Ceci est un article librement inspiré par le billet de Mat Honan sur le site Wired

Un mot de passe de 6 caractères en moyenne peut tout révéler sur vous.

Vos emails. Vos compte bancaire. Votre adresse. Vos photos. Notre vie numérique est protégée par un mot de passe. Et dites vous bien que cette protection est dépassée. Oui, dépassée.

Vous avez en tête qu’un mot de passe est sécurisé mais c’est une hérésie. Quelle que soit sa complexité, votre mot de passe ne vous protège plus assez.

Il suffit de suivre l’actualité numérique : les listes de noms d’utilisateurs associées à leur mot de passe circulent régulièrement sur le net après l’assaut de hackers partout dans le monde. Les failles sont nombreuses et les hackers en quête d’exploit sont tout aussi nombreux.

Rajoutons à cela l’explosion des moyens de stockage « infonuagique », le cloud en bon français, et vous multipliez les opportunités de piratage. Il suffit de pirater un service pour ensuite avoir accès à un second service, un troisième… etc.

L’auteur de l’article explique que ses comptes My Apple, Twitter et Gmail étaient protégés par des mots de passe costauds ; sept, dix et dix-neuf caractères alphanumériques. Mais les trois comptes étaient liés et le crackage d’un compte a permis au hacker d’avoir accès au deux autres. Depuis son compte Apple, le hacker a bloqué son iPhone, son iPad et MacBook en effaçant ses messages, ses documents et les photos de sa fille de 18 mois.

On comprend aisément que ce soit difficile pour lui à digérer.

Il explique que par la suite, il a cherché le meilleur moyen de protection au monde. Ce qu’il a trouvé l’a terrifié : nos vies digitales sont simplement trop faciles à pirater !

Il explique qu’il peut aisément récupérer votre mot de passe email. Une fois l’accès email trouvé, il pourra facilement trouver votre banque en ligne puis demandera un reset du mot de passe. Là, il aura entre ses mains votre email et votre compte bancaire. Ce qui lui donne accès à votre carte bancaire, votre téléphone et votre numéro de Sécurité Sociale. En quelques minutes, il aura accès à vos comptes Amazon, Microsoft, Netflix… etc.

Le point faible de ce système est le mot de passe. Le mot de passe actuel n’est pas fait pour notre monde interconnecté. Un hacker déterminé découvrira toujours votre mot de passe, quelle que soit sa complexité. L’ère du mot de passe est révolue, telle est sa conclusion.

Les mots de passe sont vieux comme la civilisation. Quand il y a un mot de passe, il y a forcément un moyen de le casser.

Nous avons été complaisants : nos adresses emails servent maintenant comme login universel, elles sont nos noms d’utilisateurs. Les emails de type webmail Gmail, Yahoo ou Outlook sont le portail de toute une série d’applications en ligne. Nous gérons nos comptes bancaires en ligne, nous nous occupons de finance en ligne et nous payons nos impôts en ligne. Nous stockons nos photos, nos documents et nos données en ligne dans des services centralisés comme Gmail/documents dans Google Drive/Google+/Google Agenda/vidéos Youtube… etc

Je prends l’exemple du site Flickr : vous pouvez vous identifiez avec votre compte Yahoo ou Google. Résultat : si votre boite mail est perdue, vous perdez l’accès à Flickr et surtout, le contenu du compte.  Vous pouvez multiplier à envie cette exemple car de nombreux sites vous proposant de vous connecter avec votre compte Facebook, Google… Vous en perdez un, vous les perdez tous !

Comme la notion de piratage en ligne se généralise, la notion de mot de passe “fort” est apparue. C’est le compromis que les grandes sociétés du web mettent en avant pour nous persuader de continuer à utiliser leurs sites.

Un système de sécurité a besoin de deux compromis pour fonctionner dans le monde réel :

il faut que ce soit pratique. Le système le plus sécurisé au monde ne sera pas bon s’il est compliqué à utiliser. Se souvenir d’un mot de passe de 256 caractères permettrait de sécuriser vos données mais comme c’est compliqué, vous risquez de ne plus vous connecter ou de ne plus en souvenir.

