Passer au contenu principal

Les 7 risques liés au partage des mots de passe sans gestionnaire de mots de passe

|Dashlane

Le partage de mots de passe est une pratique courante et inévitable à l'ère du numérique, qui peut vous rendre vulnérable au piratage et aux failles de données. Heureusement, un gestionnaire de mots de passe constitue un moyen sûr et pratique de partager des informations privées tout en minimisant les risques liés à l'échange de mots de passe.

Qu'est-ce que le partage des mots de passe ?

Le partage de mots de passe consiste à donner vos identifiants à d'autres personnes afin qu'elles puissent accéder aux mêmes comptes, services ou applications que vous. Cela peut se faire de différentes manières et dans différents contextes, notamment :

  • Le partage de comptes de vente en ligne et de services par abonnement : les identifiants sont souvent partagés par les membres d'un ménage pour accéder à des services de divertissement. Cette commodité peut compromettre la sécurité, car les informations confidentielles des comptes et les coordonnées bancaires peuvent être exposées si l'un des utilisateurs avec qui elles sont partagées est concerné par une faille de données. Alors que la liste des abonnements s'allonge (Netflix, Hulu, HBO, Disney+, Amazon Prime, et ainsi de suite), il est possible de partager les comptes avec vos proches de manière plus sécurisée en évitant de réutiliser les mots de passe d'autres comptes partagés ou précédemment ouverts.
  • Le partage de comptes professionnels : les politiques des entreprises fournissent souvent des conseils qui aident les travailleurs à sécuriser leurs données et leurs comptes. Malheureusement, cela n'élimine pas les pratiques dangereuses de partage de mots de passe sur le lieu de travail, comme les feuilles de calcul partagées, les post-its sur les postes de travail ou les plateformes de messagerie que plusieurs employés peuvent consulter. Les stratégies de protection des mots de passe sur le lieu de travail, spécialement conçues pour le partage de comptes, peut contribuer à minimiser ces habitudes archaïques.
  • L'envoi de mots de passe par e-mail, SMS ou Slack : le partage de mots de passe par e-mail et par SMS est également devenu une pratique courante, car les appareils mobiles nous permettent de récupérer des informations depuis nos téléphones, peu importe l'endroit où nous nous trouvons. Il n'est pas judicieux de partager vos mots de passe en utilisant ces méthodes, car ces messages peuvent être stockés indéfiniment et ne sont pas protégés par un mécanisme de chiffrement. De même, les plateformes de communication comme Slack et WhatsApp peuvent devenir des cibles de piratage, car il s'agit de forums non protégés qui sont fréquemment utilisés pour partager des informations confidentielles.
  • L'envoi de mots de passe à usage unique (OTP) et de codes de confirmation : la double authentification (2FA) a recours à un deuxième identifiant, comme un code envoyé par SMS ou via une application, pour renforcer la vérification de l'identité de l'utilisateur. Au cours du processus de récupération de mots de passe, des mots de passe à usage unique (OTP) sont parfois envoyés pour accorder un accès temporaire. Nos appareils mobiles nous permettent de contourner ces mesures de sécurité en envoyant instantanément des codes de confirmation et des mots de passe à usage unique à des personnes de confiance qui demandent l'accès à nos comptes.
  • Le partage de mots de passe sécurisé et chiffré : le seul moyen sûr de partager des mots de passe, des notes et des messages privés avec ses amis, les membres de sa famille ou ses collègues est d'utiliser un gestionnaire de mots de passe doté d'un portail de partage sécurisé. L'architecture « zero-knowledge » utilisée par les meilleures solutions de gestion de mots de passe garantit que personne ne pourra jamais accéder à vos mots de passe complexes, messages ou données de compte partagés sans votre autorisation.

Vous voulez en savoir plus sur l'utilisation d'un gestionnaire de mots de passe, seul ou avec vos amis et votre famille ?

Découvrez notre forfait Friends and Family ou essayez gratuitement le gestionnaire de mots de passe Dashlane.

