Si vous vous êtes enregistré dans Adobe, changez votre mot de passe tout de suite. Ils ont été volés et publiés sur Internet. Quelqu’un les a même utilisés pour en faire des mots croisés. C’est donc le moment idéal pour jeter un œil aux mots de passe qu’il ne vaut mieux pas utiliser.
Une récente violation d’Adobe a permis de voler les données des utilisateurs et aura définitivement des conséquences à long terme. Au départ, Adobe a affirmé que le piratage avait affecté environ 3 millions d’utilisateurs. Il s’est avéré que la base de données contenait en fait plus de 150 millions de fichiers ! De plus, les mots de passe stockés ne sont pas bien protégés et peuvent-être récupérés sous leur forme originale. C’est pourquoi Facebook a demandé aux utilisateurs affectés de changer leur mot de passe s’ils utilisent le même mot de passe sur le réseau social.
Utiliser un seul mot de passe pour différents services en ligne pose un sérieux problème de sécurité. Encore pire, des millions d’utilisateurs réalisent des erreurs stupides quand ils inventent un nouveau mot de passe. Apprenons de ces erreurs, en utilisant les mots de passe les plus populaires de la base de données d’Adobe.
1. « Motdepasse », « qwerty », et « 123456 »
Etonnamment, ces mots de passe évidents sont toujours les plus utilisés après toutes ces années. Dans la base de données d’Adobe, le mot de passe « 123456 » garde la première place avec plus de 2 millions d’utilisateurs concernés (sur les 150 millions au total). Derrière on trouve un mot de passe bien plus compliqué « 123456789 », suivit ensuite du mot « motdepasse » lui-même. 345 000 utilisateurs ont choisi d’utiliser « motdepasse ». La très populaire séquence de clavier « qwerty » (l’équivalent de notre « azerty ») occupe la 6ème place.
2. Entreprises ou nom de site et autres variantes
Vous pensez peut-être que l’identifiant « John » et le mot de passe « Facebook » sont originaux mais ce n’est pas le cas. Bien évidemment, le nom du service ne figure peut-être pas dans le dictionnaire que les pirates utilisent pour réaliser des attaques par force brute, mais les pirates expérimentés ajouteront définitivement de tels mots de passe à leur base de données afin de les vérifier (comme cela a été le cas pour Adobe). Ce principe a été utilisé pour les mots de passe occupant la 4ème, 9ème, 15ème et 16ème places du top 100 d’Adobe : « adobe123 », « photoshop », adobe1″ et « macromedia ».
3. Nom = mot de passe et autres indices
Même si d’autres fournisseurs chiffrent peut-être les mots de passe bien mieux qu’Adobe, il est assez probable que les pirates découvrent les champs additionnels inclus dans la base de données sans trop d’efforts. Ils se sont avérés assez utiles pour récupérer les mots de passe. Les champs en question comprennent le nom d’utilisateur, l’adresse e-mail, les indices de mot de passe, etc. L’utilisation d’un mot de passe identique à l’identifiant est une tendance récurrente. D’autres astuces « intelligentes » sont également assez impressionnantes. Certains écrivent leur mot de passe dans le champ d’indice de leur mot de passe ou utilisent des astuces aussi discrètes que « de 1 à 6 » ou « Dernier premier ».
4. Des faits évidents
Facebook est l’outil de piratage favori des hackers depuis déjà quelques temps. Une fois l’adresse e-mail et le nom d’utilisateur de la victime obtenus, il est très facile d’effectuer une recherche et de résoudre des indices de mot de passe tels que « chien », « nom de mon fils », « anniversaire », « travail », « nom de jeune fille de ma mère », « groupe préféré », etc. Environ un tiers de tous les indices se réfèrent aux membres de la famille de l’utilisateur ou à un animal de compagnie. 15% de ces indices indiquent le mot de passe directement ou presque.
5. Simples séquences
Les combinaisons possibles de lettres et de chiffres sont infinies. Néanmoins, les gens utilisent ce pouvoir de manière très limitée. Ils disposent d’indices très évidents devant eux sous la forme de l’alphabet et du clavier situés devant eux. C’est ainsi que des mots de passe tels que « abc123 », « 00000 », « 123321 », « asdfgh » et « 1a2z3e4r » sont nés. Si vous utilisez une séquence de lettres et/ou de chiffres très simples à mémoriser, oubliez-la – elle est également facile à pirater et très probablement présente dans les dictionnaires de mots de passe.
