passwords, Kennwörter, Mots de passe, Password

Les mots de passe des gens riches et célèbres (ou pas)

Nombre d’entre nous rêvent de se trouver des points communs avec les gens riches et célèbres, que ce soit sur le plan des relations, de la mode, des voyages vers des destinations exotiques et des mots de passe.

Ou peut-être pas sur ce dernier point.

Mais ça a pourtant bien été le cas. Car M. Zuckerberg et moi-même faisions partie des personnes touchées par la violation subie par LinkedIn en 2012. Et le problème du piratage des comptes Twitter et Pinterest le mois dernier montre bien pourquoi une violation de la sécurité opérée des années auparavant est toujours d’une actualité brûlante aujourd’hui.

Les faits en matière de mot de passe, et juste les faits.

En 2012, LinkedIn, le réseau social dédié aux carrières professionnelles, s’est fait pirater des informations concernant 6,5 millions d’utilisateurs, mots de passe compris. Hormis quelques poursuites judiciaires engagées contre LinkedIn par des utilisateurs de compte premium dépités, il ne s’est pas passé grand chose à l’époque. Mais cette histoire et la fuite de données ne se sont pas arrêtées là. On croit savoir que la fuite a touché 167 millions de compte, pratiquement tous les membres de LinkedIn à ce moment-là. Pire, tant les mots de passe que les e-mails étaient disponibles pour 117 millions de ces comptes.

Ce printemps, des pirates informatiques à l’esprit commercial ont mis en vente la liste complète pour quelques 5 bitcoins (environ 2 500 euros). La réponse apportée par LinkedIn fut d’envoyer le mois dernier la note suivante aux utilisateurs (dont moi-même) qui n’avaient pas changé leur mot de passe depuis 2012.

LinkedIn password change notific

Cette stratégie m’a obligé à modifier mon mot de passe LinkedIn. M. Zuckerberg a probablement dû y être contraint lui aussi. Et l’affaire fut classée. Le problème fut-il réglé ?   Absolument pas.

Recyclez les bouteilles de bière, mais pas les mots de passe

Si le recyclage est d’une grande utilité pour l’environnement, il s’avère fort dommageable dans le cadre de la gestion des mots de passe. Utiliser des mots de passe identiques ou similaires pour ses différents comptes en ligne conduit droit au désastre, comme l’a montré M. Zuckerberg.

Ses comptes Twitter et Pinterest ont été piratés par l’équipe de hackers Our Mine. Le mot de passe présumé de son compte LinkedIn n’était rien d’autre qu’un complexe « dadada », un mot de passe simple à six caractères et en minuscules.

News of the password hack

La vulnérabilité majeure vient du fait que la plupart des gens, à l’image de M. Zuckerberg, ont leurs petites habitudes et n’hésitent pas à réutiliser des mots de passe entiers et, fait encore plus curieux, des parties de mot de passe sur plusieurs sites. L’ancien vidage des données de LinkedIn était précisément la clé dont les pirates informatiques avaient besoin pour découvrir et s’engouffrer dans cette brèche.

Le vidage des données d’un internaute est un trésor de pirate

Lorsque la fuite s’est répandue dans le domaine public, la liste fut passée au crible à la fois par des analystes légitimes  et des individus qui avaient choisi le côté obscur. Le but était de trouver des indices concernant le choix des mots de passe. Ils ont soumis la liste à des analyses de longueur de mot de passe, de sélection de caractères alphanumériques et d’utilisation des majuscules. Pour commencer, pas moins de 1 135 936 membres du réseau LinkedIn utilisaient un simple « 123456 » pour tout mot de passe, et ils ne sont pas les seuls !

En raison de son lien avec Facebook, M. Zuckerberg est une cible bien plus en vue que ma petite personne. Si les pirates informatiques ont réussi à déchiffrer le mot de passe de M. Zuckerberg pour LinkedIn, à savoir « dadada », nous pouvons être certains qu’ils ont essayé d’utiliser ce mot de passe sur d’autres réseaux sociaux. En cas d’échec, ils ont probablement disséqué le mot de passe en éléments isolés et cherché des variantes. Les propositions « eqeqeq » ou « fsfsfs » ont sans doute figuré parmi les tentatives suivantes.

Même si vous ne vous appelez pas Mark Zuckerberg, les mots de passe et les comptes peuvent être piratés. En cas de violation, veillez à modifier ce mot de passe sans recycler ni les mots de passe complets, ni ses composants de base. Utilisez la vérification en deux étapes.  Et gardez bien à l’esprit que tout mot de passe violé est devenu radioactif, et ce pendant une longue durée de vie : reléguez-le aux oubliettes.

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.