Pourquoi ne devriez-vous pas utiliser le même mot de passe partout en ligne

Les mots de passe sont partout. Ils garantissent que seuls nous (ou les personnes que nous autorisons) pouvons accéder à nos informations et biens privés, qu’il s’agisse de l’argent en banque ou de notre identité sur les réseaux sociaux. Cependant, on les prend souvent à la légère, en utilisant partout le même mot de passe car il est facile à retenir.

Si de nombreuses applications et services se sont améliorés en termes de sécurité, les pirates informatiques se sont également considérablement améliorés. Utiliser le même mot de passe partout vous expose au risque de devenir une cible privilégiée des cyberattaques. Il existe d’autres inconvénients moins évidents à cette pratique.

Voici quelques raisons pour lesquelles vous devriez être plus diligent lors du choix d’un mot de passe.

1. Attaques de bourrage d’informations d’identification

Lorsqu’il s’agit d’utiliser le même mot de passe partout, vous n’êtes pas seul. Selon le Site Internet NordPass, de nombreuses personnes utilisent des mots de passe faciles à deviner comme « invité » et « mot de passe ». Il s’agit d’une pratique horrible, car ces mots de passe apparemment contre-intuitifs mettent à peine du temps à être déchiffrés.

Si vous utilisez un mot de passe faible comme celui-ci sur tous vos comptes, vous êtes la cible idéale pour une attaque de type credential stuffing. Il s’agit d’un type de cyberattaque qui rassemble une vaste collection de mots de passe ou de noms d’utilisateur volés sur des milliers de sites Web. Si votre mot de passe recyclé se retrouve dans une violation de données, bon nombre de vos comptes peuvent être en difficulté.

2. Mettre vos comptes d’entreprise en danger

En 2012, Dropbox a subi une violation qui a touché 69 millions d’utilisateurs en ligne. Selon Le gardien, la violation s’est produite parce qu’un employé de Dropbox a réutilisé le même mot de passe sur Dropbox que précédemment sur LinkedIn. Lorsque son compte LinkedIn a été piraté, les pirates ont également eu accès au réseau d’entreprise de Dropbox.

Cela signifie que si vous recyclez les mots de passe de votre compte d’entreprise, vous vous exposez également, ainsi qu’à l’entreprise, à un risque énorme. C’est exactement pourquoi de nombreuses entreprises à la pointe de la technologie utilisent désormais des gestionnaires de mots de passe. Les gestionnaires de mots de passe vous permettent de stocker et de générer des mots de passe sécurisés.

En ajoutant votre employé ou sous-traitant à votre gestionnaire de mots de passe, il accède à tous les comptes dont les mots de passe sont stockés dans l’application de gestion, simplifiant ainsi leur processus de connexion, tout en éliminant le besoin de partager le mot de passe avec eux.

Les mots de passe réutilisés ou même les mots de passe similaires sont faibles, non uniques et facilement prévisibles. Les pirates peuvent facilement déchiffrer ces mots de passe à l’aide d’outils d’IA. Même la version gratuite de ChatGPT peut être utilisée pour réfléchir à de tels mots de passe :

Si l’invite ci-dessus est trop simple pour deviner votre mot de passe, les pirates peuvent contourner les restrictions de ChatGPT et essayer de proposer une invite plus personnalisée pour deviner vos mots de passe.

Par exemple, j’ai écrit une invite, faisant semblant d’écrire une histoire sur un personnage fictif, Adam (toute ressemblance avec des personnes réelles est purement fortuite), dans laquelle des pirates tentent de s’introduire dans son compte Facebook :

Voici comment ChatGPT a créé avec plaisir une liste de mots de passe que cette personne peut utiliser :

Certains de ces mots de passe semblent amusants, mais nous avons en fait tendance à mettre des mots de passe dont nous pouvons facilement nous souvenir (des personnes et des choses qui nous tiennent généralement le plus à cœur). Ainsi, plus les pirates nous connaissent (ce qui n’est pas difficile étant donné que nous publions tout sur les réseaux sociaux), plus ils ont de chances de deviner notre mot de passe.

Et les outils avancés de craquage de mots de passe de l’IA sont à un autre niveau. Ils testent les mots de passe courants en utilisant des variantes de mots ou de mots de passe trouvés lors de violations de données.

Si vous utilisez un mot de passe comme « qwerty », il faut moins d’une seconde aux outils de craquage de mot de passe pour le déchiffrer. Ajouter des chiffres et le remplacer par « qwerty12345 » ne rend pas la tâche plus difficile à déchiffrer. De nombreux outils recherchent un modèle, et les nombres évidents devant des phrases encore plus évidentes sont les modèles les plus courants.

