Certains des plus grands noms de la politique et de la technologie sont responsables des pires gaffes de sécurité de cette année. Précaution : évitez, comme vous le recommande Nutella, d’utiliser leur marque comme mot de passe.
Le président américain Trump, les Nations Unies et Google ont tous mérité une place parmi les pires contrevenants en matière de mots de passe en 2018.
Les mots de passe faibles, l’utilisation de mauvais mots de passe – comme “123456” ou “AZERTY” – et le fait de ne pas changer régulièrement les informations d’identification de votre compte sont pointés du doigt depuis des années pour des raisons de sécurité.
2018, une belle année de ratés
Les attaques brute-force, dans lesquelles des pirates informatiques utilisent des logiciels simples capables de pirater automatiquement des informations d’identification faibles, l’ingénierie sociale et les emails de phishing sont des moyens courants pour tenter d’accéder à un compte. Plus le mot de passe est simple, plus il est facile à casser.
Désormais, de nombreux services en ligne exigeront des utilisateurs qu’ils choisissent des mots de passe complexes comprenant une combinaison de chiffres, de lettres et de caractères. Et les organisations offrent souvent une authentification à deux facteurs (2FA) pour créer une couche supplémentaire de sécurité pour nos comptes.
Cependant, la règle « faites ce que que je dis et pas ce que je fais » semble toujours être en vigueur. Les sociétés mêmes qui font la promotion d’une meilleure sécurité des comptes n’appliquent pas toujours leurs propres conseils.
De plus, certaines personnes dans la sphère publique semblent simplement ignorer tous les avertissements relatifs à la sécurité des comptes aujourd’hui.
Cette semaine, les chercheurs de Dashlane ont publié une liste de ce que la société de logiciels de gestion de mots de passe estime être les pires preuves de laxisme en matière de sécurité et de mauvaise gestion des mots de passe au cours de 2018.
Tout d’abord, Kanye West, qui a fait la une des journaux lorsque le musicien a déverrouillé son iPhone à la Maison Blanche en présence Trump. Pr des observateurs aux yeux d’aigle ont remarqué que son code d’accès était “00000000”.
Les armes du Pentagone exposées
Même si vous ne vous attendez pas à ce que ce personnage controversé prenne nécessairement la cybersécurité au sérieux, vous pourriez penser que les représentants du gouvernement le feraient.
Ce n’est pas le cas au Pentagone, semble-t-il. Un audit effectué par le Government Accountability Office (GAO) a révélé que la majorité des systèmes d’armes contrôlés par l’organisation pourraient être compromis et détournés à l’aide d’outils et de méthodes simples.
Les logiciels de certaines de ces armes étaient protégés par des mots de passe par défaut faciles à deviner et accessibles au public via les moteurs de recherche.
Trump n’est pas de tout repos pour les fonctionnaires de la Maison-Blanche en raison de son approche assez peu enthousiaste de la sécurité mobile et de Twitter. Il était en tête du palmarès des mauvaises pratiques de mot de passe en 2017. Le président américain reste sur la liste cette année.
Cependant, d’autres membres de la Maison-Blanche sont également présents cette année. Un membre du personnel a non seulement noté son nom d’utilisateur et son mot de passe sur un document portant le sceau de la Maison-Blanche, mais il a ensuite laissé le document à un arrêt d’autobus pour que le monde entier puisse le voir.
Les responsables américains de la sécurité ne sont pas les seuls à devoir revoir les notions de sécurité de base. Cette année, l’ONU a accidentellement publié des documents internes, des mots de passe et des documents relatifs à des sites Web auxquels toute personne pouvait accéder par un simple lien sur Internet.
Même Google peut se tromper
Google fait généralement figure de promoteur de la sécurité des comptes, mais une série d’incidents cette année – comme les failles de sécurité qui ont accéléré la fermeture de Google+ – ont quelque peu terni cette réputation.
Le pire exemple des échecs de Google en matière de sécurité cette année est peut-être le cas d’un étudiant indien qui aurait pu pénétrer par effraction dans un satellite de diffusion de Google TV en cliquant simplement sur « se connecter », sans qu’un mot de passe ne lui soit demandé.
Deux autres exemples méritent d’être cités : la divulgation des bulletins de vote de près de 15 millions de résidents du Texas, non sécurisés et en ligne, et la fuite de données sur la personnalité et le profil psychologique recueillies auprès de millions d’utilisateurs de Facebook par des chercheurs.
Il existe d’innombrables exemples de défaillances en matière de sécurité, et tant que les internautes n’auront pas écouté et mis en œuvre des mesures d’hygiène informatique – surtout à une époque où les atteintes à la protection des données sont monnaie courante – les comptes demeureront à risque.
Les mots de passe devraient être complexes, changés régulièrement et, dans la mesure du possible, complétés par de l’authentification à deux facteurs. Le moteur de recherche HaveIBeenPwned est également un outil précieux pour savoir si vos informations ont été compromises ou non.
