Drirection Régionale Académique des Systèmes d'Information
Drirection Régionale Académique des Systèmes d'Information

Vos mots de passe doivent être uniques

Le mot de passe est une sécurité basique de l’authentification sur un système d’information ou un service. Ces services se sont démultipliés, mettant notre mémoire et notre capacité à nous rappeler de nos mots de passe à rude épreuve. Et même s’il est possible de réinitialiser un mot de passe perdu, les procédures de vérification (nécessaires pour garantir aussi la sécurité de nos données/accès) s’alourdissent au fur et à mesure des techniques de contournement découvertes par les chercheurs en sécurité (ou les cybercriminels dans d’autres cas).

Il n’est pas simple de nous souvenir de l’ensemble de nos codes d’accès. La solution de facilité semble toute indiquée : utiliser le même mot de passe sur l’ensemble des services que nous utilisons. Si l’idée semble séduisante, elle est à rejeter. Je vous propose un scenario explicatif:

Prenons le cas d’un mot de passe fort et facile à retenir, inspiré par le titre du présent article : « Vmdpdeu(38)! ». Composé de 12 caractères, une majuscule, des minuscules, des chiffres, des caractères spéciaux : ce mot de passe respecte les recommandations de l’ANSSI quand à la politique de robustesse des mots de passe. Un attaquant potentiel, même s’il vous connait, peinera à le deviner. Imaginons que vous l’utilisez pour l’authentification sur votre lieu de travail.

Puisque c’est « un peu » lié à votre environnement professionnel, imaginons maintenant que vous ayez choisi pour les raisons évidentes citées ci dessus d’utiliser le même mot de passe sur un réseau social public dont les utilisateurs sont vos contacts au travail. Ce mot de passe rempli les conditions de robustesse imposées par la plateforme : l’inscription se fait sans anomalie.

Tout se passe bien pendant trois ans, puis un jour, des données privées hébergées par le réseau social sont intégralement dérobées par un hackeur. Dans la base de donnée se trouvent les adresses de courriels et les mots de passe des utilisateurs, dont les votres … Et bien que la loi impose aux fournisseurs de services d’avertir ses utilisateurs qu’une fuite de donnée a eu lieu, encore faut-il que son administrateur se soit rendu compte du piratage. Et entre l’instant ou le pirate vole les informations et l’instant où vous êtes alerté, ceci va se produire:

Le cybercriminel a accès à l’ensemble des informations que vous avez confié à la plateforme et les utilise pour son propre compte, il peut aussi les rendre publiques ou les revendre. Et c’est là que l’utilisation d’un mot de passe commun sur plusieurs services est problématique. La seconde action du cybercriminel sera de tester ce couple « mail / mot de passe » sur tout un ensemble de services (sites de e-commerce, plateforme de streaming, comptes de synchronisation de smartphones, fournisseurs de contenus interactifs, services de paiement en ligne,…) dans le but de récupérer encore plus d’informations personnelles « revendables » et/ou des coordonnées bancaires et de paiement.

Dans le cas actuel, le pirate arrivera à mettre la main sur vos accès professionnels et accèdera à l’ensemble des informations sensibles pour lesquelles vous êtes habilité (données RH, information sur les étudiants, les exemples ne manquent pas…) pour une fuite de donnée provenant d’un réseau social. Et ceci en dépit d’un mot de passe robuste.

La solution consiste à utiliser un mot de passe (réellement) différent pour chaque service que nous utilisons et qui héberge des informations sensibles (données privées, données financières,…). Au moindre doute, n’hésitez pas à en changer.