Dashlane dévoile les lauréats du prix du pire mot de passe
Puisque le 6 mai marque la Journée mondiale du mot de passe, nous avons décidé de vous faire part de notre première évaluation semestrielle des cancres en matière de mots de passe afin de vous rappeler que les écueils sont nombreux dans ce domaine, même quand on pense avoir un niveau de protection suffisant. La Journée mondiale du mot de passe est l'occasion de sensibiliser à la création de mots de passe forts et uniques pour chaque compte. Cependant, cet événement n'offre pas toujours une raison de se réjouir. Alors que les failles de données continuent de faire la une, particuliers comme professionnels doivent être mieux informés et avoir accès à des outils faciles à utiliser qui correspondent à leurs habitudes en ligne afin de passer le test de cybersécurité.
Dashlane a dévoilé les lauréats du prix du pire mot de passe et, pour une fois, ce sont les perdants qui en sortent vainqueurs. Nous faisons également part de nos conseils pour maintenir et améliorer votre sécurité en ligne.
Le pire stage : SolarWinds
Apprendre qu'une faille de sécurité majeure est passée inaperçue pendant plusieurs mois est probablement la dernière chose dont toute entreprise avait besoin pour clôturer l'année 2020. C'est pourtant ce qui est arrivé à SolarWinds, une société informatique dont les services sont utilisés, entre autres, par les principaux organismes gouvernementaux américains et Microsoft. Elle a appris que des pirates informatiques avaient ajouté du code malveillant à son logiciel, leur permettant ainsi de bénéficier d'un accès à distance aux réseaux et données client. Pire encore, en février 2021, les dirigeants de SolarWinds ont accusé un stagiaire d'être à l'origine de cette faille. En effet, ce dernier aurait utilisé le mot de passe peu sûr solarwinds123 qui a fuité en ligne. Les choses à dire à ce sujet ne manquent pas, mais Katie Porter, membre de la Chambre des représentants des États-Unis, a tapé dans le mille en disant que le mot de passe qu'elle utilise pour empêcher ses enfants de passer trop de temps sur leur tablette est plus sécurisé que « solarwinds123 ». Nous n'aurions pas dit mieux.
Les plus susceptibles de gagner au Loto et de perdre le ticket : les utilisateurs de Bitcoin qui ont oublié leurs mots de passe
Temps, énergie, données utilisateur, réputation de l'entreprise ou encore argent : les risques liés aux mots de passe coûtent très cher, tant dans le monde de la finance classique que dans l'univers des cryptomonnaies. Alors que le cours des cryptomonnaies montait en flèche, des utilisateurs de Bitcoin ne pouvaient ni utiliser leur portefeuille, ni sauter sur l'occasion d'amasser une potentielle fortune en raison de mots de passe oubliés. Les post-it utilisés pour noter les mots de passe peuvent facilement être égarés, le stockage intégré aux navigateurs ne fonctionne pas partout et mémoriser les codes d'accès à votre royaume en ligne présente des risques qu'il vaut mieux éviter. Pour protéger vos clés d'accès, rien ne vaut donc un gestionnaire de mots de passe, surtout dans des cas comme celui-ci.
Le plus surprenant : les services des autorités locales
Le piratage d'une usine d'approvisionnement en eau en Floride et l'attaque de phishing dont a été victime le bureau du contrôleur de l'État de Californie ne sont que deux exemples parmi tant d'autres qui illustrent les défis auxquels les structures publiques doivent faire face en termes de cybersécurité. Malheureusement, nos impôts ne sont pas toujours utilisés à des fins de renforcement de la sécurité et les autorités locales (voire nationales) sont ainsi une cible facile pour les acteurs malveillants. Les fonctionnaires californiens se sont notamment fait avoir par un e-mail de phishing envoyé à plus de 9 000 personnes qui a permis aux pirates informatiques d'accéder au numéro de sécurité sociale et à d'autres données sensibles de nombreux habitants. Pendant ce temps-là, en Floride, des hackers sont parvenus à prendre les commandes du système informatique d'une usine de traitement des eaux avant de tenter de contaminer l'eau. Plus que jamais, les pratiques de cybersécurité deviennent une question de santé et de sécurité publique.
