La faiblesse de nos mots de passe est un problème ancien, et surtout largement sous-estimé. Entre mauvaises pratiques et amélioration des techniques de cracking, 2013 risque d’être particulièrement dévastatrice en termes d’intrusion et de piratage.

Le rapport annuel Deloitte (TMT Predictions 2013) ne révèle rien de très surprenant, mais a le mérite d’agiter quelques chiffons rouges qui devraient nous alerter : en résumé, nos mots de passe sont des passoires, ils peuvent presque tous être crackés ! Cela signifie que, potentiellement, en 2013, on peut tous se faire pirater un ou plusieurs comptes, personnels ou professionnels : mail, réseaux sociaux, sites de e-commerce, stockage Cloud, solutions de paiement en ligne, etc.

Concrètement, le rapport indique que plus de 90% de nos mots de passe sont vulnérables au hacking, y compris certains considérés comme forts par les services informatiques. Ce triste résultat est issu de l’étude de plus de 6 millions de mots de passe. Mais il y a beaucoup de doublons ! En effet, 10 000 mots de passe sont communs à 98,1% des comptes protégés ! De plus, ces 10 000 mots de passe sont particulièrement fragiles, car trop basiques, trop courts (une demi-douzaine de caractères), composés de suites logiques, ou issus d’un dictionnaire (cf. Le best of 2011 des mots de passe à éviter).

L’étude Deloitte montre également qu’un utilisateur possède en moyenne 26 comptes protégés, mais seulement 5 mots de passe différents. Tout simplement parce qu’en retenir davantage représente un réel effort, généralement peu consenti.

En résumé, les pirates disposent d’un nombre restreint de mots de passe permettant d’accéder illégitimement à une multitude de comptes personnels. Mais pourquoi le risque d’intrusion est-il plus élevé en 2013 que les années précédentes ?

Les appareils mobiles suscitent les mauvaises pratiques

Le nombre de terminaux mobiles (tablettes, smartphones, etc.) explose depuis quelques années. Or, statistiquement, les mots de passe définis sur ces appareils sont moins sécurisés que ceux choisis sur un ordinateur, tout simplement parce qu’il est plus long et compliqué de saisir un mot de passe sur un écran tactile. Les mobinautes se simplifient donc la vie en adoptant des mots de passe particulièrement courts.

Les technologies de cracking sont de plus en plus puissantes

Les matériels informatiques sont de plus en plus mobiles, mais également de plus en plus efficaces : chaque jour, les capacités de calcul informatique sont améliorées, et permettent des gains de temps considérables en matière de cracking, notamment en ce qui concerne les attaques par force brute. A titre d’exemple, une machine capable de « casser » un mot de passe de 8 caractères en moins de 6 heures coûte actuellement 30 000 $. Ce qui est relativement peu ! D’autant que les techniques de « crowd-hacking » permettent de diminuer encore ce coût : la puissance de calcul de PC anonymes infectés par un même botnet peut en effet être mobilisée à tout moment par des hackers, qui disposent alors de ressources temporaires difficilement égalables.

Enfin, d’autres méthodes se révèlent presque aussi efficaces, mais surtout beaucoup moins chères ou compliquées : il s’agit des techniques d’ingénierie sociale, avec les lesquelles les cybermalfaiteurs tentent de vous faire avouer votre mot de passe, par des techniques plus ou moins habiles (phishing, spear-phishing).

Bref, ce début d’année 2013 est le bon moment pour élaborer de nouveaux mots de passe (10 conseils pour un mot de passe solide), et remplacer les anciens !

Source : zdnet.fr

Image : Flickr / marsmet546 / CC BY-NC-SA 2.0

Ce contenu vous a intéressé ? Partagez-le !

• Tweet