– le deuxième compromis, c’est la vie privée. Si le système entier est fait pour garder les données secrètes, les utilisateurs ne supporteront pas un système sécuritaire qui mettra en lambeaux leur vie privée. Imaginez une porte d’entrée miraculeuse pour votre appartement : elle n’a pas besoin de clé, ni de mot de passe. Un agent de sécurité est en fait dans l’appartement à surveiller la serrure 24h/24, 7 jours sur 7. Il ouvre la porte dès qu’il vous voit arriver. Pas vraiment idéal pour la vie privée. Sans la nécessite de préserver votre vie privée, un système de sécurité pourrait être parfait mais personne n’accepterait un tel système.

Les compagnies internet ont voulu que l’acte de connexion soit simple et respectueux de la vie privée, d’où l’usage de la notion du mot de passe “fort”. Faites qu’il soit long, avec des lettres en capitale, des chiffres et un point d’exclamation et tout ira bien.

Mais les techniques actuelles de hacking – force brute, vols ou bypass – cumulées à la puissance de nos ordinateurs font que peu importe la longueur ou la complexité de nos mots de passe.

L’exemple de Sony en 2011 est le plus marquant : la firme a depensé 171 millions de dollars pour modifier son infrastructure suite au hack de sa base de donneés des joueurs PlayStation.

Comment nos mots de passe en ligne sont démasqués ? Et bien, ils sont devinés grâce à tous les indices que nous semons dans les réseaux sociaux, récupérés dans une base de données d’une entreprise web mal protégée, crackés par la force brute, volés par un keylogger et remis à zéro par un service support abusé.

Mat Hanon explique qu’on peut deviner un mot de passe, souvent facilement car les utilisateurs emploient des mots de passe débiles comme « 123456 ». On ne peut qu’être d’accord avec lui mais il va plus loin en expliquant que les sociétés internet devraient refuser ce mot de passe trop basique. Mais elles ne le font pas. Dommage pour les utilisateurs qui auraient bien besoin d’être éduqués et aidés.

Autre souci, la réutilisation du même mot de passe de site en site. Ces deux dernières années, 280 millions de mots de passe ont été balancés sur le net. Yahoo, LinkedIn, Gawker et eHarmony ont eu des vols de mots de passe. En comparant deux dépôts volés, on s’aperçoit que 49% des utilisateurs avait utilisé le même mot de passe.

Mat Hanon aborde aussi le phishing : un hacker reproduit un site internet ressemblant à l’original à s’y méprendre. L’internaute pense se connecter au bon site et donne son nom d’utilisateur et son mot de passe innocemment au grand méchant loup.

Il parle également de malware. Il s’agit d’un programme caché sur votre ordinateur, qui envoie discrètement toutes vos informations à quelqu’un d’autre. Le malware peut également installer un keylogger (littéralement enregistreur de touches) qui “voit” et enregistre ce que vous tapez sur votre clavier ou ce que vous voyez sur votre écran. Ce programme keylogger envoie ensuite l’information à son propriétaire, toujours à votre insu.

L’exemple le plus typique est le keylogger ZeuS qui collecta 70 millions de dollars en 2011 récupérant les données de 390 victimes aux USA avant de se faire stopper par le FBI.

Comment survivre à l’apocalypse “mot de passe” ?

A ne pas faire :

– ne pas réutiliser le même password : si un hacker prend la possession d’un compte, vous gardez la main sur les autres comptes.

– ne pas utiliser un mot issu du dictionnaire comme mot de passe : si vous devez utiliser un mot existant, accolez-en plusieurs pour faire une phrase. Tiens, et si j’inventais un mot elfique ?

– utiliser des nombres comme moyen de substitution des voyelles : vous pensez que s3cr3t est un bon mot de passe ? Oh que non, les logiciels de crack incluent cette possibilité.

– utiliser un mot de passe court : même un password comme h6!r$q est facilement cassable. Votre meilleure défense est le mot de passe le plus long.

