Lundi, les informations personnelles de 10000 comptes Hotmail et Windows Live ont été postées sur Internet, publiquement, via le site pastebin.com (habituellement utilisé pour échanger du code de programmation entre développeurs informatiques). Les informations publiées ne concernant que des personnes dont le nom commence par A ou B, on peut supposer que le nombre de comptes piratés est en réalité bien supérieur. Microsoft a d'abord affirmé que les données avaient été récupérées grâce au phishing , c'est-à-dire l'utilisation d'e-mails imitant des requêtes légitimes de sites de confiance pour demander aux internautes de communiquer leurs mots de passe.
Mardi, le nombre de comptes officiellement piratés s'élevait à 30000 et il s'est avéré que Gmail, Yahoo et AOL avaient également été touchés. Dans la semaine, une autre hypothèse contredisant les déclarations de Microsoft a fait surface. Un chercheur de la société ScanSafe évoque la possibilité que les mots de passe aient été volés via un cheval de Troie ou un enregistreur de frappe installé sur les ordinateurs de victimes. Un autre affirme que la récupération des informations a été rendue possible par la faible sécurisation des mots de passe utilisés par les internautes.
Après ces attaques à grande échelle, l'heure est au rappel des conseils de sécurité en matière de mots de passe. Google vient de publier, sur le blog de Gmail, un billet résumant 5 comportements à risques et quelques idées pour y remédier. De son côté, Microsoft a conseillé à ses utilisateurs de changer de mot de passe tous les 6 mois, et a rappelé quelques bonnes pratiques en matière de constitution de mots de passe.
Ecrans.fr reprend leurs conseils les plus pertinents et les agrémente d'explications et de liens pour aider ses lecteurs à surfer dans la sérénité, la joie et la volupté.
Pourquoi sécuriser son mot de passe ?
Et si on se faisait un peu peur, pour commencer ? Plusieurs sites Internet proposent des simulateurs d' attaques par force brute , technique pouvant être utilisée pour trouver un mot de passe en testant de manière automatisée toutes les combinaisons possibles, une par une mais extrêmement rapidement. Ce simulateur se base par exemple sur une moyenne de 2 800 000 000 mots testés par seconde pour estimer le temps nécessaire à «cracker» un mot de passe. On constate qu'en-dessous de 10 caractères, un mot de passe composé uniquement de chiffres est trouvable en moins d'une seconde...
Et malheureusement, c'est le cas de beaucoup d'internautes. Bogdan Calin, chercheur en sécurité à Acunetix, a publié sur son blog la liste des 20 mots de passe les plus courants parmi les comptes hackés la semaine dernière. Les deux premiers sont «123456» et «123456789». Et les vingt mots de passe, sans exception, sont composés soit de chiffres soit de lettres, mais pas d'une combinaison des deux.
Conseil n°1 : Éviter les mots de passe courants
Ce top 10 et ce top 500 donnent une idée des mots de passe les plus couramment utilisés : il s'agit principalement de mots existants dans le dictionnaire, de prénoms ou de suites logiques de chiffres ou de lettres (et si vous vous sentiez follement original en choisissant «sesameouvretoi» ou «motdepasse», sachez que c'est complètement raté). Les célébrités réelles ou imaginaires ainsi que les références cinématographiques ou vidéo-ludiques ont aussi la cote. Or, plus les mots sont répandus et plus les hackers sont susceptibles d'y penser et de les essayer aussi.
Bref, un bon mot de passe ne doit rien vouloir dire.
Conseil n°2 : Combiner les lettres, les nombres et les symboles
Plus un mot de passe intègre d'«alphabets» différents, moins les attaques par force brute sont efficaces. Un mot de passe de 6 caractères peut correspondre à 300000 combinaisons s'il est composé uniquement de lettres minuscules, 2 milliards de combinaisons s'il contient des lettres minuscules et majuscules, 56 milliards s'il intègre en plus des chiffres... et encore beaucoup plus si on y ajoute des symboles ($, #, %...) et caractères spéciaux (-, @...).
