Journée mondiale du mot de passe : Changez les !

1
111

#JournéeMondialeDuMotDePasse : changez vos mots de passe ! Le vol de données n’arrive pas qu’aux autres !

Tribune par Bastien Dubuc, Country Manager France, Consumer, chez Avast – Alors que la journée mondiale du mot de passe #worldpasswordday, le 3 mai 2018, rappelle aux utilisateurs la nécessité d’être vigilant en rendant les mots de passe plus sûrs, le message concernant leur vérification et leur modification régulière nécessite d’être rappelé. En effet, un an après la cyberattaque massive WannaCry, près d’un tiers des PC sous Windows sont toujours vulnérables. L’augmentation des cyber-menaces, de la fraude en ligne et des vols d’identités numériques, démontre l’importance de garder ses appareils et comptes en ligne aussi sûrs et sécurisés que possible.

Pour Avast, nous sommes témoins d’une réelle « inertie » à grande échelle en ce qui concerne les mises à jour logicielles des terminaux avec les derniers correctifs de sécurité. Les internautes ne se sentent pas toujours concernés. Et pourtant…

Le 12 mai prochain marquera l’anniversaire de WannaCry, considérée comme la plus grande attaque ransomware de l’histoire. Elle a touché, sans distinction, les PC du monde entier appartenant aux consommateurs, aux entreprises, aux services de soins tels que les hôpitaux et même aux services gouvernementaux. Le système de santé publique (NHS) en Angleterre, a notamment identifié l’annulation de 6 912 rendez-vous, y compris des opérations chirurgicales, en conséquence directe du ransomware.

Malgré cela, les recherches d’Avast démontrent qu’un an plus tard, près d’un tiers (29 %) des PC sous Windows fonctionnent toujours avec la vulnérabilité impliquée. Qu’il s’agisse de mots de passe, de mises à jour de nos systèmes ou de notre téléphone mobile, nous devons être mieux informés lorsqu’une action de notre part est requise, et dans le cas contraire, nous assurer de notre sécurité en ligne de manière proactive.

C’est pourquoi il est temps d’agir, pour ne pas avoir à réagir !

Tout d’abord, en vérifiant…

  1. … notre routeur. Il constitue la passerelle vers tous nos appareils connectés et pourrait les compromettre si le mot de passe est cracké. Si un service en ligne que nous avons utilisé a été piraté par le passé, il est possible que le mot de passe ne soit plus sécurisé, alors assurons-nous de les changer pour l’ensemble des terminaux.
  2. … que nos mises à jour logicielles sont appliquées. Vérifions que tous les périphériques connectés à nos réseaux domestiques sont mis à jour lorsque des correctifs logiciels sont publiés. Cela inclut les webcams, les jouets connectés ou encore les téléviseurs intelligents.
  3. … que nous avons installé un antivirus à jour. Cela permettra de détecter et de bloquer les logiciels malveillants tels que des ransomwares avant qu’ils ne provoquent des dommages (irréversibles !). Il détectera et supprimera également les menaces telles que les logiciels malveillants de saisie de frappe qui suivraient les nouveaux mots de passe que nous créons. Ces menaces doivent être détectées par des analyses régulières à partir d’un logiciel antivirus afin de protéger nos appareils.
  4. … que nos mots de passe sont difficiles à déchiffrer. Choisissons une phrase ou une série de mots mémorables et modifions-la pour ajouter des caractères spéciaux afin de créer des mots de passe uniques et complexes comprenant des chiffres, des caractères et des symboles. Il faut à tout prix éviter les combinaisons simples telles que l’utilisation de son nom, d’informations personnelles, de mots existants dans le dictionnaire, ou encore de formules telles que “mot de passe”, “0000” ou “1234”.

Ensuite, en changeant…

  1. … notre patch et nos habitudes de mise à jour ! De nombreux appareils, tels que les PC et les appareils mobiles, peuvent exécuter des mises à jour instantanément. Il n’y a donc aucune excuse pour les reporter à un moment qui semblerait plus opportun. D’autant qu’elles contiennent souvent des correctifs aux vulnérabilités. Par conséquent, ne pas les installer peut entraîner des failles dans votre sécurité dont les cybercriminels profiteront sans la moindre hésitation.
  2. … nos mots de passe régulièrement pour tous nos comptes et appareils. Bon nombre de personnes ne se rendent pas compte que changer leurs mots de passe régulièrement prévient les problèmes de sécurité les plus courants, tels que la cyberfraude, le vol de données en ligne et d’identité, ou encore le piratage.
  3. … notre manière de sauvegarder nos mots de passe. Il ne faut pas sauvegarder les mots de passe sur son navigateur, car si notre ordinateur est piraté, les cybercriminels peuvent les récupérer et les utiliser pour accéder à nos comptes en ligne. Il vaut mieux faire appel à un gestionnaire de mots de passe, qui permet de créer des identifiants forts pour tous les comptes et de les stocker en toute sécurité derrière un mot de passe principal. Lorsqu’il est déverrouillé et que le module complémentaire du navigateur est installé, l’outil de gestion des mots de passe complète automatiquement les informations de connexion lorsqu’on souhaite accéder à ses comptes protégés.
  4. … nos processus de connexion sécurisé et en utilisant la double authentification pour nous connecter aux sites Internet. Par exemple, le téléphone mobile peut servir de second niveau de sécurité ; on y reçoit alors un code permettant de vérifier les identifiants de connexion. Cette étape supplémentaire rend très difficile l’accès à un compte.