Les 7 risques liés au partage non sécurisé de vos mots de passe

  1. Le risque de piratage : de nombreuses tactiques de piratage s'appuient sur la faiblesse des mots de passe et les mauvaises habitudes de stockage. Le partage de mots de passe peut exposer les identifiants à plusieurs endroits à la fois, ce qui vous rend plus vulnérable aux tactiques de piratage telles que :
  • Le phishing : dans ce type d'attaque, les pirates se font passer pour des entreprises ou des personnes réputées, et parfois même pour des collègues ou des dirigeants de votre entreprise, et vous envoient des e-mails visant à vous inciter à cliquer sur des liens malveillants ou à communiquer des informations confidentielles telles que vos mots de passe ou vos numéros de carte bancaire. Les escrocs comptent sur le fait que nous sommes prêts à partager nos mots de passe par e-mail pour mener à bien leurs campagnes de phishing. Les e-mails de phishing sont parfois difficiles à détecter. Il est donc préférable de contacter directement les entreprises pour vérifier si les messages suspects que vous recevez sont légitimes.
Graphic with an icon representing a computer hacker sending a phishing email to an unsuspecting person.
  • Les attaques par force brute : si vous avez déjà saisi un mot de passe erroné, puis essayé de vous connecter avec plusieurs variantes de ce même mot de passe dans l'espoir de tomber sur le bon, alors vous comprenez le principe de base d'une attaque par force brute. Les pirates déploient cette stratégie d'essai et d'erreur avec l'aide de logiciels conçus pour tester les combinaisons le plus rapidement possible. Les mots de passe simples et couramment utilisés nous rendent plus vulnérables aux attaques par force brute, car les algorithmes informatiques utilisés par les pirates peuvent facilement les deviner. Les mots de passe partagés mettent en danger plusieurs utilisateurs si une attaque par force brute réussit.
  • Le credential stuffing : cette stratégie est similaire à l'approche par essai et erreur utilisée dans une attaque par force brute, sauf qu'au lieu de générer aléatoirement des identifiants, les pirates achètent de vrais identifiants sur le dark Web, puis utilisent un logiciel pour introduire ces informations dans plusieurs sites à la fois. Comme il peut être difficile de garder une trace des mots de passe partagés, ils sont plus susceptibles d'être compromis à votre insu et de se retrouver sur le dark Web. Le credential stuffing a conduit à la compromission d'environ un demi-million de comptes sur Zoom durant la pandémie.
Infographic explaining the process of credential stuffing through an icon representing a hacker, an arrow pointing to a folder icon of credentials purchased on the dark web, an arrow pointing to icons representing various login boxes, and a final arrow pointing to a warning icon on an image of the victim's personal account. 
  • Les logiciels malveillants : les termes « logiciel malveillant » ou « malware » sont des termes génériques qui désignent tout logiciel malveillant téléchargé sur un appareil. Certains types de logiciels malveillants déploient des moniteurs d'enregistrement de frappe ou d'activité pour capturer des informations précieuses, notamment des mots de passe, et certains peuvent rendre votre appareil complètement inutilisable jusqu'à ce qu'une rançon en cryptomonnaie soit payée. Si un appareil ayant accès à un compte partagé est compromis par un logiciel malveillant, tous les autres utilisateurs du compte doivent en être informés.
