Ce 6 mai, c'est la journée mondiale du mot de passe. Les particuliers sont encore peu sensibilisés aux risques qu'ils encourent sur internet avec le vol de leurs données : usurpation d'identité, piratage dans leur entreprise, vol, etc. Pourtant, c'est un phénomène courant.
"La majeure partie des attaques en ligne commencent par l'utilisation d'un mot de passe qui a fuité, c'est souvent le premier maillon de cyberattaques", signale Alexandre Gazzola, directeur régional Méditerranée chez Orange cyberdéfense, consultant en cybersécurité.
Au sein de son entreprise, il propose des solutions contre ce type d'attaques et peut être amené à investiguer sur la chaîne de causalités.
Nous avons interrogé ce professionnel, habitué à combattre les cyberattaques, ainsi que l'adjudant-chef Cali, enquêteur numérique à la gendarmerie de Gap, spécialisé dans ces délits. Ils nous ont donné 6 conseils simples pour mieux se protéger en ligne.
1. Connaître les risques
Les pirates ont plusieurs méthodes pour récupérer les mots de passe, "ils peuvent tester l'une après l'autre plusieurs combinaisons d'un mot de passe, avec un processus automatisé. Ils peuvent récupérer des données sur des sites internet présentant des failles de sécurité et les utiliser sur d'autres sites, ils peuvent également récupérer un maximum d'informations en sources ouvertes accessibles, établir un profil de l'utilisateur et essayer de deviner un mot de passe. Par exemple à partir du nom de l'animal de compagnie de l'utilisateur ou de sa ville de résidence", souligne l'adjudant-chef Cali.
"Le vol de données personnelles est un business florissant, insiste-t-il. La victime n'a aucun moyen de se retourner. En usurpant l'identité de leurs victimes, les pirates créent des comptes bancaires en ligne, des portefeuilles de cryptomonnaies ou des sociétés, souvent pour blanchir de l'argent acquis illégalement. Lorsqu'on enquête, on tombe sur des personnes dont l'identité existe. Elles peuvent se retrouver en garde à vue alors qu'elles n'ont rien fait, simplement parce qu'elles se sont fait voler leurs données personnelles."
Contrairement aux cas de cambriolages "classiques", les victimes peuvent ignorer qu'elles se sont fait voler.
Le gendarme cite des exemples de situations rencontrées lors de ses enquêtes, comme ces faux acheteurs sur des sites de seconde main qui disent au vendeur : "je ne suis pas sûr de votre identité, envoyez-moi une photo de vous à côté d'une pièce d'identité pour me prouver qui vous êtes". Ensuite, ils utilisent cette image pour usurper l'identité de leur victime.
Alexandre Gazzola propose un autre exemple : "vous commandez en ligne un billet pour une place de concert. Le jour où vous l'imprimez, si quelqu'un de malveillant a eu accès au mot de passe de votre boîte mail, il aura peut-être créé le billet avec le lien qui vous a été envoyé par courriel. Il peut revendre ou utiliser cet billet à votre place."
2. Des mots de passe différents à la maison et en entreprise
Dans ses activités au sein d'Orange cyberdéfense, Alexandre Gazzola le constate souvent : des fuites de mots de passe personnels d'un salarié peuvent mener à un vol de données au sein de son entreprise, si ses mots de passe sont identiques chez lui et au travail. Cela peut déboucher sur un blocage des activités de l'entreprise et une demande de rançon.
Pour éviter cela, Alexandre Gazzola conseille d'utiliser des mots de passe différents dans son environnement privé et professionnel.
3.Un mot de passe par site et par application
"Aujourd'hui, nous sommes amenés à utiliser des centaines de mots de passe", souligne Alexandre Gazzola. Inutile de tous les retenir. Il conseille d'utiliser un gestionnaire de mots de passe, qui retient tous vos codes. Il suffit de se rappeler d'un seul mot de passe : celui qui donne accès au gestionnaire. Pour éviter le piratage, des gestionnaires de mots de passe chiffrés sont validés par les autorités françaises.
L'adjudant-chef Cali donne les conseils suivants pour créer un bon mot de passe : "12 caractères minimum avec chiffres, lettres en majuscule et minuscule et caractères spéciaux. Il ne sert à rien d'en changer trop souvent si le mot de passe est bon. Choisissez une phrase qui vous est personnelle, évitez les paroles de chanson ou les répliques de films connus (les pirates peuvent automatiser cette méthode), et ne choisissez que les premières lettres de chaque mot. Remplacez certaines lettres par des caractères spéciaux puis à la fin, ajoutez les trois premières lettres du site sur lequel vous vous connectez."
Pour donner un exemple, notre phrase de base pourrait être "J'ai un bon mot de passe", avec la méthode proposée par le gendarme, nous pouvons la transformer en JuBmDp puis JùBµDp5 et enfin JùBµDp5FAC pour se connecter à Facebook et JùBµDp5MAI pour se connecter à notre mail.
Pour faciliter cette technique, la Commission nationale de l'informatique et des libertés (CNIL) a mis en place un générateur de mot de passe qui permet de créer son mot de passe à partir d’une phrase. Vous n’avez qu’à retenir la phrase et utiliser les initiales de la phrase pour créer votre mot de passe.
4. Activer la double authentification
Les sites internet des banques, les boîtes mail ou les services publics sont de plus en plus nombreux à demander, en plus d'un mot de passe, une vérification d'identité par mail ou sms. C'est la double authentification. Alexandre Gazzola recommande de l'activer dès qu'un site internet ou une application vous le propose.
5. Ne jamais communiquer son mot de passe
Cela peut sembler évident. Mais les pirates sont de plus en plus ingénieux et vous contactent avec l'adresse mail de votre supérieur hiérarchique ou d'un établissement dont vous êtes clients. Ils peuvent se montrer insistants et très convaincants. "Il ne faut communiquer son mot de passe ni par téléphone, ni par mail ni au travail, insiste le consultant en cybersécurité. Les administrateurs techniques n'en ont jamais besoin."
6. S'informer
Il arrive que des sites avec un grand nombre d'utilisateurs soient victimes de piratage, avec une fuite massive de données personnelles. Nous l'apprenons soit par mail, soit par l'actualité. "Lorsque vous recevez ce genre de mail, il faut d'abord vérifier qu'il s'agit bien d'un site sur lequel vous étiez inscrits et très rapidement changer de mot de passe", recommande Alexandre Gazzola.