Semaine 11 : Le recyclage, c’est bien, mais pas pour les mots de passe

19.03.2024 - Des mots de passe forts et complexes sont un élément important pour protéger de manière adéquate l’accès aux services internet. Le revers de la médaille c’est que les mots de passe de ce type dont difficiles à retenir, ce qui incite de nombreux utilisateurs à choisir le même sésame pour différents services ou à utiliser des mots de passe à structure systématique. Ce qui a pour conséquence de réduire à nouveau considérablement la sécurité. Pour cette raison, il est recommandé d’utiliser un gestionnaire de mots de passe. Un exemple signalé cette semaine à l’OFCS montre toutefois que ce genre d’outils présente aussi des inconvénients.

Réinitialisation du mot de passe par e-mail ou même mot de passe

La semaine dernière, l’OFCS a été informé d’un cas d’utilisation multiple d’un mot de passe qui avait « fuité » . En l’occurrence, le mot de passe n’a pas seulement été utilisé abusivement comme menace dans un courriel de fake-sextorsion, mais il a été repris dans divers comptes de médias sociaux. En outre, un accès à une boutique en ligne a eu lieu à partir du compte de la victime et, pour finir, un logiciel malveillant a été envoyé à tous les contacts enregistrés sur son compte de messagerie.

Dans de tels cas, il est probable que les pirates aient eu accès à l’adresse électronique et qu’ils tentent ensuite de prendre le contrôle de différents comptes à l’aide de la fonction de réinitialisation du mot de passe. L’OFCS a déjà publié une rétrospective hebdomadaire à ce sujet :

Toutefois, comme les attaques décrites ci-dessus ont probablement été commises par des groupes différents, l’OFCS considère qu’il s’agit ici d’un autre scénario. En l’occurrence, le mot de passe avait probablement déjà fuité depuis quelque temps et il a été proposé sur des forums spécifiques.

Une vérification de l’adresse électronique sur « Have I been Pwned » confirme cette hypothèse. « Have I been Pwned » est un service qui permet de vérifier si un mot de passe associé à une adresse électronique a fuité. Dans le cas présent, le mot de passe est apparu en 2020 dans un recueil de données proposé sur différents forums de pirates informatiques. Il faut donc partir du principe que les données d’accès étaient connues de différents groupes de malfaiteurs et qu’ils en ont fait un usage abusif à leurs propres fins.

Mention sur « Have I been pwned » indiquant que le mot de passe est apparu en novembre 2020 dans un recueil de données sur des forums de hackers.
Mention sur « Have I been pwned » indiquant que le mot de passe est apparu en novembre 2020 dans un recueil de données sur des forums de hackers.

Mais comment se fait-il que différents services aient pu être compromis avec le mot de passe dérobé ? La réponse est simple : dans ce cas, la victime a employé le même mot de passe pour plusieurs services et les différents criminels ont agi indépendamment les uns des autres en utilisant presque simultanément ce mot de passe à des fins différentes. Cet incident montre à quel point il est important d’utiliser un mot de passe différent pour chaque service internet.

Utilisation de mots de passe à structure systématique

Mais ce n’est pas tout. Il faut également veiller à ne pas baser la création de ses mots de passe sur une structure systématique.. Par exemple, si vous utilisez un mot de passe du type « CeciEstUnSuperMotDePasse!01 », il est plus que probable que la personne mal intentionnée tente aussi la variante « CeciEstUnSuperMotDePasse!02 ». En faisant des combinaisons et des essais ou en jouant aux devinettes, les pirates parviennent tout de même à s’emparer d’un compte.

Gestionnaire de mots de passe uniquement avec un mot de passe fort

Un gestionnaire ou un coffre-fort de mots de passe peut remédier à ce type de problème. Ce genre d’outil vous aide à créer des mots de passe sûrs et à les conserver. Il génère et stocke des mots de passe complexes et les renseigne automatiquement lorsque vous vous connectez à des sites web et des applications. Ainsi, il n’est pas nécessaire d’inventer un mot de passe compliqué lors de la création d’un compte, ni de s’en souvenir par la suite.

Toutefois, il convient ici aussi de tenir compte d’un point important. Ces gestionnaires de mots de passe sont protégés par un mot de passe principal, appelé mot de passe maître. Si ce mot de passe tombe entre de mauvaises mains, la sécurité est très compromise. Dans ce cas, le pirate a non seulement accès à tous les mots de passe, mais il sait aussi exactement auprès de quels services la victime possède un compte. C’est précisément un cas de ce type qui a été signalé à l’OFCS la semaine dernière. Un logiciel malveillant a accédé à l’ordinateur de la victime, sur lequel se trouvait également un fichier de gestion des mots de passe. Comme le fichier n’était protégé que par un mot de passe facile à deviner, ça n’était qu’une question de temps avant que les mots de passe ne tombent entre les mains des pirates. La victime a donc dû changer les mots de passe de tous les services à titre préventif. Heureusement, dans ce cas, la victime a remarqué l’accès indu à temps et a pu intervenir rapidement. Si une intrusion et la fuite de données qui en découle ne sont pas détectées, les conséquences peuvent être graves. Il est donc indispensable de définir un mot de passe maître qui soit sûr.

Mesures de précaution

  • Choisir un mot de passe d’au moins douze caractères composé de lettres majuscules et minuscules, de chiffres et, si possible, de caractères spéciaux.
  • Ne pas réutiliser les mots de passe.
  • Utiliser l’authentification à deux facteurs. Avec cette dernière, la connexion requiert par exemple, en plus du mot de passe, un code à plusieurs chiffres qui est généré et affiché dans une application (p. ex. « Authenticator »). Pas de panique : la configuration est facile et ne doit être réalisée qu’une seule fois. En outre, dans de nombreux cas, le code ne doit pas être saisi systématiquement, mais seulement lorsque l’on se connecte à partir d’un appareil inconnu. Avec une authentification à deux facteurs, les criminels doivent déployer beaucoup plus d’efforts pour prendre le contrôle du compte.
  • Saisir le mot de passe du compte de messagerie uniquement dans la messagerie web (vérifier l’URL) ou dans une application de messagerie sur ordinateur ou téléphone mobile. Il ne faut jamais accepter d’entrer son mot de passe sur des pages web que l’on a ouvertes à partir de liens reçus dans des courriels.
  • Employer si possible plusieurs adresses électroniques en fonction des différents usages.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 19.03.2024

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2024/wochenrueckblick_11.html