3 min de lecture High-tech

Piratages massifs sur le web : comment bien choisir son mot de passe

Les centaines de millions de mots de passe dérobés sur LinkedIn, Tumblr ou Myspace ces dernières semaines peuvent servir à des pirates pour s'introduire sur d'autres sites et accéder à des informations sensibles.

Un mot de passe sûr répond à plusieurs critères définis par la Cnil
Un mot de passe sûr répond à plusieurs critères définis par la Cnil Crédit : Frederic J. Brown - AFP
BenjaminHuepro
Benjamin Hue
Journaliste RTL

Même le patron de Facebook n'est pas à l'abri des pirates informatiques. Dimanche 5 juin, Mark Zuckerberg a perdu le contrôle de ses comptes Twitter et Pinterest l'espace de quelques heures, rapporte le site américain VentureBeat. Le fondateur du réseau social le plus populaire de la planète a fait les frais d'une offensive lancée par des hackers saoudiens. Ces derniers ont tiré profit d'une base de données de 100 millions de mots de passe dérobés en 2012 sur le réseau social professionnel LinkedIn. Pour s'identifier sur la plateforme, Mark Zuckerberg utilisait un mot de passe simple, "dadada", qui lui servait aussi à se connecter sur Twitter et Pinterest. Inchangé depuis 2012, le mot de passe a permis aux pirates d'accéder aux deux comptes du père de Facebook, qu'il avait cependant délaissés depuis plusieurs années.

Ces dernières semaines, plusieurs centaines de millions de mots de passe provenant de sites comme LinkedIn, Tumblr ou Myspace ont été mis en vente sur le dark web. La plupart de ces données émanent de piratages remontant à plusieurs mois voire plusieurs années. Mais malgré leur ancienneté, elles sont tout de même sensibles. À l'instar de Mark Zuckerberg, beaucoup d'internautes ne changent jamais, ou très peu, leurs mots de passe. Certains les utilisent parfois sur plusieurs sites. Les informations contenues dans ces bases de données peuvent ainsi servir à d'autres pirates qui les utiliseront pour tenter de s'introduire sur d'autres sites et à terme accéder à des informations bancaires, commerciales, administratives ou personnelles. 

Comment vérifier si votre mot de passe a été piraté

Il existe un moyen de vérifier si vous figurez dans ces bases de données monstres. Pilotés par des experts en sécurité informatique, des sites comme haveibeenpwned.com ou leakedsource.com récupèrent une copie des données volées et les interrogent ensuite via un moteur de recherche. Il suffit d'entrer un nom d'utilisateur ou une adresse mail associé à un compte des sites piratés pour voir si l'on est concerné par la fuite. En cas de réponse positive, il faut impérativement changer de mot de passe et celui des autres sites sur lequel il est utilisé. 

À lire aussi
Cette "vache solaire" a été distinguée au CES de Las Vegas High-tech
Une "vache solaire" pour apporter l’électricité dans les villages en Afrique

D'une manière générale, il est avant tout préconisé d'utiliser un mot de passe différent pour chaque site. Un seul accès sera alors vulnérable en cas de compromission d'un compte. Dans un avis publié en 2014, la Commission nationale de l'informatique et des libertés (Cnil) recommande de construire un mot de passe fort, faisant au moins huit caractères et composé d'au moins trois types de caractères différents parmi les quatre existants (majuscules, minuscules, chiffres et caractères spéciaux). Il ne doit pas avoir de lien avec son détenteur (nom ou date de naissance par exemple).

>
[TUTORIEL] Comment sécuriser ses mots de passe ? Durée : |

Comment créer un mot de passe fort et s'en souvenir

Des moyens mnémotechniques peuvent être utilisés pour créer des mots de passe complexes. La Cnil suggère par exemple de ne conserver que les premières lettres des mots d'une phrase, de mettre une majuscule si le mot est un nom, de garder les signes de ponctuation et d'exprimer les nombres en chiffres. Ainsi, la phrase, "Un utilisateur d'Internet averti en vaut deux" donnera le mot de passe 1Ud'Iaev2. 

Reste ensuite à s'en souvenir. Là encore, certaines précautions s'imposent. Il ne faut pas stocker ses mots de passe dans un fichier texte sur son ordinateur et ne pas les envoyer sur sa messagerie personnelle. Il est aussi recommandé de supprimer les messages envoyés par messagerie lors de la création d'un compte et de configurer les logiciels afin qu'ils ne se souviennent pas des mots de passe. 

Une fois ces principes respectés, l'utilisation d'un gestionnaire de mots de passe peut ensuite permettre de constituer une base de données chiffrée par un unique mot de passe "maître" afin de n'avoir à retenir qu'un seul identifiant pour accéder à tous les autres. Parmi les nombreuses solutions disponibles sur le marché, la Cnil recommande KeepassPassreminder et Passwordsafe, des logiciels libres régulièrement mis à jour. Il est aussi indispensable de disposer d'une copie de sa liste de mots de passe sur une clé USB ou sur un support physique conservé dans une endroit sûr.

La rédaction vous recommande
Lire la suite
High-tech Sécurité Cnil
Restez informé
Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires. Cette inscription sera valable sur le site RTL.fr.

Connectez-vous Inscrivez-vous

500 caractères restants

fermer
Signaler un abus
Signaler le commentaire suivant comme abusif
500 caractères restants
article
7783565719
Piratages massifs sur le web : comment bien choisir son mot de passe
Piratages massifs sur le web : comment bien choisir son mot de passe
Les centaines de millions de mots de passe dérobés sur LinkedIn, Tumblr ou Myspace ces dernières semaines peuvent servir à des pirates pour s'introduire sur d'autres sites et accéder à des informations sensibles.
https://www.rtl.fr/actu/futur/piratages-massifs-sur-le-web-comment-bien-choisir-son-mot-de-passe-7783565719
2016-06-08 15:15:00
https://cdn-media.rtl.fr/cache/C3lUkJsHdKGSUJX2R2gvGg/330v220-2/online/image/2016/0608/7783566538_un-mot-de-passe-sur-repond-a-plusieurs-criteres-definis-par-la-cnil.jpg