Chaque année, le premier jeudi du mois de mai, est commémorée la Journée mondiale du mot de passe, l’occasion pour Check Point® Software Technologies Ltd., l’un des principaux fournisseurs mondiaux de cybersécurité spécialisée, de rappeler l’importance de consacrer un soin particulier aux mots de passe, car ils constituent l’une des principales barrières contre les cybercriminels.
- Les attaques par force brute visant à obtenir des mots de passe sont passées des CPU aux GPU, améliorant leur efficacité en vérifiant plus d’un million de clés par seconde.
- Les mots de passe doivent désormais répondre à de nouvelles exigences pour être réellement sécurisés : un nombre minimum de 12 caractères, l’utilisation de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.
Les mots de passe sont utilisés par des milliards d’utilisateurs dans le monde, et un grand nombre de mauvaises pratiques ont la vie dure lorsqu’il s’agit de les gérer et de les créer. En 2019, le Centre national de cybersécurité du Royaume-Uni a révélé que 23 million de personnes dans le monde continuent d’utiliser des mots de passe non sécurisés tels que “123456”, ce qui prouve que de nombreux utilisateurs ne sont toujours pas conscients des dangers potentiels.
Les progrès technologiques incessants ne profitent pas seulement aux utilisateurs, mais fournissent également aux cybercriminels de nouveaux outils pour mener à bien leurs attaques. Les mots de passe autrefois considérés comme sûrs sont aujourd’hui dépassés, ce qui crée de nouvelles vulnérabilités.
L’avènement de nouvelles cartes graphiques dotées d’une mémoire virtuelle (VRAM) a permis aux équipements informatiques de traiter des données à grande vitesse, de la même manière qu’elles sont utilisées pour le mining de crypto-monnaies. Les modèles les plus récents sont en effet capables d’effectuer plus d’un million de vérifications en une seconde, soit beaucoup plus rapidement que les unités centrales de traitement (CPU). Cela signifie que si nous avons un mot de passe de moins de 12 caractères basé exclusivement sur l’utilisation de lettres et de chiffres, il pourrait être violé en quelques jours seulement.
Selon le dernier rapport de Hive Systems, les délais approximatifs dans lesquels les cybercriminels pourraient “craquer” nos mots de passe vont d’un temps quasi instantané, pour les mots de passe les moins sûrs, à 438 billions d’années pour les clés les plus robustes. En l’espace d’un an, ce laps de temps pmoyen endant lequel elles sont potentiellement vulnérables a été réduit de 90 % et, avec l’arrivée de nouveaux agents tels que les services cloud ou l’intelligence artificielle, ils pourraient être encore réduits assez rapidement.
L’objectif et les raisons sont clairs, mais de quoi un mot de passe a-t-il besoin pour être sûr et solide ? Check Point Software donne quelques conseils :
- Plus il est long et varié, mieux c’est : il doit comporter au moins 14 à 16 caractères et se composer de différentes lettres, combinant majuscules et minuscules, symboles et chiffres. Cependant, il a été remarqué qu’en augmentant simplement le mot de passe jusqu’à 18 caractères combinés, il est possible de construire une clé totalement inviolable. Cette donnée repose sur le nombre de tentatives que nécessite la pratique de la force brute, où le nombre total de combinaisons est égal au nombre de caractères multiplié par leur longueur.
- Facile à retenir, complexe à deviner : il doit s’agir d’une combinaison que seul l’utilisateur connaît ; il est donc conseillé de ne pas utiliser de détails personnels tels que les dates d’anniversaire ou de naissance, ou les noms des membres de la famille, car ils peuvent être plus faciles à deviner. Un moyen simple de créer des mots de passe dont tout le monde peut se souvenir est d’utiliser des phrases complètes, soit en utilisant des scénarios communs ou absurdes, avec des exemples tels que “mariepromènesonchienléo”, ou son équivalent encore plus sûr avec des caractères différents ” #arie1ro#ène4on8hien!lé0 “.
- Unique et non réutilisé : créez un nouveau mot de passe à chaque fois que vous accédez à un service et évitez d’utiliser le même mot de passe pour différentes plateformes et applications. Ainsi, en cas de violation d’un mot de passe, les dommages seront minimes et plus facilement et rapidement réparables. Selon une enquête de Google, au moins 65 % des personnes interrogées réutilisent leurs mots de passe pour plusieurs comptes et services web, ce qui augmente les risques de violation de plusieurs plateformes ou applications.
- Toujours privé : Un mot de passe ne doit être partagé avec personne, et il est particulièrement conseillé de ne pas l’écrire à proximité de l’ordinateur, ni même dans un fichier qui s’y trouve. Pour cette tâche, vous pouvez utiliser des outils tels que les gestionnaires de mots de passe, qui font le même travail, mais de manière plus sécurisée.
- La vraie sécurité « à deux étapes » : outre le fait de disposer d’un mot de passe fort et sécurisé, l’utilisation de l’authentification à deux facteurs (2FA) constitue un renforcement majeur de la sécurité. Ainsi, chaque fois qu’un attaquant ou une personne non autorisée voudra accéder au compte de quelqu’un d’autre, le propriétaire du compte recevra une notification sur son téléphone portable pour accorder ou refuser l’accès.
- Le modifier périodiquement : parfois, même après avoir suivi toutes ces pratiques, des incidents hors de notre portée se produisent, tels que des fuites de bases de données de l’entreprise. Il est donc conseillé de vérifier périodiquement si un email a été victime d’une vulnérabilité à un tiers, ainsi que d’essayer de retrouver les comptes qui ont pu être compromis. Pour ce faire, il existe des outils d’accès public tels que le site Have I Been Pwned, qui tentent de rassembler des informations de base sur ces fuites afin d’offrir un soutien et une aide aux utilisateurs. De même, même s’ils n’ont pas été victimes d’une intrusion, il est toujours recommandé de mettre à jour les mots de passe tous les deux mois.
“Chaque jour, les cybercriminels créent de nouvelles attaques visant à voler les mots de passe des utilisateurs. Des techniques telles que l’hameçonnage ont permis de violer des milliers de services en volant des informations d’identification, sachant que en 2022, les cyberattaques ont augmenté de 38 % dans le monde par rapport à l’année précédente, selon le rapport de Check Point Research. Il est facile de remédier à ce risque en établissant des mots de passe sécurisés, ce qui rend beaucoup plus difficile pour les cybercriminels de deviner ces combinaisons, garantissant ainsi le plus haut niveau de sécurité pour nos appareils”.