Les mots de passe sont omniprésents dans notre vie numérique. Ils constituent la clé qui protège nos informations et biens personnels, qu’il s’agisse de nos comptes bancaires ou de notre identité sur les réseaux sociaux. Cependant, il est courant de les négliger, en utilisant souvent le même mot de passe partout, car il est plus facile à mémoriser.
Bien que la sécurité des applications et services en ligne se soit améliorée, les pirates informatiques sont également devenus plus sophistiqués. Utiliser le même mot de passe pour plusieurs comptes vous expose à un risque accru de cyberattaques. Il existe également d’autres inconvénients moins évidents à cette pratique.
Voici quelques raisons pour lesquelles il est crucial d’être plus vigilant lors du choix de vos mots de passe.
1. Les attaques par bourrage d’identifiants
L’utilisation du même mot de passe partout est un problème répandu. Selon un rapport de NordPass, beaucoup de gens optent pour des mots de passe faciles à deviner comme « invité » ou « mot de passe ». Ces choix sont très risqués, car ils peuvent être facilement déchiffrés.
Si vous utilisez un mot de passe faible de ce type sur tous vos comptes, vous devenez une cible idéale pour les attaques par bourrage d’identifiants. Ces attaques consistent à compiler des listes de mots de passe et de noms d’utilisateur volés sur de nombreux sites. Si votre mot de passe réutilisé apparaît dans une fuite de données, vos comptes sont menacés.
2. Mettre en danger les comptes de votre entreprise
En 2012, Dropbox a subi une violation de données affectant 69 millions d’utilisateurs. Selon un article de The Guardian, cette violation s’est produite parce qu’un employé avait réutilisé son mot de passe LinkedIn sur son compte Dropbox. Lorsque son compte LinkedIn a été piraté, les pirates ont également accédé au réseau de l’entreprise Dropbox.
Si vous utilisez les mêmes mots de passe pour votre compte professionnel, vous mettez en danger non seulement votre propre sécurité, mais aussi celle de votre entreprise. C’est pourquoi de nombreuses entreprises à la pointe de la technologie utilisent des gestionnaires de mots de passe. Ces outils permettent de stocker et de générer des mots de passe complexes.
En ajoutant un employé ou un sous-traitant à un gestionnaire de mots de passe, il peut accéder facilement à tous les comptes protégés par des mots de passe stockés dans l’application, ce qui simplifie leur connexion tout en évitant de partager directement les mots de passe.
Les mots de passe réutilisés ou similaires sont faibles, non uniques et prévisibles. Les pirates peuvent facilement les déchiffrer grâce à des outils d’intelligence artificielle (IA). Même la version gratuite de ChatGPT peut être utilisée pour suggérer des mots de passe potentiels:
Si une simple requête ne suffit pas à deviner votre mot de passe, les pirates peuvent contourner les restrictions de ChatGPT et soumettre des requêtes plus personnalisées pour le trouver.
Par exemple, j’ai créé une requête simulant une histoire sur un personnage fictif, Adam, dont le compte Facebook est ciblé par des pirates :
Voici les suggestions de mots de passe que ChatGPT a proposé pour ce personnage:
Certains de ces mots de passe semblent anodins, mais nous avons tendance à choisir des mots de passe faciles à mémoriser, souvent liés à des personnes et des choses qui nous sont chères. Ainsi, plus les pirates en savent sur nous (ce qui n’est pas difficile avec ce que nous publions sur les réseaux sociaux), plus ils ont de chances de deviner nos mots de passe.
Les outils de piratage de mots de passe basés sur l’IA sont très puissants. Ils testent les mots de passe courants en utilisant des variations, des mots ou des phrases qui ont fuité lors de violations de données.
Si vous utilisez un mot de passe comme « qwerty », il faut moins d’une seconde pour qu’un outil de piratage le déchiffre. Ajouter des chiffres comme « qwerty12345 » ne rend pas la tâche plus difficile. Ces outils recherchent des motifs, et les chiffres qui suivent des mots de passe évidents sont les plus courants.
