Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Tactiques pour éviter les fuites de mots de passe

Découvrez comment l’authentification multifacteur (MFA) adaptative combat les brèches de données, la compromission des mots de passe faibles et les attaques de phishing.

Mis à jour: 01 septembre 2024 Temps de lecture: ~

Sujette

Security

Sommaire

 

Cet article a été traduit automatiquement.

 

Les fuites de mots de passe sont un problème majeur qui peut exposer vos informations personnelles à des pirates informatiques.

Les vérificateurs de mots de passe en ligne peuvent vous aider à sécuriser tbd en vous informant lorsqu'un mot de passe a été compromis. Vous pouvez alors prendre des mesures importantes, notamment changer tous vos tbd, pour sécuriser votre identité et vos informations personnelles.

La prévalence des fuites tbd

Les brèches de données et les piratages de mots de passe faisant régulièrement la une des journaux, vous vous demandez peut-être comment aborder la sécurité des mots de passe pour vous-même ou pour les organisations pour lesquelles vous travaillez.

Lorsque les pirates s'emparent des e-mails, des médias sociaux et même des comptes médicaux ou bancaires, ils peuvent voler beaucoup d'autres informations vitales et même l'identité. Lorsqu'un mot de passe institutionnel est volé, l'entreprise est vulnérable au vol, et les autres employés sont vulnérables au vol de mot de passe brèche et d'identité.

De nombreux aspects de notre vie impliquent des espaces en ligne, ce qui inclut l'utilisation de tbd dans des douzaines de sites web différents par jour. Cela représente des milliards de détails de connexion, à travers des milliards d'utilisateurs dans le monde entier.

Chaque année, des centaines de sites web font l'objet d'attaques informatiques et les données de compte volées sont vendues sur le marché noir ou le dark web. Malheureusement, il se peut que vous ne sachiez pas que vous avez été piraté. Lorsqu'une entreprise subit une brèche de données, elle peut rester silencieuse à propos de l'informatique pendant des mois, voire pour toujours.

Comprendre l'histoire du mot de passe brèche

Presque toutes les organisations sont vulnérables aux brèches de données comme les fuites de mots de passe, car la plupart d'entre elles utilisent des technologies numériques et en ligne pour relier les travailleurs, les utilisateurs/clients et les informations. Technologies, Commerce de détail, organisations médicales, financières et gouvernementales ont toutes été victimes de cyberattaques telles que les fuites de mots de passe depuis au moins 2004. En fait, depuis 2011, près de 8 milliards de noms d'utilisateur ont été divulgués.

Ces grandes brèches de données ont entraîné des fuites de mots de passe:

  • 2011 : Sony
  • 2012 : LinkedIn, Yahoo, DropBox
  • 2013 : Tumblr, Adobe, Evite
  • 2014 : Rambler, Dominos
  • 2015 : Ashley Madison, Clear Voice Systems, R2Games
  • 2016 : Adult Friend Finder, LiveJournal, Youku
  • 2017 : River City Media, Edmondo, Zomato, MyHeritage
  • 2018 : MyFitnessPal, Houzz, Ticketfly, Shein
  • 2019 : VerificationsIO, CafePress, LuminPDF, Canva, Facebook, Zynga, PDL
  • 2020 : Minted, Wattpad

Rien qu'au cours des six premiers mois de 2019, les brèches de données ont exposé 4 milliards d'enregistrements, comprenant généralement des adresses électroniques et des tbd. Ces piratages sont de plus en plus fréquents, les pirates commençant à rassembler des données provenant de fuites importantes et les exposant ou les vendant en ligne.

Nombreux sont ceux qui se souviennent de la tristement célèbre brèche d'Experian en 2017, qui a révélé des numéros de sécurité sociale, des adresses physiques et des dates de naissance, facilitant ainsi le vol d'identité.

2021 a vu quelques-unes des pires brèches de données jamais vues. LinkedIn a subi une brèche en avril, au cours de laquelle des pirates informatiques ont déclaré avoir récupéré 500 millions de profils et divulgué les informations de 2 millions de profils en guise de preuve. Facebook a à peine signalé un piratage qui a touché 530 millions d'utilisateurs informatiques en avril, et bien que les informations récupérées datent de 2019, de nombreux noms d'utilisateur et mots de passe pourraient être utiles deux ans plus tard.

