement lorsque c’est permis) des phrases mnémotechniques en langage naturel par exemple : « le cheval blanc d’Henri 4 ». Facile à retenir pour vous, cette phrase est un vrai cauchemar à trouver et décrypter par les hackers.

Quelles solutions ?

Comme expliqué plus haut, l’enjeu est simple, avoir 1 mot de passe complexe par compte et pouvoir tous les retenir. Impossible quand nous en utilisons chacun plusieurs dizaines ? Eh bien non. Il existe des outils de type coffre-fort vous permettant de stocker tous ces mots de passe, de les crypter de façon indéchiffrable et d’y avoir accès tout le temps de partout. Grâce à 1 seul mot de passe (long et complexe, ainsi que vous retiendrez !) vous ouvrirez le logiciel et pourrez copier/coller ou lire vos mots de passe. En général ces logiciels sont peu couteux, de l’ordre de quelques dizaines d’euros. Ils disposent souvent de versions PC (ou MAC) synchronisables avec des versions mobiles (iPad, iPhone, Androïd, etc.) vous permettant de vous déplacer en toute sécurité avec votre base de mots de passe. Pour ma part, je reste méfiant, peut-être à tort sur les solutions de type Cloud qui stockent vos informations sur leur serveur distant tel que Roboform. Je préfère les solutions de bases de données cryptées installées sur mes machines. Voici quelques exemples de solutions à regarder : KeePass, OnePassword ou encore Kaspersky Password Manager. Bien entendu, sécurité oblige, je ne vous dirais pas celui que j’utilise, ni même s’il fait partie de cette liste 😉

Images Associées et la sécurité de ses clients

Pour tout ce que nous créons pour nos clients, la sécurité est un enjeu majeur. Nous avons mis en place au sein de Web Images Associées des procédures draconiennes sur la sécurité des informations. Nous appliquons évidemment nos propres conseils quant à la gestion des mots de passe, et bien plus encore, mais ceci est une autre histoire… Pour toute information concernant votre site internet, consultez-nous.

Et vous ? Racontez-nous.

Si vous avez connu ou subi des « désagréments » liés au vol de vos identifiants, n’hésitez pas à nous faire partager votre expérience en laissant un commentaire en bas de cet article.