Vos mots de passe font-ils partie de ceux parmi les plus populaires et hackés ? Suivez nos conseils et bonnes pratiques pour renforcer votre stratégie de protection, à titre professionnel comme personnel.
En 2023, la sécurité des mots de passe doit être une priorité. Et ce n'est pas la CNIL qui dira le contraire ! En effet, l’organisme de Commission Nationale de l'Informatique et des Libertés a récemment publié de nouvelles recommandations au sujet des mots de passe, que nous vous conseillons de suivre scrupuleusement en vue d’adopter une cyberhygiène adaptée.
Les experts en sécurité prédisent la fin des mots de passe depuis plus de dix ans, mais cela reste le principal moyen de se connecter à nos comptes en ligne et nos applications mobiles. La raison principale ? Nous savons tous exactement comment les utiliser, et beaucoup d’entre nous sont réticents à l’idée de devoir s’approprier de nouvelles méthodes. Mais il est probablement temps de changer nos habitudes, car les cyberattaques sont de plus en plus nombreuses, intelligentes et intransigeantes, et nous devons apprendre à construire des mots de passe en vue de maximiser notre sécurité.
La liste de NordPass des 200 mots de passe les plus courants en 2022 confirme exactement cela et il est évident qu’ils représentent un énorme risque pour la sécurité. Si le vôtre figure sur la liste, changez-le immédiatement. Mieux encore, changez la façon dont vous gérez vos identifiants. Attendre qu’il soit trop tard pourrait vous coûter beaucoup de temps et d’argent, et vous causer... du stress, et bien des ennuis notamment si cela impacte votre entreprise.
Vos mots de passe sont la clé de votre cybersécurité
Nos identifiants sont le ciment de notre vie numérique, et ils s’appuient sur des services de streaming, des services bancaires en ligne, des comptes de réseaux sociaux, de VTC, messagerie, etc. Souvent, nos données personnelles ainsi que les détails de nos moyens de paiement sont stockés sur ijaw ces emplacements et c'est précisément la raison pour laquelle ils sont si populaires dans le milieu de la cybercriminalité.
Un rapport de juin a révélé que 24 milliards de combinaisons de noms d’utilisateur et de mots de passe circulent sur les marchés criminels en ligne, soit une augmentation de 65 % par rapport aux chiffres de 2020, et près de quatre pour chaque personne sur la planète.
Les criminels utilisent différentes techniques pour s’emparer des mots de passe, notamment :
-
L’hameçonnage : une des plus anciennes arnaques. Un escroc vous contacte par email, SMS ou téléphone en se faisant passer pour une entité de confiance. En général, il invente une excuse pour vous obliger à saisir votre identifiant à nouveau et fournir d’autres informations.
-
La force brute : les pirates peuvent désormais utiliser des outils automatisés pour procéder à une automatisation en vue de trouver la bonne combinaison et de tenter d’accéder à des comptes. Ils introduisent souvent des mots de passe couramment utilisés pour voir s’ils permettent l’accès.
-
Le « credential stuffing » : il s’agit d’un type d’attaque par force brute au cours de laquelle les pirates utilisent des mots de passe fuités qu’ils ont achetés dans le milieu de la cybercriminalité. Ils les introduisent dans des scripts automatisés pour les essayer sur plusieurs sites et applications simultanément, afin de voir s’ils correspondent.
-
Les enregistreurs de frappes/voleurs d’informations : les malwares voleurs d’informations sont parfois diffusés via des emails d’hameçonnage ou des applications mobiles malveillantes infiltrées dans des app stores. Une fois installés sur un appareil ou une machine, ils récoltent secrètement les mots de passe au fur et à mesure qu’ils sont saisis.
-
Le coup d’œil par-dessus l’épaule : un autre classique, plus courant maintenant que les gens voyagent à nouveau pour travailler. Faites attention lorsque vous saisissez des mots de passe dans un lieu public, car les personnes autour de vous pourraient les intercepter.
Une fois sur votre compte, les pirates peuvent voler toutes les données personnelles et les informations bancaires qui y sont stockées. Ou les utiliser eux-mêmes à des fins de fraude à la carte de paiement et autres. La valeur des transactions frauduleuses par carte de paiement en 2021 a dépassé 32 milliards de dollars US, et devrait atteindre 38,5 milliards de dollars US d’ici 2027.
Quels sont les mots de passe les plus faciles à pirater ?
Malheureusement, de nombreux internautes facilitent la vie des criminels. Selon une base de données de 3 To de mots de passe fuités lors d’atteintes à la sécurité, le mot de passe le plus populaire dans 30 pays était « password », avec près de cinq millions d’occurrences. Vient ensuite « 123456 », suivi de « 123456789 », un peu plus long. Le top 5 comprend enfin « guest » et « qwerty » La plupart des comptes soi-disant protégés par ces mots de passe peuvent ainsi être piratés en moins d’une seconde.
Vous pouvez consulter la liste complète sur le site web de NordPass, mais voici les 20 premières entrées de la liste cette année.