Le plus évitable : Verkada
Les actes de piratage sont beaucoup plus communs qu'il n'y paraît et ce n'est pas Verkada, une entreprise de caméras de surveillance basée dans le cloud, qui dira le contraire. En effet, Verkada a été victime d'un groupe international de pirates informatiques qui est parvenu à compromettre les systèmes de l'entreprise à l'aide d'un nom d'utilisateur et d'un mot de passe trouvés sur Internet. Les hackers ont alors pu accéder aux caméras des clients de Verkada, parmi lesquels se trouvaient les usines et entrepôts de Tesla, les salles de sport Equinox ainsi que certains hôpitaux, centres de détention et établissements scolaires. Elon Musk ne plaisantera sans doute pas sur cet incident lors de son prochain passage à l'émission SNL, puisque les failles de données évitables ne sont pas à prendre à la légère.
Le plus prévisible : COMB
La « Compilation of Many Breaches » (COMB) est une base de données regroupant plus de 3 milliards d'identifiants et de mots de passe uniques issus de précédentes fuites sur des sites comme Netflix, LinkedIn ou Bitcoin, qui ont été mis en ligne sur un forum de piratage. Ainsi, avec 4,7 milliards d'internautes à travers le monde, la COMB a dévoilé les données de près de 70 % d'entre nous ! Aussi prévisible que désolante, une telle fuite permet néanmoins de tirer la conclusion suivante : ne réutilisez jamais vos mots de passe !
« Nous savons tous que nous devons renforcer la sécurité de nos mots de passe, mais s'il y a bien une chose que montrent ces exemples, c'est que l'erreur est humaine. En effet, les risques liés aux mots de passe relèvent plus souvent de l'erreur humaine que d'un problème d'ordre technologique, mais malgré les conséquences d'un piratage, les habitudes ont la vie dure, a déclaré JD Sherman, PDG de Dashlane. C'est pourquoi les gestionnaires de mots de passe comme celui proposé par Dashlane sont la solution idéale. Cet outil facile à utiliser s'adresse aussi bien aux professionnels qu'aux particuliers pour gérer et éliminer les risques de sécurité de manière proactive. »
Bonus : nos conseils pour être premier de la classe en matière de sécurité, où que vous soyez
- Utilisez un mot de passe aléatoire et distinct pour chaque compte. Il suffit d'une faille pour que toutes vos données soient à la merci des pirates. La seule protection qui vaille, c'est d'utiliser un mot de passe aléatoire et distinct pour chaque compte. Rien n'est plus sûr que de laisser faire le hasard !
- Activez la double authentification (2FA). La double authentification (2FA) permet d'ajouter un second niveau de sécurité lors de la connexion, comme un code que vous connaissez (mot de passe, code PIN, code postal, etc.) ; un attribut physique (reconnaissance faciale, empreinte digitale, scanner de la rétine, etc.) ; un objet que vous détenez (une carte à puce, votre smartphone, etc.). La plupart des applications et sites Web vous enverront un e-mail ou un code par SMS pour vérifier votre identité.
- Utilisez dès maintenant un gestionnaire de mots de passe. Pour en finir avec les « méthodes » artisanales, optez pour un véritable outil de gestion des mots de passe. Il gérera à votre place tous vos mots de passe complexes et uniques, vous connectera automatiquement à tous vos comptes et saisira vos coordonnées et données de paiement dans les formulaires de façon sécurisée.
- Activez gratuitement les alertes de sécurité. En cas de données compromises, Dashlane vous indique immédiatement comment réagir. Grâce à la surveillance du dark Web de Dashlane, vous recevrez une alerte si vos données se retrouvent sur le dark Web : nous opérons une surveillance en continu pour identifier toute faille qui pourrait se présenter à l'avenir.
Inscrivez-vous pour connaître toute l'actualité de Dashlane