  1. Les employés qui quittent l'entreprise (avec leurs mots de passe) : les risques liés au partage des mots de passe au travail se multiplient lorsqu'un employé quitte l'entreprise. Même si les responsables ou les équipes informatiques suppriment généralement l'accès au réseau en fin de contrat, l'employé qui quitte l'entreprise peut encore détenir des identifiants partagés. Dans de rares cas, des employés mécontents peuvent même vendre ces identifiants à des tiers après avoir quitté l'entreprise. Que ce soit intentionnel ou non, les informations confidentielles peuvent facilement quitter l'entreprise en même temps que les employés si elles ne sont pas correctement sécurisées.
  2. Des actions plus difficiles à contrôler sur les comptes partagés : les comptes partagés n'ajoutent pas seulement un risque, mais représentent également un obstacle à la praticité qu'ils sont censés apporter. Par exemple, le partage des mots de passe au travail ne permet pas de suivre les actions individuelles facilement puisqu'elles semblent toutes provenir du même compte. Il peut s'agir de contributions à un projet, de transactions comptables ou d'e-mails envoyés à partir de comptes partagés. À la maison, cela peut également entraîner une certaine confusion concernant les achats intégrés, les achats en ligne ou les locations de films.
  3. Les mots de passe interceptés sur les plateformes de communication : les plateformes de communication comme Slack peuvent sembler assez sûres, mais n'incluent pas les fonctionnalités de sécurité nécessaires à la protection des données, comme le chiffrement ou l'authentification multifacteur. Si un pirate informatique infiltre un canal de communication contenant des identifiants, tous les utilisateurs associés à ce compte doivent immédiatement réinitialiser leur mot de passe.
  4. Les utilisateurs indésirables qui accèdent à d'autres comptes : même si vous ne partagez pas vos mots de passe, leur réutilisation amplifie votre niveau d'exposition lors d'une faille de données puisque plusieurs comptes peuvent être impactés si un seul mot de passe est dérobé. Ce facteur de risque est encore plus marqué lorsque les mots de passe sont à la fois partagés et réutilisés, car un seul mot de passe expose un grand nombre d'appareils, de comptes et d'utilisateurs en même temps.
  5. Les mots de passe conservés dans des coffres-forts qui ne sont pas convenablement gérés ou contrôlés : les coffres-forts sécurisés sont la méthode privilégiée pour le partage de mots de passe, mais tous les coffres-forts ne garantissent pas le même niveau de protection et de sécurité. Par exemple, l'organisation à but non lucratif VillageReach a vécu l'expérience du détournement de ces coffres-forts. Lorsque les employés se sont mis à copier et coller leur référentiel initial de mots de passe partagés dans des gestionnaires de mots de passe de navigateurs non sécurisés, les problèmes ont commencé à l'emporter sur la commodité. VillageReach a résolu ce problème en adoptant le gestionnaire de mots de passe Dashlane pour créer, enregistrer et saisir automatiquement des mots de passe chiffrés en toute sécurité, et mettre en place un coffre-fort de partage de mots de passe plus sûr.
  6. La perte d'accès lors d'un changement de mot de passe : lorsque nous partageons des mots de passe manuellement, il peut devenir difficile de se rappeler lesquels nous avons partagés et avec qui. Si le titulaire du compte principal réinitialise un mot de passe partagé, toutes les personnes avec lesquelles le mot de passe a été partagé perdront leur accès si elles n'en sont pas informées. Cette situation est particulièrement agaçante pour les applications professionnelles partagées, lorsque la productivité est essentielle. Les meilleurs portails de partage sécurisé inclus dans un gestionnaire de mots de passe assurent le suivi des identifiants partagés afin que les mises à jour puissent être synchronisées automatiquement.