Position | Mot de passe | Position | Mot de passe |
1 | password | 11 | 1234567 |
2 | 123456 | 12 | 1234 |
3 | 12123456789 | 13 | 1234567890 |
4 | guest | 14 | 000000 |
5 | qwerty | 15 | 555555 |
6 | 12345678 | 16 | 666666 |
7 | 111111 | 17 | 123321 |
8 | 12345 | 18 | 654321 |
9 | col123456 | 19 | 7777777 |
10 | 123123 | 20 | 123 |
Les 20 mots de passe les plus courants dans le monde en 2022 (source : NordPass)
En dehors de ces mots de passe les plus élémentaires, les chercheurs constatent chaque année l’émergence de schémas similaires. Parmi les grands favoris :
-
Des équipes sportives : par exemple l’équipe de football « Red Star Belgrade », qui comptait plus de 58,5 millions d’occurrences.
-
Les marques de mode : par exemple « tiffany », utilisée près de 14,8 millions de fois.
-
Des vulgarités : la plus populaire d’entre elles était « fuck », utilisée plus de 21 millions de fois.
-
Des artistes : « U2 » en tête avec plus de 33 millions d’occurrences.
-
Des films : le plus populaire était « leon » avec 6,4 millions d’occurrences.
-
Des marques de véhicules : plus de huit millions d’utilisateurs avaient « mini » comme mot de passe.
-
Des jeux vidéo : le plus populaire en 2022 était « arma » avec plus de 6,2 millions d’utilisateurs.
-
De la nourriture : près de 8,6 millions de mots de passe utilisaient le mot « fish »
Pire encore : si nous réutilisons ces mots de passe, les saisissons à la vue de tous ou les partageons avec d’autres, cela facilite encore plus la tâche des pirates et des fraudeurs potentiels. Et si nous utilisons au travail les mêmes mots de passe que dans notre vie privée, nous risquons même d’exposer notre employeur. Les répercussions pourraient être encore plus graves si des pirates parvenaient à voler les données de l’entreprise.
Comment maximiser la sécurité des mots de passe
Heureusement, la sécurité des mots de passe est l’une des choses les plus faciles à mettre en œuvre, avec des avantages immédiats pour notre vie numérique. Suivez ces conseils pour protéger vos informations personnelles, votre entreprise et vos données financières :
-
Utilisez toujours des mots de passe ou des phrases de passe complexes et uniques. Il sera ainsi plus difficile pour les pirates de les deviner ou d’utiliser la technique de « credential stuffing ».
-
Ne réutilisez jamais les mêmes mots de passe, sans quoi les fraudeurs pourraient être en mesure d’accéder à plusieurs comptes lorsqu’ils mettent la main sur un seul identifiant.
-
Ne partagez pas vos mots de passe, car d’autres personnes pourraient les utiliser à mauvais escient, même de façon involontaire.
-
Fermez tous les comptes inutilisés, car ils peuvent représenter un risque pour la sécurité si vous n’avez pas remarqué qu’ils ont été piratés.
-
Utilisez un gestionnaire de mots de passe et envisagez ses fonctionnalités de générateur de mots de passe. Il suggère et stocke automatiquement des mots de passe longs, robustes et uniques, et vous permettra de vous connecter à n’importe quel site. Vous n’avez besoin que de mémoriser le mot de passe principal de l’outil.
-
Vérifiez régulièrement la robustesse des mots de passe et modifiez ceux qui sont trop faibles ou dépassés.
-
Ajoutez l’authentification multifacteur (MFA) lorsque c’est possible. La plupart des comptes comportent désormais une option à cet effet. Elle ajoute une couche de sécurité supplémentaire aux mots de passe en exigeant un autre « facteur » d’authentification, tel qu’un scan du visage ou d’une empreinte digitale, ou un code à usage unique.
-
Ne vous connectez pas aux réseaux Wifi publics, car des cybercriminels présents sur le même réseau pourraient être en mesure de récupérer vos mots de passe.
-
Utilisez les solutions de sécurité d’un éditeur reconnu pour vous protéger contre les voleurs d’informations et autres malwares, les attaques d’hameçonnage et autres menaces.
-
Faites attention aux personnes qui pourraient vous espionner par-dessus l’épaule lors de vos déplacements. Pensez à utiliser un filtre de confidentialité pour l’écran de votre ordinateur portable.
-
Ne cliquez pas sur des liens suspects dans les emails et les messages texte non sollicités. En cas de doute, contactez directement l’expéditeur, non pas en renvoyant le message mais en recherchant ses coordonnées sur Google.
-
Connectez-vous uniquement à des sites utilisant le protocole HTTPS, car ils sont sécurisés et offrent donc une protection supplémentaire contre les attaques capables d’intercepter vos identifiants.
-
Inscrivez-vous à un service qui vérifie si vos mots de passe ont été fuités lors d’une intrusion.
Vous avez peut-être pris de nombreuses résolutions pour la nouvelle année 2023. Mais si vos propres mots de passe figurent dans la liste ci-dessus, l’amélioration de la sécurité de ceux-ci sera l’une des plus importantes d’entre elles.
Enfin, n’hésitez pas à écouter notre expert ESET France, Benoit Grunemwald et son intervention au sein du podcast Monde Numérique lors d’un épisode dédié à la thématique des mots de passe et les bonnes... et mauvaises pratiques en la matière !