Les bonnes pratiques de sécurité sont comme l’éducation, il faut du temps, de la répétition et de l’accompagnement. Comme on tient la main d’un enfant qui fait ses premiers pas, accompagner les utilisateurs dans leurs gestes de sécurité est important. Il est également essentiel de marteler les bons gestes à adopter en rappelant constamment que cela n’arrive pas qu’aux autres. Car finalement, le bât blesse, puisque chaque individu considère que ses données ne sont pas intéressantes pour des pirates… Il est donc temps d’indiquer à tout un chacun que les informations personnelles valent de l’or ! La journée mondiale du mot de passe ne résoudra sans doute pas les problèmes mais vise à contribuer à cette sensibilisation à grande échelle. Primordial, si un nouvel épisode WannaCry veut être évité.

1 COMMENTAIRE

  1. Jacques Gascuel, inventeur de solutions hybride de Cybersécurité matériel et numérique pour sécuriser la vie privé.
    Un article qui synthétise bien la situation. Cependant, il y a d’autres aspects sur la gestion des risques lié à l’usage et à la gestion de mots de passe (MDP) et identifiant, tel que leurs affichage en claire, le risque de corruption d’un seul mot de passe qui rend accessible un ensemble de mots de passe en en clair, la corruption de bases de données de MDP hyper connecté, MDP et identifiant des cartes bancaire, MDP des messageries chiffré ou non, MDP des clés de chiffrement, le phishing (hameçonnage), le contournement des outils de gestion de MDP trop complexe pour un usage au quotidien, le niveau d’intrusivité de ces outils, l’impossibilité de partage physique ou numérique en claire de MDP, la corruption du terminal informatique fixe ou mobile, le blocage de l’outils MDP en mobilité sur des terminaux de tiers, la corruption de l’authentification par sms sur un terminal corrompu par le vol notamment.

    Pour autant, l’usage de mots de passe demeure la meilleur sécurité biométrique puisqu’elle émane en principe de la pensé. Le souci, c’est que l’homme mal intentionnée utilise une machine pour trouver ce mot de passe. L’homme est donc contraint de penser comme une machine pour trouver des mots de passe de plus en plus complexe pour s’opposer à la faculté de la machine à trouver le mot de passe. Naît deux problèmes, celui de créer des mots de passe suffisamment complexe différent pour chaque usage tout en adaptant sa complexité en fonction des avancées technologiques et/ou mathématique. Déjà à ce stade de la lecture, nous avons déjà perdu depuis un bon moment une lectrice Madame MICHU.
    Seulement Madame MICHU, ne sait pas encore, que le 28 mars 2018, elle est maintenant supputé être averti du risque du hameçonnage. Une nouvelle jurisprudence (cours de cassation d’Amiens) établit une double sanction pour les cyber victime d’hameçonnage (https://lc.cx/Wrs3), elle sera présumé coupable, sans pouvoir prétendre à une quelconques indemnisation sur le dommage qu’elle aura subit.
    En effet, le tribunal, estimera qu’elle a commis une négligence grave pour avoir donnée des informations sur sa solution de sécurité. Elle devait prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés, peu important qu’elle soit, ou non, avisé des risques d’hameçonnage.
    De fait, il faut aussi prendre en considération la sécurisé de Madame MICHU contre elle-même. Il s’agit d’une nouvelle forme de protection lié à une obligation naturelle obtenue par tromperie (dol).

    Problème, c’est que Madame MICHU veut juste avoir une solution suffisamment intelligent pour l’aider à se sécurisé et qui fonctionne tout simplement sans compétence particulière.

    On prend conscience ici, que l’utilisateur a certes une part de responsabilité, mais aussi nous les concepteurs et les fournisseurs de solutions.

    Le règlement Européen RGPD édicte de nouvelles règles de droit sur la protection des données privées et établissent un cadre de responsabilités des acteurs du traitement des données. Des règles pourvu de sanction civil et pénale dès le 28 mai 2018.

    Les solutions de cybersécurité évolutive et personnalisable en fonction de risques métier que j’invente, comme EVICARD NFC ou EVITAG NFC, prennent en compte par défaut, les paramètres énoncés dans cet article, mais aussi les autres risques dont ceux que je viens de présenter.

    En cybersécurité, être inventeur est un plus, pour s’opposer aux cybercriminels de plus en plus ingénieux.

    Je vous invite à suivre le conseil de cet article, utiliser un gestionnaire de mot de passe.
    Choisissez, la solution qui vous convienne le mieux.
    Des experts en sécurité ont conçu des solutions qui sécurise aux mieux vos MDP.
    Il existe différents fournisseurs de solution numérique pour gérer et utiliser vos mots de passe, gratuit, payant, base de données centralisé ou non. De la même manière, il existe aussi des solutions matérielles moins nombreuses. Et maintenant, depuis l’été 2017, mes solutions hybrides brevetées matérielles sans contact et numériques capable sécurisé de bout en bout y compris l’affichage en claire les MDP, mais aussi depuis le 24 avril 2018, vos cartes bancaires et leurs usages sur internet.

Les commentaires sont fermés.