Vous avez peut-être déjà reçu un email vous informant que votre compte a été « détecté dans une fuite de données ». Ou pire, vous avez découvert un jour que quelqu’un avait accédé à votre boîte mail ou votre réseau social. Dans la grande majorité des cas, la porte d’entrée du pirate est un mot de passe trop faible, trop prévisible ou trop répandu. Par paresse, certains utilisent encore le mot de passe « 123456 ». C’est une grave erreur.

Six erreurs dangereuses

Ces erreurs sont documentées, mesurées et exploitées chaque jour par des milliers d’attaques automatisées. En 2023, la plateforme de cybersécurité NordPass recensait plus de 100 milliards de combinaisons identifiants/mots de passe en circulation sur des forums illégaux.

Six bonnes pratiques à adopter

La bonne nouvelle, c’est que se protéger efficacement n’exige ni compétences techniques, ni investissement financier important. Il s’agit avant tout d’une discipline quotidienne, fondée sur quelques règles simples.

Les gestionnaires de mots de passe

Le principal obstacle à la création de mots de passe uniques et complexes est la mémoire humaine. Il est impossible de retenir trente mots de passe différents de douze caractères chacun. C’est précisément là qu’interviennent les gestionnaires de mots de passe. Ces logiciels fonctionnent comme un coffre-fort numérique. Vous ne retenez qu’un seul mot de passe solide et unique, et le gestionnaire se charge de mémoriser et de renseigner automatiquement tous les autres.

Parmi les solutions recommandées par les experts en sécurité, il y a Bitwarden qui est gratuit et open source) ; 1Password, Dashlane ou encore KeePass. Certains navigateurs comme Firefox ou Chrome intègrent désormais leur propre gestionnaire, bien que les solutions dédiées restent plus robustes.

L’expert en sécurité Bruce Schneier disait que le meilleur mot de passe est celui que vous n’avez pas à retenir parce qu’il est assez long et complexe pour ne jamais être deviné.

La double authentification, la deuxième ligne de défense

Même un mot de passe excellent peut être compromis par une fuite de données, par hameçonnage ou par simple malchance. C’est pourquoi la double authentification est devenue incontournable. Le principe est simple. Après avoir saisi votre mot de passe, un code à usage unique vous est envoyé par SMS, par email ou via une application dédiée comme Google Authenticator. Ce code expire en 30 secondes. Même si un pirate possède votre mot de passe, il ne peut pas accéder à votre compte sans ce second facteur.

Vous devez l’activer en priorité sur votre messagerie, vos comptes bancaires, vos réseaux sociaux et tout service contenant des données sensibles.

Mon compte a été piraté, que faire ?

Si vous suspectez une compromission, voici les étapes à suivre sans attendre.
1. Changez immédiatement le mot de passe du compte concerné.
2. Si ce mot de passe était utilisé ailleurs, changez-le sur tous ces comptes.
3. Activez la double authentification sur les comptes sensibles.
4. Contactez la Brigade centrale de lutte contre la cybercriminalité

La cyber sécurité fait peur parce qu’elle semble complexe et technique. Mais en matière de mots de passe, les attaques les plus fréquentes exploitent les erreurs les plus simples. Un mot de passe trop court. Réutilisé. Jamais changé.

Fredo Bassolé
Lefaso.net