Beaucoup d’internautes ne modifient pas leur mot de passe, même après un piratage
Près des deux tiers des utilisateurs d’un site internet ne modifient pas leur mot de passe lorsque ce dernier annonce qu’il a été piraté. C’est ce qu’indique une étude récente menée par des chercheurs du Cylab, l’Institut de la sécurité et de la vie privée de l’université Carnegie Mellon.
249 participants ont accepté de communiquer leur historique complet de navigation entre janvier 2017 et décembre 2018 aux chercheurs de cette équipe. Leurs mots de passe étaient inclus.
Peu d’internautes réagissent après un piratage
Parmi eux, 63 étaient utilisateurs d’un ou plusieurs sites internet ayant annoncé avoir été victime(s) de violations de données. Mais seuls 21 d’entre eux (33 %) ont modifié leur mot de passe en conséquence sur les sites en question. 6 ne l’ont fait que plus de 3 mois après l’annonce du piratage.
31 des 49 utilisateurs de Yahoo! n’ont même pas changé leurs identifiants de connexion sur ce site. Pourtant, Oath (la maison-mère de Yahoo !) avait indiqué en octobre 2017 que la totalité de ses usagers avaient été touchés par un vol de données commis en août 2013.
Les chercheurs du CyLab ont également constaté que seules 9 personnes sur 21 ont renforcé la protection de leur compte en créant un mot de passe plus solide que le précédent. Les autres ont saisi un nouveau mot de passe d’une force équivalente, voire inférieure. Certains ont réutilisé des suites de caractères qui étaient déjà présentes dans leur ancien mot de passe. D’autres ont recopié un mot de passe déjà utilisé sur un autre site.
Des mots de passe trop vulnérables
Selon les chercheurs, ces comportements montrent que les utilisateurs ne sont pas assez sensibilisés à la nécessité de choisir des mots de passe uniques et de bonne qualité. Ils pointent du doigt les entreprises victimes de piratages, qu’ils accusent « de ne jamais inviter les gens à modifier les mots de passe identiques ou proches de ceux qu’ils ont paramétrés sur d’autres comptes ».
Ces résultats se basent sur un échantillon de sujets relativement modeste. Mais ils sont probablement assez réalistes, parce qu’ils reposent sur du trafic réel. En effet, d’habitude, les chercheurs procèdent par sondages, ce qui ouvre la porte à des déclarations inexactes.
Nos 3 recommandations en matière de mot de passe
Compte tenu du grand nombre de sites sur lesquels nous devons nous connecter au quotidien, il peut être tentant de se simplifier la vie en employant le même mot de passe à chaque fois. Mais votre entreprise ne peut probablement pas se permettre d’ignorer les risques associés à cette pratique.
1. Des mots de passe complexes
Certains pirates pratiquent ce que l’on nomme des “attaques par force brute”. À l’aide d’un logiciel, ils testent une à une les différentes combinaisons possibles de chiffres et de lettres afin de retrouver le mot de passe d’un utilisateur donné.
C’est pourquoi vous devez imposer la création de mots de passe assez longs (au moins 8 caractères), combinant chiffres, lettres et caractères spéciaux. Plus ils sont complexes, et moins ils sont “crackables” par ces logiciels.
Veillez également à ce que les mots de passe créés soient dépourvus de sens. En effet, certains logiciels de piratage testent tous les mots du dictionnaire. De même, il faut éviter les dates de naissance, prénoms des enfants, et autres données “familiales” qu’un hacker astucieux pourrait facilement obtenir.
2. Utilisez un gestionnaire de mot de passe
Les gestionnaires de mot de passe sont des applications conçues pour générer et stocker tous vos identifiants de connexion. Chaque fois que vous vous connectez à un site, le gestionnaire les remplit automatiquement pour vous.
S’il s’agit d’une première inscription, il vous proposera un mot de passe, en fonction de vos spécifications (longueur totale, présence de caractères spéciaux, de chiffres ou de majuscules, etc.).
Au final, vous n’aurez plus qu’un seul mot de passe à mémoriser : celui de l’application elle-même, qui permet d’ouvrir votre “coffre-fort” d’identifiants de connexion.
Ces gestionnaires de mot de passe sont aussi proposés en version mobile. Vous pouvez donc surfer indifféremment sur votre ordinateur de bureau ou votre smartphone avec les mêmes identifiants.
3. Renouvelez périodiquement vos mots de passe
Enfin, il est important de modifier régulièrement vos mots de passe, notamment sur les sites les plus sensibles. Songez aux sites de e-commerce qui contiennent vos données bancaires… Un pirate muni de vos identifiants pourrait très facilement y réaliser des achats.