À la moitié de l'année 2021, l'une des pires fuites de mots de passe de l'histoire de l'internet s'est produite. Baptisé RockYou2021, probablement en référence à la fameuse brèche de données Rock You de 2009, le fichier tbd non crypté a été posté en juin sur un forum populaire de hacker. L'affiche demandait que le fichier contienne 82 milliards d'entrées, et le document IT compte 8,4 milliards d'entrées, ce qui représente un poids de 100 Go pour un seul fichier. Les caractères non ASCII et les espaces ont été supprimés.

Même si le fichier ne contient que 8,4 milliards de mots de passe individuels, au lieu des 82 milliards promis, il n'y a que 5 milliards d'utilisateurs de l'internet dans le monde, de sorte que le fichier couvre au moins un mot de passe pour tout le monde.

En octobre de la même année, de nombreux vérificateurs de mots de passe avaient mis à jour leurs informations avec la majeure partie du fichier RockYou2021. Vous pouvez donc utiliser des vérificateurs gratuits tels que CyberNews's données à caractère personnel Leak Checker en ligne. Mais comme les brèches de données et les compilations comme celle-ci sont de plus en plus nombreuses et fréquentes, les gens risquent d'y être désensibilisés et de ne même pas vérifier si leurs tbd ont fait l'objet d'une fuite.

Si vous êtes un particulier, vous pouvez supposer que vous avez été compromis et changer régulièrement de nom d'utilisateur et de mot de passe. Du point de vue de l'entreprise, IT responsable devrait mettre en place des processus pour vérifier le temps de travail des employés et assurer la sécurité des systèmes.

Comment savoir si j'ai été piraté ?

La plupart des grandes entreprises et leurs sites web associés cryptent le tbd et les informations de l'utilisateur. Ainsi, en cas de brèche de données, il est beaucoup plus difficile pour un pirate informatique de s'emparer de ces informations, ce qui laisse à l'utilisateur le temps de mettre à jour son tbd et de prendre d'autres mesures pour sécuriser ses données. Toutefois, vous devez prendre vos propres mesures pour protéger votre tbd contre les fuites.

Il peut s'écouler des mois avant qu'une grande entreprise se rende compte que son utilisateur ou ses clients sont victimes d'une brèche de données, et même dans ce cas, elle peut ne pas informer directement chaque utilisateur du piratage. Au lieu de cela, ils peuvent rédiger un communiqué de presse, dont vous n'aurez peut-être pas connaissance immédiatement. La pire façon de découvrir que vous, ou votre entreprise, êtes victime d'une brèche de données est de découvrir que votre identité a été volée.

Vous remarquerez peut-être que votre cote de crédit change de façon aléatoire. Il se peut que vous commenciez à recevoir des messages aléatoires sur Facebook, Twitter, Instagram, WhatsApp ou dans votre courrier électronique. Un ami peut vous contacter parce qu'il a remarqué des publications inhabituelles sur vos médias sociaux. Vous risquez d'être exclu de votre propre compte lorsqu'un hacker modifie votre mot de passe et votre nom d'utilisateur.

Vos données à caractère personnel peuvent faire l'objet d'une demande de rançon. Ou bien, comme cela arrive de plus en plus souvent à des entreprises telles que les établissements médicaux, les données des patients, des utilisateurs ou des clients sont retenues en échange d'une rançon. Le plus effrayant, c'est que vous pourriez avoir des problèmes financiers. Vous pourriez perdre votre remboursement d'impôt, vous voir refuser un prêt ou vous voir retirer de l'argent de votre compte bancaire.

Comment vérifier si votre mot de passe a été divulgué ?

Plutôt que d'attendre que le pire se produise, vous pouvez utiliser des vérificateurs de mots de passe en ligne. De grandes entreprises comme Norton Antivirus, Kaspersky et Avast proposent des options, gratuites ou pour les abonnés, pour vérifier votre tbd. Les abonnés à bon nombre de ces programmes antivirus peuvent également être avertis lorsque le programme détecte une activité suspecte sur leur compte.