4. Le partage de mots de passe vous rend plus vulnérable

Recycler vos mots de passe est une mauvaise pratique, mais partager ces mots de passe réutilisés est encore pire. Quelle que soit la fiabilité de la personne à qui vous partagez le mot de passe, vous ne pouvez pas rendre compte des violations de données ou des cyberattaques. Votre compte court encore plus de risques si l’appareil de la personne avec laquelle vous avez partagé les détails de son compte est compromis ou volé.

Une fois qu’un pirate informatique a accès à un appareil, chaque compte et chaque élément de données sont gratuits. Par exemple, disons que vous partagez un compte Netflix avec quelqu’un. Si leur ordinateur portable est piraté ou volé et que quelqu’un accède à ce compte Netflix, les détails de votre carte de crédit sont immédiatement menacés.

Alors, commencez par utiliser des mots de passe forts et difficiles à deviner. Ensuite, utilisez l’authentification à deux facteurs ou un gestionnaire de mots de passe pour partager en toute sécurité un mot de passe avec vos amis et votre famille et minimiser les risques.

5. Attaques d’ingénierie sociale

L’ingénierie sociale est l’acte de manipuler des personnes pour voler leurs informations privées. Il ne s’agit pas vraiment d’une compétence technique, mais plutôt d’un jeu psychologique. Les liens de phishing en sont l’exemple le plus courant.

Ce n’est plus aussi simple que le lien de phishing vous menant vers une fausse page de connexion Facebook ou Instagram. Les pirates se feront passer pour un ami, un collègue ou une organisation digne de confiance pour vous inciter à cliquer sur des liens qui compromettent vos comptes.

Ainsi, le pirate informatique peut vous demander de vous inscrire à son nouveau service de démarrage, uniquement pour voir quel mot de passe vous utilisez. Dans certains cas, ils peuvent vous contacter à partir du compte de votre ami qui a été compromis. La plupart d’entre nous ne savent pas comment ouvrir des liens de nos amis, c’est donc un piège facile à mettre en place.

Étant donné que vous réutiliserez probablement un mot de passe provenant d’ailleurs pour vous inscrire à ce service, ils essaieront d’utiliser ce mot de passe pour tous vos comptes qu’ils connaissent. Si vous utilisez le même mot de passe pour votre application bancaire, vous vous exposez probablement à de nombreux ennuis.

Si ce n’est à chaque fois, cette technique fonctionnerait dans la plupart des cas.

6. Risque accru d’attaques internes

Réutiliser les mêmes mots de passe partout augmente potentiellement les risques d’attaques internes. Supposons qu’un employé connaissant le mot de passe quitte votre organisation. Si le mot de passe reste inchangé, l’ancien employé aura toujours un accès facile à toutes vos données sensibles.

Si l’initié connaît un mot de passe utilisé partout, toutes vos applications et services courent un risque immédiat. Ils peuvent utiliser ces informations d’identification pour mener des activités frauduleuses, exploiter des vulnérabilités ou endommager des systèmes informatiques. Ces personnes peuvent également se faire passer pour des membres du personnel et manipuler leurs collègues pour qu’ils partagent des informations confidentielles.

De même, si le même mot de passe est utilisé sur plusieurs sites Web, il serait difficile d’identifier l’initié en cas d’activité indésirable ou malveillante. Vous pouvez réduire les risques d’attaques internes en adoptant de solides pratiques de sécurité. Un bon point de départ consiste à attribuer des informations d’identification personnalisées à tous vos employés.

Soyez créatif, secret et strict avec les mots de passe

Quelles que soient les autres mesures de sécurité que vous prenez, votre présence en ligne sera toujours menacée si vous réutilisez le même mot de passe sur différentes plateformes. Bien sûr, les mots de passe réutilisés sont plus faciles à mémoriser, mais vous regretterez cette commodité si vos comptes sont piratés.

Heureusement, vous n’aurez peut-être plus besoin d’utiliser de mots de passe à l’avenir. Des services comme Apple PassKeys utilisent l’authentification biométrique comme FaceID ou TouchID pour vous connecter à des comptes. Cela supprime le besoin d’un mot de passe, car le service utilise à la place une clé cryptographique. À mesure que d’autres entreprises commenceront à mettre en œuvre cette méthode, les mots de passe pourraient devenir une chose du passé.