3. Le partage de mots de passe vous rend plus vulnérable
Réutiliser vos mots de passe est une mauvaise pratique, mais les partager est encore pire. Même si vous faites confiance à la personne avec laquelle vous partagez votre mot de passe, vous ne pouvez pas prévenir les violations de données ou les cyberattaques. Votre compte est encore plus à risque si l’appareil de la personne avec laquelle vous avez partagé votre mot de passe est compromis ou volé.
Si un pirate accède à un appareil, chaque compte et chaque information sont menacés. Par exemple, si vous partagez un compte Netflix avec quelqu’un et que son ordinateur portable est piraté, les informations de votre carte de crédit sont exposées.
Commencez par choisir des mots de passe complexes et difficiles à deviner. Utilisez l’authentification à deux facteurs ou un gestionnaire de mots de passe pour partager vos identifiants en toute sécurité avec vos proches et minimiser les risques.
4. Les attaques d’ingénierie sociale
L’ingénierie sociale consiste à manipuler des individus pour qu’ils révèlent des informations personnelles. Il s’agit moins d’une compétence technique que d’une manipulation psychologique. Les liens de phishing en sont un exemple courant.
Aujourd’hui, le phishing ne se limite plus à un simple faux lien vers une page de connexion Facebook ou Instagram. Les pirates peuvent se faire passer pour un ami, un collègue ou une organisation de confiance pour vous inciter à cliquer sur des liens qui compromettent vos comptes.
Par exemple, un pirate peut vous demander de vous inscrire à son nouveau service, simplement pour voir quel mot de passe vous utilisez. Dans certains cas, il peut vous contacter depuis le compte piraté d’un de vos amis. La plupart d’entre nous cliquent sur les liens envoyés par nos amis, ce qui rend cette technique très efficace.
Si vous utilisez le même mot de passe pour vous inscrire à ce service, le pirate essaiera de l’utiliser pour tous les autres comptes qu’il connaît. Si vous utilisez le même mot de passe pour votre application bancaire, vous vous exposez à de graves problèmes.
Cette technique fonctionne souvent et peut avoir des conséquences graves.
5. Risque accru d’attaques internes
Réutiliser les mêmes mots de passe augmente le risque d’attaques internes. Par exemple, si un employé qui connaît un mot de passe quitte votre entreprise et que ce mot de passe n’est pas modifié, cet ancien employé aura toujours accès à vos données sensibles.
Si un initié connaît un mot de passe utilisé partout, vos applications et services sont immédiatement menacés. Ces informations d’identification peuvent être utilisées pour des activités frauduleuses, des exploitations de vulnérabilités ou des dommages aux systèmes informatiques. Ces personnes peuvent également usurper l’identité de membres du personnel pour inciter leurs collègues à divulguer des informations confidentielles.
De même, si le même mot de passe est utilisé sur plusieurs sites web, il sera difficile d’identifier l’initié en cas d’activité malveillante. Vous pouvez réduire les risques d’attaques internes en adoptant des pratiques de sécurité robustes. Une bonne pratique consiste à attribuer des identifiants uniques à tous vos employés.
Soyez créatif, secret et strict avec vos mots de passe
Quelle que soit votre vigilance, votre sécurité en ligne sera toujours compromise si vous réutilisez le même mot de passe sur différentes plateformes. Certes, les mots de passe réutilisés sont plus faciles à mémoriser, mais vous regretterez cette commodité si vos comptes sont piratés.
Heureusement, vous n’aurez peut-être plus besoin d’utiliser de mots de passe à l’avenir. Des services comme Apple PassKeys utilisent l’authentification biométrique, comme FaceID ou TouchID, pour vous connecter à vos comptes. Cela élimine le besoin de mots de passe, car le service utilise une clé cryptographique. À mesure que d’autres entreprises adopteront cette méthode, les mots de passe pourraient devenir obsolètes.