En quoi consiste le partage sécurisé avec un gestionnaire de mots de passe ?

Les gestionnaires de mots de passe génèrent automatiquement des mots de passe forts et sécurisés, les enregistrent en toute sécurité dans des espaces sécurisés dans le cloud, puis proposent une fonctionnalité de saisie automatique pratique et conviviale pour récupérer les identifiants de compte et utilisateur sans effort. Les meilleurs gestionnaires de mots de passe incluent également des fonctionnalités telles que le chiffrement, la double authentification (2FA) et les scores de sécurité, afin de proposer une solution de cybersécurité complète.

Le partage sécurisé est une autre caractéristique importante qui exploite les fonctionnalités intégrées de chiffrement et de stockage sécurisé du gestionnaire de mots de passe pour rendre le partage de mots de passe aussi sûr et pratique que possible. Un portail de partage sécurisé peut éliminer le besoin de recourir à des post-its, à des e-mails ou à des plateformes de communication destinées à d'autres usages pour partager des mots de passe.   

Comment les gestionnaires de mots de passe sécurisent les comptes partagés

Le portail de partage sécurisé de Dashlane vous permet d'envoyer des identifiants, des notes sécurisées et des informations de paiement à d'autres utilisateurs de Dashlane, même s'ils ne font pas partie de votre forfait Friends & Family. Les droits peuvent être personnalisés, permettant aux destinataires de voir, d'utiliser ou de modifier les informations partagées. Un e-mail et une alerte dans le centre de notifications s'affichent automatiquement lorsqu'un élément est partagé. Cette fonctionnalité utile complète la 2FA, l'architecture « zero-knowledge », les scores de sécurité et la surveillance du dark Web, dans le cadre d'un kit d'outils de cybersécurité complet.

Le partage sécurisé des mots de passe est un élément essentiel de votre cybersécurité personnelle et professionnelle, mais les mots de passe eux-mêmes sont encore plus importants.

Découvrez pourquoi il vous faut des mots de passe sécurisés et à quel point il peut être facile de les créer et de les gérer.


Références

  1. Dashlane, « 5 choses à savoir avant de partager vos mots de passe avec votre partenaire », février 2021.
  2. Dashlane, « Comment ne plus jamais réutiliser un seul mot de passe », janvier 2020.
  3. Dashlane, « How to Manage Passwords at a Business Level »[Comment gérer les mots de passe en entreprise], septembre 2022.
  4. Dashlane, « Le guide de double authentification du débutant », août 2022.
  5. Dashlane, « Partager vos éléments enregistrés dans Dashlane », 2023.
  6. Dashlane, « A Deep Dive into Dashlane's Zero-Knowledge Security » [La sécurité « zero-knowledge » de Dashlane en détail], août 2022.
  7. Dashlane, « What the Hack is Phishing? » [Mais c'est quoi d'abord le phishing ?], mars 2020.
  8. Dashlane, « What the Hack is a Brute Force Attack? » [Mais c'est quoi d'abord une attaque par force brute ?], février 2020.
  9. Dashlane, « Les 10 mots de passe les plus courants (Le vôtre figure-t-il dans la liste ?) », septembre 2022.
  10. Dashlane, « Le credential stuffing, c'est quoi ? », septembre 2020.
  11. CPO Magazine, « Half a Million Zoom Accounts Compromised by Credential Stuffing, Sold on Dark Web », avril 2020.
  12. Dashlane, « What the Hack Is Malware? » [Mais c'est quoi d'abord un malware ?], février 2020.
  13. Dashlane, « Le partage de mots de passe sur Slack : une pratique risquée », novembre 2019.
  14. Consumer Reports, « What to Do After a Data Breach », avril 2021.
  15. Dashlane, « Étude de cas : VillageReach élimine des centaines de mots de passe réutilisés et renforce la sécurité de son personnel dans le monde entier », février 2022.
  16. Dashlane, « Why Employees Shouldn’t Let Browsers Save Their Passwords » [Pourquoi les employés ne devraient pas laisser les navigateurs enregistrer leurs mots de passe], mars 2021.
  17. Dashlane, « 8 étapes simples pour convaincre votre boss d’adopter un gestionnaire de mots de passe », novembre 2020.
  18. Dashlane, « Meilleur moyen d'enregistrer des mots de passe chez vous ou au travail », septembre 2022.
  19. Dashlane, « Votre mot de passe est-il fort et devez-vous le changer ? » août 2022.
  20. Dashlane, « Comprendre le score de sécurité de votre mot de passe Dashlane », octobre 2020.
  21. Dashlane, « Surveillance du dark Web : les mots de passe utilisés par vos collaborateurs sont probablement compromis », juillet 2022.
  22. Dashlane, « Why You Need to Have Secure Passwords in 2023 » [Pourquoi il vous faut des mots de passe sécurisés en 2023], février 2023.
  23. Dashlane, « Créez une politique de mots de passe que vos collaborateurs suivront à la lettre », juillet 2022.
  24. Dashlane, « Le partage de mots de passe sur Slack : une pratique risquée », novembre 2019.
  25. Dashlane, « How RevGenius reduced offboarding risk with Dashlane’s human-centric UX » [Comment RevGenius a réduit le risque de désengagement grâce à l'UX orientée utilisateur de Dashlane], janvier 2023.

Inscrivez-vous pour connaître toute l'actualité de Dashlane