Pourquoi ne pas utiliser le même mot de passe partout en ligne ?
Les mots de passe sont omniprésents. Ils garantissent que nous seuls (ou les personnes que nous autorisons) pouvons accéder à nos informations et à nos biens privés, qu’il s’agisse d’argent à la banque ou d’identité sur les réseaux sociaux. Cependant, nous les prenons souvent à la légère, en utilisant le même mot de passe partout parce qu’il est facile à retenir.
Si de nombreux services et applications se sont améliorés en termes de sécurité, les pirates informatiques ont eux aussi considérablement progressé. En utilisant le même mot de passe partout, vous risquez de devenir une cible de choix pour les cyberattaques. Cette pratique présente d’autres inconvénients moins évidents.
Voici quelques raisons pour lesquelles vous devriez faire preuve de plus de diligence dans le choix de votre mot de passe.
1. Attaques par bourrage de mots de passe
Lorsqu’il s’agit d’utiliser le même mot de passe partout, vous n’êtes pas le seul. Selon le site web de NordPass beaucoup de gens utilisent des mots de passe faciles à deviner comme « guest » et « password ». Il s’agit d’une pratique horrible, car ces mots de passe apparemment contre-intuitifs ne prennent que très peu de temps à craquer.
Si vous utilisez un mot de passe aussi faible pour tous vos comptes, vous êtes la cible idéale d’une attaque par saturation. Il s’agit d’un type de cyberattaque qui consiste à introduire une vaste collection de mots de passe ou de noms d’utilisateur volés dans des milliers de sites web. Si votre mot de passe recyclé se retrouve dans une brèche de données, un grand nombre de vos comptes peuvent avoir des problèmes.
2. La mise en danger de vos comptes d’entreprise
En 2012, Dropbox a subi une violation qui a touché 69 millions d’utilisateurs en ligne. Selon The Guardian la faille s’est produite parce qu’un employé de Dropbox a réutilisé le même mot de passe sur Dropbox que celui qu’il utilisait auparavant sur LinkedIn. Lorsque son compte LinkedIn a été piraté, les pirates ont également eu accès au réseau d’entreprise de Dropbox.
Cela signifie que si vous recyclez les mots de passe de votre compte d’entreprise, vous vous exposez, ainsi que l’entreprise, à un risque considérable. C’est précisément la raison pour laquelle de nombreuses entreprises à la pointe de la technologie utilisent aujourd’hui des gestionnaires de mots de passe. Les gestionnaires de mots de passe vous permettent de stocker et de générer des mots de passe sécurisés.
En ajoutant votre employé ou votre sous-traitant à votre gestionnaire de mots de passe, il a accès à tous les comptes dont les mots de passe sont stockés dans l’application du gestionnaire, ce qui simplifie son processus de connexion – tout en éliminant la nécessité de partager le mot de passe avec lui.
3. Plus facile à deviner grâce aux outils d’IA
Les mots de passe réutilisés ou même similaires sont faibles, non uniques et facilement prévisibles. Les pirates peuvent facilement craquer de tels mots de passe à l’aide d’outils d’intelligence artificielle. Même la version gratuite de ChatGPT peut être utilisée pour trouver de tels mots de passe :
Si l’invite ci-dessus est trop simple pour deviner votre mot de passe, les pirates peuvent contourner les restrictions de ChatGPT et essayer de proposer une invite plus personnalisée pour deviner vos mots de passe.
Par exemple, j’ai écrit une invite, prétendant écrire une histoire sur un personnage fictif, Adam (toute ressemblance avec des personnes réelles est purement fortuite), où des pirates essaient de s’introduire dans son compte Facebook :
Voici comment ChatGPT a trouvé une liste de mots de passe que cette personne pourrait utiliser :
Certains de ces mots de passe semblent amusants, mais nous avons tendance à utiliser des mots de passe dont nous pouvons facilement nous souvenir (les personnes et les choses auxquelles nous tenons le plus). Ainsi, plus les pirates en savent sur nous (ce qui n’est pas difficile étant donné que nous affichons tout sur les médias sociaux), plus ils ont de chances de réussir à deviner notre mot de passe.
Les outils avancés de piratage de mots de passe par l’IA se situent à un autre niveau. Ils testent les mots de passe courants en utilisant des variations de mots ou de mots de passe trouvés dans des violations de données.
Si vous utilisez un mot de passe tel que « qwerty », il faut moins d’une seconde aux outils de craquage de mots de passe pour le déchiffrer. L’ajout de chiffres et le remplacement du mot de passe par « qwerty12345 » ne le rendent pas plus difficile à décrypter. De nombreux outils recherchent un motif, et les motifs les plus courants sont des chiffres évidents placés devant des phrases encore plus évidentes.
