Vous vous demandez sûrement si on parle de quelques comptes utilisateurs qui ont été piratés. En réalité, ce sont bien plus que quelques comptes. La fuite 2021 de Facebook inclut les informations personnelles de 533 millions d’utilisateurs. On parle ici des numéros de téléphone, adresses, email, âge, liens de parenté… bref tout ce qu’il faut pour faire du vol d‘identité. Et ces fuites ne sont pas les pires.
Les pires sont celles qui incluent les mots de passe. Vous vous dîtes surement « Bah, il n’y a qu’à aller changer le mot de passe de mon compte ». C’est certes un bon début mais saviez-vous que 13% des gens réutilisent le même mot de passe pour tous leurs comptes ? Et que 52% des gens réutilisent le même mot de passe pour plusieurs comptes (mais pas tous) ? Seuls 35% des gens utilisent un mot de passe différent pour chacun de leurs comptes.
Vous avez 35 comptes? Vous devez avoir 35 mots de passe différents, et forts. On ne parle pas ici de trucs et astuces du genre PapaMamanFB, PapaMamanLI, PapaMamanIG, etc. On parle d’avoir de vrais mots de passe tous différents et complexes comme nn?uW9ZTg[W4, ou encore [vmtN9<nx!7R, ou encore 4Xy&#-$L*;8*}P&fM(,).
C’est la seule façon de protéger tous nos comptes en cas de fuite de données. Pour simplifier la gestion de tous ces mots de passe, il existe des gestionnaires de mot de passe. Surveillez un de nos futurs articles sur ce sujet.
Comme me disait l’autre jour mon beau-frère : « Les mots de passe sont supposés être chiffrés dans les réseaux sociaux alors en quoi est-ce un problème? ». C’est une question pertinente.
D’abord il y a les réseaux sociaux qui disent « Votre sécurité et celle de vos données sont importantes pour nous… » et qui ont en stockage des mots de passes non-chiffrés. Ceux-là donnent instantanément accès à vos autres comptes quand il y a une fuite.
Ensuite il y a les mots de passe chiffrés. Là, les cybercriminels doivent les casser avec des machines puissantes, des processeurs de calcul rapides, et des programmes informatiques spécialisés. Par exemple, casser un mot de passe « normal » de 8 caractères avec des minuscules, majuscules et des chiffres, prend 8 heures au maximum. Si on enlève les chiffres, ça devient 22 minutes et ça descends à 5 secondes quand on a juste de minuscules. Maintenant vous comprenez pourquoi ces « rabat-joie » de la sécurité demandent des mots de passe complexes. Ils servent à bloquer l’accès aux gens qui auraient mis la main sur la version chiffrée du mot de passe. Un mot de passe constitué uniquement de lettres minuscules doit être long d’au moins 15 caractères pour être sécuritaire (ça prend 1000 ans pour le casser).
Donc, les mots de passe deviennent sécuritaires s’ils sont longs et/ou complexes. Surveillez un de nos futurs articles sur la composition des mots de passe, et particulièrement les phrases de passe. Une phrase comme « La tortue était si rapide que le lièvre en est resté coi » prendras plus de temps à casser que ce qui reste de temps au soleil pour se transformer en supernova (des trillions d’années). Comme peu de personnes ont ce genre de patience (ou de longévité), ce mot de passe peut être considéré comme sécuritaire.
La seule chose à retenir pour l’instant, c’est qui vous faut avoir un mot de passe sécuritaire pour chacun de vos comptes. Le sujet fascinant des mots de passe sera exploré dans les prochaines semaines avec une série d’articles sur différents aspects du sujet.
Ne manquez pas ces articles sur le blog de la cybersécurité de Semafor Conseil.