Vous comme moi utilisons des mots de passe pour un tout et pour un rien. Vous avez tant de mot de passe que cela devient compliqué de les gérer correctement. Il est encore plus dur de tous les retenir. Vous allez voir ici ce qu'il ne faut surtout pas faire avec ces mots de passe et pourquoi. Et c'est certain il y a au moins une des choses abordées que vous faites avec vos mots de passe.
Un mot de passe ça sert à quoi ?
Revenons à la base pourquoi utilise-t-on des mots de passe ? Le but d'un mot de passe et de garantir que seul celui qui le connait peut accéder à certaines informations. C'est pour cela que le plus possible on dit qu'un mot de passe c'est comme une brosse à dent ça ne se prête pas. Même à sa moitié.
1- Un mot de passe pour les gouverner tous !
Vous voyez ce dont je parle ? En effet très souvent vous utilisez presque toujours le même mot de passe ou pire vous utilisez un seul et unique mot de passe pour tous vos comptes !
Pourquoi ne faut-il pas utiliser le même mot de passe-partout ? Prenons un cas simple vous avez surement un compte facebook ou twitter, voir les deux, une ou plusieurs adresses e-mail. Pour certain même un compte linkedin et bien d'autres si vous commandez en ligne.
Maintenant j'ai envie de pirater vos comptes, si vous avez le même mot de passe pour tout il me suffit de cibler le site avec le moins de protection. Quand je l'aurais piraté, car en sécurité informatique ce n'est pas si, mais quand on se fera pirater, je n'aurais pas d'effort à fournir pour accéder à vos autres comptes.
De surcroît aucun système de sécurité de ces autres services ne se mettra en route chez ces fournisseurs de service, car il n'y aura pas d'essai avec de mauvais mots de passe.
Une légende ? Non. Mark Zuckerberg (fondateur de facebook) en a fait les frais il y a peu lorsque linkedin a été piraté les pirates ont trouvé son mot de passe qui était "dadada" et grâce à ça on put accéder notamment à son compte twitter... Et si ils ont trouvé celui de Mark, ils ont fait la même chose très certainement avec les autres comptes qu'ils ont volés.
Voici deux schémas pour vous faire comprendre les implications sur l'utilisation du même mot de passe-partout ou presque, la première avec l'usage d'un mot de passe commun et à droite avec l'usage d'un mot de passe par site :
2- Post-it mon ami ou es-tu ?
Vous avez surement déjà eu au travail ou chez vous à noter un mot de passe pour ne pas l'oublier et ne pas faire l'effort de vous en souvenir. Très souvent on retrouve donc ledit mot de passe sur un post-it sur l'écran ou a proximité avec bien sûr l'identifiant et le service ou l'utiliser.
Pourquoi c'est mal ? Sérieusement je dois l'expliquer ? Oui, j'ai eu le cas il y a encore deux jours ou j'ai dû faire prendre conscience du pourquoi c'est mal, je vous explique.
Chez un client il y avait une stagiaire nouvellement arrivée qui n'avait pas encore été briffé sécurité. Lors de mon passage dans l'entreprise je me suis donc occupé de faire le rappel des règles de sécurité de l'entreprise. (PS : ces règles devraient être rappelées par les maîtres de stages c'est à eux de faire la descente d'information et de briffer les stagiaires, et si vous avez un doute les RSSI comme moi sont toujours disponibles pour une bonne piqûre de rappel).
On commence donc le brief et un post-it attire mon oeil sur l'écran. Je ne dis rien je prends mon pc et j'essaye le login et mot de passe pour facebook visiblement. Sans surprise aucune c'est les bons identifiant mot de passe... La stagiaire me répond alors sans broncher : "je ne vois pas ce qu'il y a de mal. Ce n'est que facebook et en plus dans l'entreprise il n'y a pas à avoir de crainte".
A moi de lui répondre : "Si tu reçois un client ou un fournisseur il peut très bien le noter et l'essayer plus tard. N'oublie que vous avez aussi un service de ménage qui peut très bien revendre cette information. Cerise sur le gâteau : tu as accès au compte facebook de l'entreprise, une personne mal intentionné pourrait utiliser ton accès pour faire des publications qui vont nuire à l'image de l'entreprise ou la tienne. Via des messengers ou tu insultes direction et collègues par exemple et pourquoi pas des avances certaines personne. Ou encore on pourrait aussi faire des publicités avec des budgets de malade et faire perdre beaucoup d'argent si personne ne le voit à temps."
Depuis elle a largement assimilé les risques et n'est pas prête de recommencer. Le tout sans réprimande ni avertissement, la sensibilisation des collaborateurs se fait en douceur avec explications et solution.
3- Le cahier à mots de passe
Si si vous entendrez encore que le meilleur moyen de protéger vos mots de passe est un bon vieu cahier ranger dans votre tiroir à clé... Je l'ai entendu "d'expert" il y a encore quelque temps ou le débat a tourné court malheureusement pour le public par manque de temps. Après tous les arguments pour le cahier sont louables : il n'est pas connecté à internet, il n'est pas numérique donc un pirate ne pourra pas vous pirater le cahier. Cela pourrait se tenir en effet mais.