Le site Passwordmeter propose une évaluation très détaillée du niveau de sécurité des mots de passe. En plus du score final de sécurité actualisé au fur et à mesure qu'on essaye des combinaisons dans le champ de texte, il utilise des couleurs et des pictogrammes pour mettre en valeur les points forts et les points faibles du mot de passe. On comprend vite la logique : le nombre de caractères augmente le score, mais l'utilisation consécutive de caractères du même type le fait descendre. Utiliser des chiffres est plus efficace s'ils sont placés au milieu du mot de passe, et qu'ils ne sont pas consécutifs.
Exemple : «ecrans.fr» a un score de sécurité de 30%, tandis que «€c#4n$.fR» atteint les 100%.
Conseil n°3 : Utiliser des mots de passe uniques
Réutiliser un même mot de passe pour plusieurs sites Internet est très risqué. Comme l'explique Google, «si quelqu'un parvient à se procurer votre mot de passe pour un des services que vous utilisez, il peut potentiellement accéder à vos e-mails, vos coordonnées personnelles et même votre compte bancaire.»
Dans l'idéal, il est conseillé d'utiliser un mot de passe par site -- et si le nombre de comptes personnels rend l'affaire vraiment trop compliquée, ça compte au moins pour la boîte e-mail et la gestion de comptes bancaires en ligne. Il peut être pratique d'imaginer un moyen mnémotechnique pour associer les différents mots de passe aux sites concernés. Google propose de penser à des questions comme «Combien d'argent ai-je?» pour le compte bancaire. Bien cryptée, la phrase devient «Cb€Ai-J3». Précisons que ce dernier, parce qu'il est écrit dans cet article, est maintenant à éviter, comme tous les exemples ici présents.
Conseil n°4 : Sécuriser également les moyens de récupération du mot de passe
De nombreux sites Internet offrent la possibilité de retrouver un mot de passe perdu ou oublié par un système d'envoi par e-mail, de question secrète ou de réinitialisation en cliquant sur un lien.
Bien entendu, le renvoi de mot de passe par e-mail ne peut fonctionner que si l'adresse e-mail fournie lors de l'inscription est toujours valide... Ce qui implique de penser, quand on change d'e-mail, à refaire un tour sur tous les sites Internet auxquels on est inscrit et d'y changer ses informations personnelles.
Dans le cas des «questions secrètes», il faut toujours rédiger sa propre question si c'est une des options proposées. Répondre à cette question permet d'accéder à un compte aussi simplement et rapidement que si l'on en connaît le mot de passe, et il est donc primordial qu'il soit aussi difficile de la deviner que le mot de passe lui-même. La réponse doit être impossible à trouver sur Internet. Sont donc à bannir les «prénom de mon chien», «date de naissance de ma mère» et autres «chanteur préféré» qui ont de grandes chances d'être publiés sur des réseaux sociaux, forums ou blogs. Google suggère de définir une convention typographique, par exemple d'ajouter systématiquement un «@» après la 2e lettre des réponses, pour ajouter une barrière supplémentaire : «même si quelqu'un devine la réponse, il ne saura pas comment la taper correctement.»
Conseil n°5 : Garder les mots de passe dans un endroit sécurisé
Google rappelle que la pire des bêtises à faire est, bien sûr, de lister ses mots de passe dans un document informatique qu'on laisse traîner dans «Mes documents» sous un nom transparent («Mes mots de passe»)... Quitte à conserver le fichier sur son ordinateur, il faut prendre la précaution de le déguiser -- par exemple en document de travail, de le nommer et de le ranger en conséquence.
Conseil n°6 : Ne pas les communiquer
Énoncé comme ça, le conseil peut paraître idiot. Il évident qu'il ne faut communiquer son mot de passe dans aucun endroit réel ou virtuel, même en privé à un internaute attentionné qui prétend pouvoir donner un coup de main pour résoudre un problème informatique. Mais, sans verser dans la paranoïa, il est également prudent de garder à l'esprit l'existence des logiciels enregistreurs de frappe et d'éviter de se connecter sur son compte e-mail ou bancaire depuis un ordinateur public (dans des cybercafés, bibliothèques...).