Ces sociétés conservent des bases de données de mots de passe brèche et comparent vos données de connexion à ces informations. Si vos tbd sont modifiés, vous en serez averti afin que vous puissiez les changer avant que votre sécurité personnelle ou celle de votre entreprise ne soit compromise.

Le site web Have I Been Pwned ? offre une option gratuite pour vérifier si votre adresse électronique ou votre mot de passe a été "pwné" dans le cadre d'une fuite ou d'une brèche. Ce site a été créé par Troy Hunt, directeur régional de Microsoft, qui a utilisé des données de la brèche couvrant au moins la dernière décennie pour relier vos informations à des entreprises spécifiques ayant subi d'importantes fuites de sécurité. Toutefois, ce site est conçu pour les utilisateurs individuels de l'internet, et non pour les entreprises.

Plusieurs entreprises proposent également une protection contre les brèches de données, y compris les virus, le piratage et les fuites de mots de passe. Par exemple, SolarWinds tient une liste de surveillance dédiée à IT responsable des environnements d'entreprise, qui doit surveiller si et quand des adresses électroniques de tbd et d'entreprise ont été divulguées ou piratées. Leur logiciel de surveillance de l'identité propose également un vérificateur de mots de passe qui compare les tbd existants des employés aux principales bases de données et détecte d'autres types de compromissions susceptibles d'entraîner des fuites de mots de passe ou d'autres brèches de données.

Que faire si votre mot de passe a été divulgué ?

Malheureusement, lorsque vous êtes victime d'une fuite de mot de passe ou d'une brèche de données, vous devez faire le ménage.

Voici les mesures à prendre pour gérer vos informations après une fuite de mot de passe : 

  • Recherchez tous les comptes que vous utilisez régulièrement, des e-mails aux médias sociaux en passant par les comptes bancaires et l'assurance maladie, et modifiez tous les tbd. Envisagez de mettre à jour les informations relatives au nom d'utilisateur, si possible.
  • Utilisez un service comme Have I Been Pwned pour savoir quelles brèches de données pourraient vous concerner, afin de modifier vos informations sur ces comptes ou de supprimer les comptes que vous n'utilisez plus.
  • Si vous utilisez un tbd, mettez-le à jour à cet endroit.
  • Envisagez de vous procurer un générateur de mots de passe aléatoires afin d'avoir des mots de passe entièrement nouveaux et uniques pour tous vos comptes.
  • Certains comptes peuvent être liés (par exemple, votre compte Etsy peut utiliser vos informations Facebook comme informations de connexion informatique).
  • Vérifiez régulièrement votre compte pour détecter toute activité suspecte et envisagez de vous inscrire à des services de surveillance.
  • Pensez aux comptes que vous avez pour des services que vous n'utilisez plus et fermez ces comptes.
  • Contactez votre famille et vos amis pour les informer des fuites de mots de passe et de brèches de données, en particulier celles qui vous ont directement affecté, car elles pourraient les toucher également.

Étant donné qu'il faut parfois un certain temps pour s'informer sur les fuites de mots de passe ou d'autres brèches de données, le fait de s'inscrire à un outil de surveillance gratuit peut aider les personnes à savoir quand leurs informations ne sont plus sûres. Deux des plus populaires sont le mot de passe Checkup de Google et  Firefox surveiller de Mozilla, qui sont des extensions que vous pouvez télécharger pour ces navigateurs populaires. Il est probable que votre logiciel antivirus propose des services de surveillance et de gestion des mots de passe dans le cadre de son abonnement.

Le plus mauvais tbd de l'histoire

Vous pensez peut-être que Sésame ouvre-toi ou une phrase similaire tirée d'une histoire célèbre serait le pire mot de passe possible, mais à notre époque, il existe de nombreux mots de passe qui sont surutilisés et prévisibles.