A faire :

– utiliser l’identification en 2 temps quand elle est disponible : quand vous vous connectez d’un endroit inhabituel, le système vous envoie un SMS avec un code de confirmation pour continuer vos opérations. Oui, cela peut être cracké mais c’est mieux que rien.

– donnez des réponses bidons aux questions de sécurité : pensez à ces questions de sécurité comme un deuxième mot de passe. Conservez des réponses mémorisables. Ma première voiture ? “Camper Van Beethoven Freaking Rules” pour un Combi Volkswagen.

– réduisez votre présence en ligne : c’est votre email qui est le plus souvent attaqué, ainsi que les informations de votre adresse de facturation.

– utilisez une adresse unique de récupération de mots de passe : si un hacker sait où vont vos demandes de remise à zéro de mots de passe, ce sera sa ligne d’attaque. Je vous conseille de créer un compte spécial que vous n’utilisez jamais pour communiquer mais uniquement pour recevoir ces remises à zéro. Et assurez vous de choisir un nom d’utilisateur pour cet email qui n’est pas lié à votre vrai nom.

– utiliser une bonne résolution comme mot de passe : je pense à une phrase qui serait une bonne résolution que vous voulez prendre. Cette idée provient dun article que j’ai lu (et que je ne retrouve plus). L’auteur de cette idée avait comme mot de passe « jarretedefumerle1eravril » ou « jevaisfairedusport2foisparsemaine ». Il changeait ses mots de passe selon ses besoins et envies du moment. Je trouvais cela intéressant à partager.

Mat Hanon poursuit son article en expliquant que le mot de passe tel que nous le pratiquons n’est plus suffisant.

Il aborde le sujet de la biométrie pour sécuriser l’accès à un compte : empreintes digitales, rétiniennes ou vocales. Tout cela serait très couteux et ne serait qu’un élément parmi d’autres à utiliser car tous ces moyens peuvent être copiés par des gens mal intentionnés. Sans oublier que la NSA veille et pourrait stocker encore plus de données sur les citoyens illegalement. Alors les iPhones avec reconnaissance d’empreintes digitales, non merci.

L’intérêt serait l’utilisation de plusieurs moyens de vérifications : mot de passe + voix + empreinte digitale + code envoyé SMS. Fastidieux mais plus efficace et plus respectueux de la vie privée : il va falloir faire des choix en tant qu’utilisateur. Les systèmes de sécurité vont devoir vous analyser un peu plus, quant à votre lieu et vos habitudes, afin de détecter s’il s’agit bien de vous ou d’un usurpateur. Donc renoncement majeur à la vie privée à cause de la NSA.

Mat Hanon est prêt à beaucoup de renoncement pour rester sur le cloud avec ses photos et ses données : observations de ses mouvements et enregistrement de ses données biométriques. Je ne suis pas sur du tout de faire les mêmes choix.

Face à ce qu’il appelle le chaos et le vol, il n’y a qu’une seule alternative d’après lui : tout donner à la machine et aux entreprises internet ! Qui nous sommes, à qui nous parlons, là où nous allons, ce que nous faisons, ce que nous possédons…

Il est donc prêt à renoncer à sa liberté pour plus de sécurité. C’est un discours que l’on entend souvent. Je comprends son désarroi d’avoir perdu ses données numériques mais renoncer à tout pour plus de sécurité dans le nuage informatique me paraît une mauvaise réponse. Que ce soit sur internet ou dans la vie réelle, ce compromis est une erreur majeure.

De plus, les entreprises n’attendent que cela : que leur soit confiées toutes nos données personnelles pour devenir indispensable et analyser nos besoins afin de mieux vendre leurs produits ensuite. Une entreprise n’est pas l’Etat, si tant est que l’Etat garantisse encore la neutralité et la liberté, ce qui reste à prouver.

Si une entreprise web protège Mat Hanon des hackers, qui le protègera de cette entreprise web ?
_ Damien


>>> Source  @ http://spirale.io/nos-mots-de-passe-ne-nous-protegent-plus-vraiment/

Fermer le menu
more