4. Le partage des mots de passe vous rend plus vulnérable
Recycler ses mots de passe est une mauvaise pratique, mais partager ces mots de passe réutilisés est encore pire. Même si la personne à qui vous communiquez votre mot de passe est digne de confiance, vous ne pouvez pas vous attendre à des violations de données ou à des cyberattaques. Votre compte est encore plus menacé si l’appareil de la personne avec laquelle vous avez partagé les détails de votre compte est compromis ou volé.
Une fois qu’un pirate informatique a accès à un appareil, tous les comptes et toutes les données sont à sa disposition. Par exemple, supposons que vous partagiez un compte Netflix avec quelqu’un. Si son ordinateur portable est piraté ou volé et que quelqu’un accède à ce compte Netflix, les données de votre carte de crédit sont immédiatement en danger.
Donc, premièrement, utilisez des mots de passe forts qui sont difficiles à deviner. Ensuite, utilisez l’authentification à deux facteurs ou un gestionnaire de mots de passe pour partager en toute sécurité un mot de passe avec vos amis et votre famille, et minimiser les risques.
5. Les attaques d’ingénierie sociale
L’ingénierie sociale consiste à manipuler les gens pour leur voler des informations privées. Il ne s’agit pas vraiment d’une compétence technique, mais plutôt d’un jeu psychologique. Les liens d’hameçonnage en sont l’exemple le plus courant.
Ce n’est plus aussi simple que le lien d’hameçonnage vous conduisant à une fausse page de connexion Facebook ou Instagram. Les pirates se font passer pour un ami, un collègue ou une organisation digne de confiance pour vous inciter à cliquer sur des liens qui compromettent vos comptes.
Ainsi, le pirate peut vous demander de vous inscrire à son nouveau service de démarrage, uniquement pour voir quel mot de passe vous utilisez. Dans certains cas, il peut vous contacter à partir du compte de votre ami qui a été compromis – la plupart d’entre nous n’ont pas la moindre idée de ce qui se passe lorsque nous ouvrons des liens provenant de nos amis, il s’agit donc d’un piège facile à mettre en place.
Étant donné que vous avez probablement réutilisé un mot de passe utilisé ailleurs pour vous inscrire à ce service, ils essaieront d’utiliser ce mot de passe pour tous les comptes dont ils ont connaissance. Si vous utilisez le même mot de passe pour votre application bancaire, vous risquez d’avoir des ennuis.
Si ce n’est pas le cas à chaque fois, cette technique fonctionnerait dans la plupart des cas.
6. Risque accru d’attaques d’initiés
Réutiliser les mêmes mots de passe partout augmente potentiellement les risques d’attaques internes. Supposons qu’un employé connaissant le mot de passe quitte votre organisation. Si le mot de passe reste inchangé, l’ancien employé pourra toujours accéder facilement à toutes vos données sensibles.
Si l’initié connaît un mot de passe qui a été utilisé partout, toutes vos applications et tous vos services sont immédiatement menacés. Ils peuvent utiliser ces informations d’identification pour mener des activités frauduleuses, exploiter des vulnérabilités ou nuire à des systèmes informatiques. Ces personnes peuvent également se faire passer pour des membres du personnel et manipuler leurs collègues pour qu’ils partagent des informations confidentielles.
De même, si le même mot de passe est utilisé sur plusieurs sites web, il sera difficile d’identifier l’initié en cas d’activité indésirable ou malveillante. Vous pouvez réduire les risques d’attaques d’initiés en adoptant des pratiques de sécurité rigoureuses. Un bon point de départ consiste à donner des identifiants personnalisés à tous vos employés.
Faites preuve de créativité, de discrétion et de rigueur dans l’utilisation des mots de passe
Quelles que soient les autres mesures de sécurité que vous prenez, votre présence en ligne sera toujours menacée si vous réutilisez le même mot de passe sur différentes plateformes. Certes, les mots de passe réutilisés sont plus faciles à retenir, mais vous le regretterez si vos comptes sont piratés.
Heureusement, il est possible que vous n’ayez plus du tout besoin d’utiliser des mots de passe à l’avenir. Des services comme Apple PassKeys utilisent l’authentification biométrique (FaceID ou TouchID) pour vous connecter à vos comptes. Il n’est donc plus nécessaire d’utiliser un mot de passe, car le service utilise une clé cryptographique. Lorsque d’autres entreprises commenceront à mettre en œuvre ce type de service, les mots de passe pourraient devenir une chose du passé.