lady staring at computer screen
L’utilisation de la technologie pour déchiffrer les mots de passe n’est pas un concept nouveau. En fait, si vous vous souvenez de la façon dont Alan Turing a déchiffré Enigma pendant la Seconde Guerre mondiale, comme le montre le film « Le jeu de l’imitation », les mêmes principes existent aujourd’hui.
Aujourd’hui, le mot de passe « 123456 » peut être deviné en moins d’une seconde. Même un mot de passe plus complexe comme « qqww1122 » peut être décrypté en moins d’une heure. Même si les mots de passe plus compliqués peuvent prendre des jours ou même des mois à décrypter, avec du temps, tout est possible.
Mettez à jour et gérez vos mots de passe pour garantir la sécurité de vos comptes. Dans ce blogue, je vous expliquerai comment fonctionnent les attaques par force brute, ainsi que les six meilleures pratiques qui peuvent faire toute la différence entre la sécurité de vos comptes et leur exposition potentielle.

Qu’est-ce qu’une attaque par force brute?

Commençons par la raison même pour laquelle nous devons être si méticuleux en matière de sécurité des mots de passe : les attaques par force brute. Ces dernières se produisent lorsque des pirates utilisent la technologie pour essayer continuellement toutes les combinaisons possibles de mots, de mots-clés populaires et de chiffres pour accéder à des comptes.
Les attaques par force brute deviennent incroyablement problématiques, car les pirates utilisent du matériel ou des logiciels dotés d’une tonne de mémoire vive et de processeurs dans le nuage public pour attaquer simultanément autant de mots de passe qu’ils le peuvent. De nombreux programmes exploités par les pirates sont de plus en plus accessibles et abordables (et parfois même gratuits), faisant de l’internaute moyen une cible facile.
Voici comment améliorer la sécurité de vos mots de passe :

1. Créez des mots de passe complexes et difficiles à percer.

Pensez à un mot de passe comme à un cadenas de vélo. Un cadenas bon marché (ou un mot de passe simple) sera plus facile à déjouer. Plus le cadenas est de qualité (ou plus le mot de passe est complexe), moins il sera facile à décoder. Le voleur de vélo (ou le pirate informatique) ne passera qu’un temps limité à essayer d’en venir à bout avant d’abandonner.
L’une des meilleures façons d’éviter d’être victime d’une attaque par force brute est de s’assurer que votre mot de passe est plus fort que celui des autres. Pour ce faire, il doit comprendre :
– Au moins 16 caractères;
– Des lettres minuscules et majuscules;
– Des chiffres;
– Des symboles (et même des espaces si le programme le permet).
Outre la longueur, vous devez également tenir compte de la complexité de vos mots de passe. Malgré tous nos efforts pour créer quelque chose d’entièrement aléatoire, il est dans la nature humaine d’associer des motifs entre les mots et les caractères lorsque l’on pense à un mot de passe. De nombreux utilisateurs essaient de donner une tournure « unique » aux mots de passe classiques, par exemple en changeant d’une touche tous les caractères de place vers la gauche ou la droite sur le clavier. Malheureusement, avec l’utilisation de la technologie, ces astuces deviennent plus faciles à déjouer que vous ne le pensez.
Si vous êtes ciblé, il est probable que le pirate ait fait des recherches sur vos réseaux sociaux pour en savoir plus sur vous. Cela signifie qu’il pourrait connaître vos passe-temps, le nom de vos animaux domestiques, les anniversaires des membres de votre famille et bien d’autres choses encore – tous ces éléments constituant des choix de mots de passe courants. Bien que vos réseaux sociaux soient privés, vous ne savez jamais qui, dans votre liste d’amis, pourrait tenter d’accéder à votre compte ou, pire encore, qui a également accès à leurs comptes.
Pour éviter tout mot, phrase ou chiffre identifiables, je vous recommande d’utiliser un générateur de mot de passe aléatoire, afin de vous assurer que votre mot de passe est entièrement unique et aussi difficile à trouver que possible. Pour aller plus loin, je vous recommande d’inventer des réponses fausses (mais mémorisables) aux questions de sécurité posées sur les sites Web pour éviter que quelqu’un ne réinitialise votre mot de passe. On ne sait jamais quelles informations vous concernant peuvent être trouvées, même si elles datent de plusieurs années.

2. Utilisez une phrase de passe aléatoire.

Les phrases de passe – qui consistent à enchaîner quatre à six mots aléatoires – constituent une autre option pour créer un mot de passe fort. En fait, selon un article publié en 2020 par ZDNet, le FBI recommande d’utiliser des phrases de passe plutôt que des mots de passe complexes. Par rapport à un mot de passe court et complexe, le FBI explique qu’« un mot de passe plus long, même s’il repose sur des mots plus simples et aucun caractère spécial, sera plus long à percer et nécessitera davantage de ressources informatiques ». Si vous utilisez une phrase de passe, elle doit néanmoins tenir compte de principes de base (c’est-à-dire les majuscules et les minuscules, les chiffres et autres).
Si vous préférez créer vous-même une phrase de passe, veillez à utiliser au moins quatre mots sans rapport entre eux et comportant chacun cinq caractères ou plus (par exemple, Automne Kangourou RivièreViolette93!4). Évitez d’utiliser des noms ou des dates qui peuvent être facilement devinés, comme les anniversaires de vos enfants, de votre conjoint ou de vos parents. N’oubliez pas que plus votre mot de passe est aléatoire, plus il sera difficile à percer. Si vous avez du mal à trouver vous-même des mots complètement aléatoires, il existe des ressources gratuites qui peuvent vous aider à générer une nouvelle phrase de passe ou à tester la sécurité de la vôtre.
L’un des avantages à utiliser une phrase de passe est qu’elle est plus facile à retenir. En même temps, il sera également plus facile pour quelqu’un d’autre de s’en souvenir s’il vous voit la taper sans que les caractères soient cachés par des astérisques.

3. Utilisez un mot de passe différent pour chacun de vos comptes.

Malheureusement, l’utilisation du même mot de passe pour plusieurs comptes est une erreur que de nombreux utilisateurs commettent encore. Si un pirate s’introduit dans l’un de vos comptes et que vous utilisez le même mot de passe pour les autres, il est probable qu’il continuera d’accéder à autant de comptes qu’il le pourra. Si vous n’êtes pas convaincu de l’importance de diversifier vos mots de passe, le fait d’entrer votre adresse électronique dans have i been pwned? peut vous ouvrir les yeux. Allez plus loin et testez vos mots de passe pour savoir combien de fois ils sont apparus dans une violation de données (et ne devraient donc jamais être utilisés).
Pour éviter le piratage par des tierces parties, il est également important de ne pas se connecter à un site Web en utilisant les identifiants de votre compte Facebook, Google ou Apple – une option de plus en plus courante lors de l’inscription à un nouveau site Web. Aussi tentant que cela puisse être de se connecter à vos identifiants préexistants, il est toujours préférable de créer un nom d’utilisateur et un mot de passe uniques pour chaque compte.

4. Faites le suivi de tous vos mots de passe.

Il peut être difficile de mémoriser plusieurs mots de passe aléatoires. Au lieu de cliquer sur « se souvenir du mot de passe » dans votre navigateur ou, pire encore, de conserver une liste de vos mots de passe sur votre téléphone ou votre ordinateur, optez pour un outil de gestion des mots de passe comme Last Pass pour les organiser en toute sécurité.

5. Activez l’authentification multifacteur.

Le moyen le plus sûr de renforcer la sécurité de vos comptes – qu’il s’agisse de médias sociaux, de messagerie ou de services bancaires – est d’activer l’authentification à deux ou plusieurs facteurs. Ainsi, lorsque vous ou quelqu’un d’autre tentez de vous connecter à votre compte, un texte, un appel téléphonique ou un courrier électronique contenant un code qui doit être soumis pour terminer le processus vous sera envoyé.

6. Sécurisez vos comptes à l’aide d’une application d’authentification.

Bien que l’envoi d’un SMS soit la norme, ce n’est pas la méthode la plus sûre pour accéder à vos comptes. Outre les problèmes de connectivité, comme lorsque Rogers a connu une panne pendant une journée entière l’année dernière, les compagnies de téléphonie cellulaire ont la réputation de mal protéger votre numéro de téléphone. Un pirate informatique peut facilement vous cibler, appeler Rogers, Bell ou TELUS, obtenir une carte SIM associée à votre numéro, la placer dans son téléphone et intercepter les messages textes ou les appels d’authentification.
Au lieu de dépendre de ces messages textes ou courriels, je vous conseille vivement d’installer une application telle que l’application Authenticator de Microsoft ou Authy. De cette façon, le pirate doit se connecter au compte et à l’application qui est installée directement sur votre appareil afin d’avoir accès à vos comptes. Les solutions matérielles comme Yubico offrent une couche épaisse de sécurité supplémentaire en garantissant que la personne accédant au compte a la clé physique en sa possession.
Pour en revenir à l’analogie ci-dessus, utiliser une application d’authentification, c’est comme avoir le cadenas de vélo le plus résistant qui soit. Même si un pirate parvient à déchiffrer votre mot de passe, s’il se heurte à une application d’authentification, il n’aura pas de chance et sera contraint de renoncer à son projet.
La réalité est que même les personnes les plus aguerries en matière de technologie peuvent être victimes de la cybercriminalité. Chez Ricoh, notre équipe met en œuvre chacune de ces meilleures pratiques pour assurer la sécurité de nos comptes. En outre, tous nos utilisateurs de RelativityOne doivent se connecter à l’aide de l’application Authenticator de Microsoft.
Vous avez des questions? Vous pouvez nous joindre dès aujourd’hui.

ARTICLES CONNEXESPLUS DE L'AUTEUR