6. Mots de passe basiques
Selon plusieurs chercheurs, de un tiers à la moitié de tous les mots de passe sont des mots issus du dictionnaire et ils appartiennent souvent aux mots les plus utilisés de la langue en question. Les ordinateurs modernes sont capables d’essayer 10 000 mots de passe en quelques secondes, c’est pourquoi de tels mots de passe ne sont pas du tout fiables. Dans le top d’Adobe, on trouve de nombreux mots de passe de ce genre : « soleil », « singe », « ombre », « princesse », « dragon », « bienvenue », « Jésus », « sexe », « Dieu ».
7. Des modifications évidentes
Pour rendre les attaques par force brute plus difficiles, la plupart des services demandent aux utilisateurs de créer leur mot de passe suivant des règles spécifiques. Par exemple, on trouve les règles suivantes : au moins 6 caractères, l’obligation de mélanger minuscules et majuscules, ainsi que des chiffres et des lettres. Comme je l’ai déjà écrit, ces mesures dates du 20ème siècle, et nous devons les reconsidérer de nos jours, mais les utilisateurs se sont déjà adaptés à ces règles. Il y a de grandes chances pour que la première lettre soit la seule lettre majuscule, alors que la plupart des modifications numériques consisteront à ajouter un « 1 » à la fin du mot de passe. Dans la base de données Adobe, ces astuces sont combinées à des mots de passe évidents ce qui donne naissance à des mots de passe particulièrement mauvais comme « adobe1 » ou « motdepasse1 ». Les caractères les plus populaires sont les points d’exclamation et le trait de soulignement.
8. Des modifications évidentes – 2 (1337)
Grâce au film « Hackers » et autres clichés issues de la culture pop, un plus large public connait désormais le « langage du hacker » LEET (1337), qui consiste à remplacer certaines lettres par des chiffres similaires et à effectuer d’autres modifications de ce genre. Réaliser de tels changements semble être une bonne idée et des mots de passe comme « H4X0R » ou « $1NGl3 » peuvent sembler impressionnants. Malheureusement, ils ne sont pas beaucoup plus compliqués que les évidents « hacker » et « single » car les applications de piratage par force brute contiennent un moteur utilisant ces modifications et qui essaie toutes les modifications du dictionnaire les plus évidentes.
9. Phrases énergiques
Dans le monde moderne, les mots de passe les plus longs, tels que les phrases secrètes, sont considérés comme une meilleure protection que les mots de passe. Néanmoins, il existe de nombreuses exceptions – des expressions beaucoup plus courtes et extrêmement prévisibles. Dans le top 100 d’Adobe, on pouvait trouver « letmein », « fuckyou » et « iloveyou ». Rien à ajouter.
10. Sécurité Sociale et autres numéros importants
Ces mots de passe sont plus difficiles à deviner. Néanmoins, les pirates n’hésiteront pas à redoubler d’efforts pour trouver de tels numéros quand ils découvrent un indice de mot de passe du genre « mon numéro de Sécurité Sociale ». Combiné au nom d’utilisateur, à la date naissance et autres données fournies par Facebook, un numéro de SS peut permettre d’usurper une identité, ce qui rend ce genre de mots de passe très facile à monétiser.
Hors concours – des mots de passe identiques
Nous ne pouvons pas les trouver à partir d’une seule base de données mais cette erreur est aussi populaire que « 123456 ». Je parle d’utiliser le même mot de passe pour plusieurs services en ligne. La raison pour laquelle c’est une très mauvaise idée est assez évident : si votre mot de passe (Adobe) est découvert par les pirates, ils pourront essayer votre combinaison adresse e-mail/mot de passe sur tous les sites les plus populaires tels que Facebook ou Gmail et ne pas compromettre seulement un seul mais plusieurs de vos comptes, Selon un sondage réalisé par B2B international pour Kaspersky Lab, 6% des utilisateurs utilisent le même mot de passe pour tous leurs comptes, alors que 33% utilisent seulement quelques mots de passe. Si le site Adobe était parmi ceux qu’ils utilisaient, alors ces utilisateurs et leur vie numérique sont en danger.
Évidemment, toutes les erreurs mentionnées ci-dessus sont faites à cause d’une unique raison – de nos jours, nous utilisons en général, entre 5 à 10 services en ligne et il est très difficile de se souvenir de 5 à 10 mots de passe uniques et complexes. Heureusement, il existe une solution technique simple pour ce problème.
Voici notre solution :
- N’utilisez pas le même mot de passe sur plusieurs sites.
- Utilisez des mots de passe forts longs.
- Vérifiez la fiabilité de vos mots de passe en utilisant des services spécialisés.
- Utilisez un gestionnaire de mots de passe adapté pour stocker tous vos mots de passe de manière chiffrée et ne perdez pas votre temps à essayer de tous les mémoriser. Ainsi vous pourrez disposer de mots de passe forts extrêmement complexes pour chaque site sans prendre le risque de les oublier.