Difficile de faire plus énervant que d’oublier son mot de passe. Certes, il est le plus souvent possible de le réinitialiser en quelques clics, mais la manipulation finit toujours par être laborieuse : un coup l’email de réinitialisation n’arrive pas dans votre messagerie, un coup le site refuse votre nouveau mot de passe, car vous l’auriez déjà utilisé, une autre fois vous ne vous rappelez plus de quelle adresse email vous avez lié au compte.
Pour résoudre ce problème, vous avez peut-être trouvé une « solution » facile, confortable, qu’au fond de vous, vous savez mauvaise : utiliser le même mot de passe, partout. Allez, pour la bonne conscience, vous avez tout de même créé des variantes de ce mot de passe en ajoutant un chiffre, une majuscule, ou un point d’exclamation.
Vous savez sûrement que c’est une mauvaise pratique, mais savez-vous à quels dangers vous vous exposez ?
Ne mettez pas vos œufs dans le même panier
Utiliser un même mot de passe revient à mettre tous ses œufs dans le même panier, et à multiplier les risques que ce panier soit accessible. Des dizaines de fuites de données sont rendues publiques chaque semaine, et ce n’est que la face cachée de l’iceberg. Les entreprises ne communiquent pas toutes sur leurs fuites, loin de là, et d’ailleurs, certaines ne savent même pas qu’elles sont victimes d’une fuite.
Êtes-vous déjà passé sur Have I Been Pwned, le site qui recense les fuites de données les plus connues ? Il vous suffit de renseigner votre adresse email pour savoir dans quelles bases de données fuitées se trouve votre adresse email, et si votre mot de passe fait partie des données compromises. Si c’est le cas, considérez ce mot de passe comme inutilisable à jamais, et changez-le partout où vous l’utilisez encore. Des dizaines, peut-être des centaines de personnes malintentionnées vont essayer de s’en servir pour se connecter à vos différents comptes (s’ils ne l’ont pas déjà fait).
Et pour cause : tout un pan de la cybercriminalité s’articule autour de la réutilisation de mot de passe. Au centre de ce business accessible par le menu fretin de la cybercriminalité se trouve les combo listes. Ces fichiers agrègent des identifiants (des duos email/mots de passe) trouvés sur différentes bases de données volées et les présentent sous forme de liste. Les combo listes se vendent pour quelques dizaines, voir centaines de dollars selon la quantité d’identifiants qu’elles contiennent, et si elles sont plus ou moins récentes.
Une seule fuite peut compromettre tous vos comptes
Prenons un exemple. Pierrot Numera a défini pour son compte Instagram le mot de passe « PieRRot!91RPZ », lié à son adresse email [email protected]. Ce mot de passe n’est pas très fort, mais il est suffisamment complexe pour qu’un malfaiteur ne puisse pas simplement le deviner.
Le problème, c’est que Pierrot est aussi inscrit à un petit forum de cuisine vieillissant, cuistot-a-gogo.fr, avec le même duo d’identifiant email/mot de passe. Ce forum de cuisine est tenu par un amateur passionné, qui n’a ni les compétences ni le temps de tenir son site à jour et de payer pour des protections supplémentaires.
Tout va bien pendant deux ans, mais un jour, toute la base de données du forum, mal protégée, se fait pirater par un hacker qui passait par là. Le malfaiteur n’a eu qu’à exploiter une vulnérabilité bien connue, à l’aide d’un outil obtenu gratuitement, puisque le propriétaire du site ne mettait pas ses logiciels à jour. Dans la base de données dérobée se trouvent le mot de passe et l’adresse email de tous les utilisateurs, dont ceux de Pierrot.
À partir de là, le cybercriminel peut exploiter les données à son propre compte ou les revendre sur des forums. C’est ici que la réutilisation des mots de passe devient problématique. Les malfrats vont essayer les duos d’identifiants de la fuite sur toutes sortes de sites. Concrètement, ils vont rentrer [email protected] et PieRRot!91RPZ sur LinkedIn, Facebook, Instagram, PayPal, Steam ou encore Amazon : des comptes sur lesquels ils espèrent récupérer les données personnelles et les coordonnées bancaires de Pierrot. Se faisant, ils misent sur le fait que Pierrot réutilise ses identifiants.
Justement, puisque Pierrot réutilise les identifiants de cuistot-a-gogo.fr sur Instagram, et qu’il n’a pas activé la double authentification, les malfaiteurs vont mettre la main sur son compte. Ils l’utiliseront ensuite pour dérober toutes sortes de données et conversations personnelles, mais aussi pour envoyer des phishings à ses abonnés. Pierrot a donc perdu son compte Instagram à cause de la mauvaise protection… d’un forum de cuisine. Mais les petits sites ne sont pas les seuls à être victimes de failles : le réseau social LinkedIn a par exemple subi une fuite des mots de passe de ses utilisateurs au début des années 2010.
Pourtant Pierrot aurait pu facilement se protéger contre ces tentatives des cybercriminels : il lui aurait suffi de définir un mot de passe différent pour Instagram et pour le forum de cuisine. Alors, ne soyez pas comme Pierrot, utilisez un mot de passe différent pour chacun de vos comptes (même si oui, ce n’est pas toujours pratique).
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !