L’utilisation de la technologie pour déchiffrer les mots de passe n’est pas un concept qui date d’hier. En fait, si vous vous souvenez de la façon dont Alan Turing a déchiffré Enigma pendant la Seconde Guerre mondiale, comme le montre le film « Le jeu de l’imitation », les mêmes principes s’appliquent aujourd’hui.
De nos jours, le mot de passe « 123456 » peut être deviné en moins d’une seconde. Quant à un mot de passe un peu plus complexe comme « qqww1122 », il peut être décrypté en moins d’une heure. Bien que les mots de passe plus compliqués puissent prendre des jours ou même des mois à décrypter, avec du temps, tout est possible.
Dans ce blogue, je vous expliquerai le fonctionnement des attaques par force brute, ainsi que six meilleures pratiques qui peuvent faire toute la différence entre la sécurité de vos comptes et leur exposition potentielle.

Qu’est-ce qu’une attaque par force brute?

Commençons par la raison même pour laquelle nous devons être si méticuleux lorsqu’il est question de la sécurité des mots de passe : les attaques par force brute. Ces dernières se produisent lorsque des pirates utilisent la technologie pour essayer continuellement toutes les combinaisons possibles de mots, de mots-clés populaires et de chiffres pour accéder à des comptes.
Les attaques par force brute deviennent incroyablement problématiques, car les pirates utilisent du matériel ou des logiciels dotés d’une tonne de mémoire vive et de processeurs dans le nuage public pour attaquer simultanément autant de mots de passe qu’ils le peuvent. De nombreux programmes exploités par les pirates sont de plus en plus accessibles et abordables (et parfois même gratuits), faisant de l’internaute moyen une cible facile.
Voici comment améliorer la sécurité de vos mots de passe :

1. Créez des mots de passe complexes et difficiles à percer.

Voyez le mot de passe comme un cadenas de vélo. Un cadenas bon marché (ou un mot de passe simple) sera plus facile à déjouer. Plus le cadenas est de qualité (ou plus le mot de passe est complexe), moins il sera facile à décoder. Le voleur de vélo (ou le pirate informatique) ne passera qu’un temps limité à essayer d’en venir à bout avant de jeter l’éponge.
L’une des meilleures façons d’éviter d’être victime d’une attaque par force brute est de s’assurer que votre mot de passe est plus fort que le prochain. Pour ce faire, il doit comprendre :
 – Au moins 16 caractères;
 – Des lettres minuscules et majuscules;
 – Des chiffres;
 – Des symboles (et même des espaces si le programme le permet)
Outre la longueur, vous devriez également tenir compte de la complexité de vos mots de passe. Malgré tous nos efforts pour créer quelque chose d’entièrement aléatoire, il est dans la nature humaine d’associer des motifs entre les mots et les caractères lorsque l’on pense à un mot de passe. De nombreux utilisateurs essaient de donner une tournure « unique » aux mots de passe classiques, par exemple, en changeant tous les caractères de place d’une touche vers la gauche ou la droite sur le clavier. Malheureusement, avec l’utilisation de la technologie, ces astuces deviennent plus faciles à déjouer que vous ne le pensez.
Si vous êtes ciblé, il est probable que le pirate ait fait des recherches sur vos réseaux sociaux pour en savoir plus sur vous. Cela signifie qu’il pourrait connaître vos passe-temps, les noms de vos animaux domestiques, les anniversaires des membres de votre famille et bien d’autres choses encore, tous ces éléments constituant des choix de mots de passe courants. Même si vos réseaux sociaux sont privés, vous ne savez jamais qui a accès aux comptes des amis de votre liste.
Pour éviter tout mot, phrase ou chiffre identifiables, nous recommandons d’utiliser un générateur de mot de passe aléatoire, afin de vous assurer que votre mot de passe est entièrement unique et aussi difficile à trouver que possible. Pour aller plus loin, vous pouvez inventer des réponses fausses (mais mémorisables) aux questions de sécurité posées sur les sites Web pour éviter que quelqu’un ne réinitialise votre mot de passe. On ne sait jamais quelles informations nous concernant sont accessibles.

2. Utilisez une phrase de passe aléatoire.

Les phrases de passe, qui consistent à enchaîner quatre à six mots aléatoires, sont une autre option pour créer un mot de passe fort. En fait, selon un article publié en 2020 par ZDNet, le FBI recommande d’utiliser des phrases de passe plutôt que des mots de passe complexes. Par rapport à un mot de passe court et complexe, le FBI explique qu’« un mot de passe plus long, même s’il repose sur des mots plus simples et aucun caractère spécial, prendra plus de temps à percer et nécessitera davantage de ressources informatiques ». Si vous utilisez une phrase de passe, elle doit néanmoins tenir compte des principes de base énumérés précédemment (c’est-à-dire les majuscules et les minuscules, les chiffres et autres).
Si vous préférez créer vous-même une phrase de passe, veillez à utiliser au moins quatre mots n’ayant aucun rapport entre eux et comportant chacun cinq caractères ou plus (par exemple, Automne Kangourou RivièreViolette93!4). Évitez d’utiliser des noms ou des dates qui peuvent être facilement devinés, comme les anniversaires de vos enfants, de votre conjoint(e), de vos parents ou de vos animaux de compagnie. N’oubliez pas que plus votre mot de passe est aléatoire, plus il sera difficile à percer.
L’un des avantages à utiliser une phrase de passe est qu’elle est plus facile à retenir. D’un autre côté, il sera également plus facile pour quelqu’un d’autre de s’en souvenir s’il vous voit la taper sans que les caractères soient cachés par des astérisques.

3. Utilisez un mot de passe différent pour chacun de vos comptes.

Si l’utilisation du même mot de passe pour de multiples comptes nous facilite la vie, il s’agit là d’une erreur que de nombreux utilisateurs commettent encore. Si un pirate s’introduit dans l’un de vos comptes et que vous utilisez le même mot de passe pour les autres, il est probable qu’il continuera d’accéder à autant de comptes qu’il le pourra. Si vous n’êtes pas convaincu de l’importance de diversifier vos mots de passe, entrer votre adresse électronique dans have i been pwned? peut vraiment vous ouvrir les yeux. Allez plus loin et testez vos mots de passe pour savoir combien de fois ils sont apparus dans une violation de données (et ne devraient donc jamais être utilisés).
Pour éviter le piratage par des tierces parties, il est également important de ne jamais se connecter à un site Web en utilisant les identifiants de votre compte Facebook, Google ou Apple, une option de plus en plus courante lors de l’inscription à un nouveau site Web. Aussi tentant que cela puisse être de se connecter à vos identifiants préexistants, il est toujours préférable de créer un nom d’utilisateur et un mot de passe uniques pour chaque compte.

4. Faites le suivi de tous vos mots de passe.

Il peut être difficile de mémoriser plusieurs mots de passe aléatoires. Au lieu de cliquer sur « se souvenir du mot de passe » dans votre navigateur ou, pire encore, de conserver une liste de vos mots de passe sur votre téléphone ou votre ordinateur, optez pour un outil de gestion des mots de passe comme Last Pass pour les organiser en toute sécurité.

5. Activez l’authentification multifacteur.

Le moyen le plus sûr de renforcer la sécurité de vos comptes, qu’il s’agisse de médias sociaux, de messagerie ou de services bancaires, est d’activer l’authentification à deux ou plusieurs facteurs. Ainsi, lorsque vous ou quelqu’un d’autre tentez de vous connecter à votre compte, on vous enverra un message texte, un appel téléphonique ou un courrier électronique contenant un code unique qui doit être soumis pour terminer le processus.

6. Utilisez une application d’authentification pour renforcer la sécurité de vos comptes.

Bien que l’envoi d’un message texte soit la norme, ce n’est pas la méthode la plus sûre pour accéder à vos comptes. Outre les problèmes de connectivité, comme lorsque Rogers a connu une panne pendant une journée entière, les compagnies de téléphonie cellulaire ont la réputation de mal protéger votre numéro de téléphone. Un pirate informatique peut facilement vous cibler, appeler Rogers, Bell ou TELUS, obtenir une carte SIM associée à votre numéro, la placer dans son téléphone et intercepter les messages textes ou les appels d’authentification.
Au lieu de dépendre de ces messages textes ou de ces courriels, envisagez d’installer une application telle qu’Authenticator de Microsoft ou Authy. De cette façon, le pirate doit se connecter au compte et à l’application qui est installée directement sur votre appareil afin d’avoir accès à vos comptes. Sinon, des solutions matérielles comme Yubico offrent une couche épaisse de sécurité supplémentaire en garantissant que la personne accédant au compte a la clé physique en sa possession.
Pour en revenir à l’analogie ci-dessus, utiliser une application d’authentification, c’est l’équivalent d’avoir le cadenas de vélo le plus résistant qui soit. Même si un pirate parvient à déchiffrer votre mot de passe, s’il se heurte à une application d’authentification, il n’aura pas de chance et sera contraint de renoncer à son projet.
La réalité est que même les personnes les plus aguerries en matière de technologie peuvent être victimes de la cybercriminalité. Chez Ricoh, notre équipe met en œuvre chacune de ces meilleures pratiques pour assurer la sécurité de nos comptes. En outre, tous nos utilisateurs de RelativityOne doivent se connecter à l’aide de l’application Authenticator de Microsoft.
Avez-vous des questions? Vous pouvez nous joindre dès aujourd’hui.