Pourquoi ne doit-on pas utiliser un cahier à mot de passe ? Repensé à l'histoire du dessus, votre cahier et gère moins accessible que le post-it sur votre écran. Le personnel de ménage pourrait le trouver et le photographier, ou encore un client/prospect pour lequel vous allez faire un café et que vous laissez seul 30 secondes dans votre bureau. Dans certain cas même les pirates ont une réelle mission de vous pirater ils n'auront donc aucune crainte à rentrer par effraction chez vous ou dans vos locaux.
Le plus souvent vous ne verrez même pas qu'ils sont rentrés chez vous, ils font cela en laissant le moins de trace possible. Serrure forcée avec délicatesse comme dans les films, mais ça fonctionne en vrai, il me faut 5 minutes pour ouvrir une serrure classique, car je manque de pratique.
4- Les mots de passe trop simple
Pour vous faire une bonne idée des mots de passe à ne surtout pas utiliser voici la liste des pires mots de passe utilisées en 2016 : https://www.nextinpact.com/news/102924-les-pires-mots-passe-2016-liste-toujours-aussi-inquietante-mais-pas-surprenante.htm
Le premier est 123456 et le dixième que j'aime beaucoup : 987654321... Un petit "strip" de commitstrip.com vous explique d'ailleurs que pour certain cela a demandé un effort compliqué pour arriver à ces résultats pourtant très faibles :
Autre mot de passe trop simple que vous ne devez pas utiliser, prénom, nom de famille, date d'anniversaire, nom des animaux de compagnie, numéro de téléphone, plaque d'immatriculation (si si j'ai déjà eu). Même si vous combinez tout cela ça restera un mauvais mot de passe.
5- Une base commune pour vos mots de passe ou une logique
Une fois encore c'est un retour d’expérience. Un ami me dit moi je retiens juste une logique de mot de passe qui est compliqué et me permet d'avoir un mot de passe unique par site. Oui mais il y a une logique dans ces mots de passe et la trouver ne sera pas compliqué dès que l'on aura mis la main sur l'un d'entre eux.
Afin de trouver vos mots de passe les pirates vont aussi systématiquement essayer des combinaisons qui comportent des mots ou des initiales du service visé. Encore une petite anecdote ? Il y a plusieurs années un jeune pirate français avait trouvé le mot de passe d'un compte de cadre chez twitter. En effet le cadre en question utilisez toujours la même base de mot de passe par exemple :
- hjcuJ?K787YH pour yahoo
- hjcuJ?K787FB pour facebook
J'ai mis en gras où se trouve le souci, le pirate l'a remarqué au premier coup d'oeil il a essayé hjcuJ?K787TW et il a réussi à se connecter au compte gestionnaire de twitter... Donc tant que vous avez une logique dans vos mots de passe ils sont faibles, tout aussi faible que votre date de naissance ou presque.
6- Taper son mot de passe devant quelqu'un
Vous cachez bien votre code de CB quand vous payez ou retirer de l'argent ? Vous le faites pour que si une personne voie votre code et ensuite vous vole votre carte, qu'elle ne puisse pas l'utiliser dans un distributeur ou payer dans un magasin. Pourtant, vous ne faites pas attention du tout quand vous tapez votre mot de passe devant quelqu'un, idem pour vos codes de déblocage de téléphone...
C'est encore pire, car si la personne sait que c'est un mot de passe de compte en ligne, elle n'aura cas attendre d'avoir accès à son ordinateur chez elle pour se connecter à votre compte. Une fois encore il y a de forte chance que vous n'y voyez que du feu.
En sécurité on appelle cela le "Shoulder surfing" je vous laisse lire la définition sur wikipédia en gros c'est une personne qui regarde par-dessus votre épaule quand vous utilisez smartphone ou ordinateur (ça fonctionne aussi sous Mac). D'ailleurs c'est très fréquent dans le train, c'est pourquoi je ne travaille jamais dans le train, mais j'adore regarder les écrans des autres passagers !
7- Mot de passe personnel et professionnel : les dérives
Il est très fréquent que vous utilisiez les mêmes mots de passe dans votre sphère personnelle qu'au travail. Ne niez pas c'est plus souvent le cas que vous voulez bien l'admettre.
Les problèmes ?
Si un jour votre employeur demande votre mot de passe pour accéder à votre messagerie pro ou votre ordinateur, qui vous dit qu'il n'ira pas voir sur vos comptes personnels ? En effet rien ne l'empêche, à part l'éthique, de tester votre mot de passe sur vos comptes personnels. Il en va de même pour les mots de passe que vous donnez à un collègue, qui suite à votre absence vous demande votre mot de passe pour une raison X ou Y.
N'en déplaise à mes collègues je ne donne jamais ces indications. Ils n'en ont pas besoin je m'arrange pour ne jamais être le seul détenteur d'une information pour faire avancer un dossier.
Deuxièmement votre entreprise à 20% de chance de plus d'être victime d'un piratage que vous et les pirates testeront bien sur les mots de passe professionnel récupéré sur vos comptes personnels.
Conclusion
Vous venez d'avoir un aperçu des mauvaises pratiques les plus répandues que vous utilisez certainement. Déjà vous avez franchi un cap important la prise de conscience que ces pratiques peuvent vous nuire. Vous n'avez plus cas changer vos habitudes pour corriger le tire et pour cela je vais vous proposer des solutions.
Crédits photo : Designed by Freepik
[email-download download_id="813" contact_form_id="815"]