NordPass dresse une liste des tbd les plus courants et les moins sûrs, ainsi que de leur fréquence d'utilisation. Voici quelques exemples : 

  • 12345
  • 12456
  • test1
  • Mot de passe
  • asdf
  • qwerty
  • iloveyou
  • dubsmash
  • princesse
  • soleil
  • ashley
  • 111111
  • 555555
  • football
  • famille
  • michael
  • football
  • baseball
  • chocolat
  • la remise en forme
  • abcd1234
  • letmein
  • changeme

Bien entendu, ces tbd sont rapides à mettre en place et faciles à mémoriser. Cet appel les désigne également comme extrêmement communs, faciles à deviner et figurant régulièrement sur la liste des pires tbd de NordPass.

Même si vous créez d'autres tbd plus sûrs que ceux-ci, un mot de passe facile à retenir peut toujours exposer vos données à un risque de piratage. C'est encore plus vrai lorsque, comme la plupart des gens, vous utilisez le même mot de passe ou un terme similaire dans plusieurs programmes, y compris dans les logiciels utilisés dans le cadre de votre travail.

Si vous êtes responsable du site IT, vous ne pouvez pas empêcher les employés de choisir le tbd ci-dessus. Cependant, vous pouvez prendre des mesures de prévention de votre côté et encourager vos employés à prendre des mesures de prévention personnelles.

Meilleures pratiques de sécurité mot de passe

Une étude a révélé que pas moins de 44 millions d'utilisateurs de Microsoft avaient recyclé tbd, ce qui permet aux pirates informatiques de deviner plus facilement tbd sur d'autres comptes. Maintenant que votre compte est sécurisé, voici quelques mesures de prévention à prendre pour que vos données à caractère personnel soient moins susceptibles d'être compromises à l'avenir : 

  1. Créez un mot de passe fort, composé d'au moins 15 caractères et utilisant une combinaison de différents caractères, y compris des lettres majuscules et minuscules, des chiffres et des symboles.
  2. Évitez les substitutions courantes ou la répétition de modèles similaires de lettres et de chiffres dans votre tbd. L'informatique est peut-être plus facile à retenir pour vous, mais elle est aussi plus facile à voler pour les pirates informatiques.
  3. N'utilisez pas de chemins de clavier mémorables, comme qwerty.
  4. Utilisez un générateur de mot de passe aléatoire, qui crée un mot de passe totalement unique. Ensuite, utilisez un tbd pour stocker l'IT. Ces responsables cryptent les informations relatives au mot de passe du côté de l'utilisateur, ce qui rend ces informations plus difficiles à décrypter.

Dans les premiers temps de l'internet, la bonne pratique en matière de création de mots de passe a conduit à des combinaisons prévisibles de lettres, de chiffres et de symboles qui ont ensuite été utilisées sur de multiples plateformes. Les pirates informatiques disposent aujourd'hui d'outils leur permettant de deviner ce type de mot de passe plus facilement qu'à la fin des années 1990 et au début des années 2000. Les spécialistes de la sécurité ont donc revu leurs recommandations pour créer votre propre tbd sécurisé.

Voici les principales recommandations : 

  1. Méthode de phrase de passe révisée : Plutôt que de générer un ensemble aléatoire de lettres et de chiffres, ou d'utiliser un mot familier accompagné d'une série de chiffres ou de symboles familiers, les spécialistes de la sécurité recommandent désormais de choisir une série de mots et de créer une phrase avec quelques lettres majuscules et minuscules.

    Utilisez des mots peu courants, des noms de personnes ou de lieux célèbres et des mots dans d'autres langues. Par exemple : CeruleanGraciasExcaliber.

    Il est préférable de créer une phrase qui évoque certaines images pour que vous puissiez vous en souvenir, mais choisissez des mots qui ne vous sont pas directement associés, en particulier des noms et des lieux.

  2. La méthode des phrases : Les humains ont généralement plus de facilité à se souvenir de phrases que de phrases sans queue ni tête, car les phrases évoquent plus facilement des images dans une séquence. Les logiciels et l'intelligence artificielle ont plus de mal à décrypter tbd dans les phrases.

    Une approche courante de cette méthode consiste à créer une phrase et à utiliser les deux premières lettres de chaque mot pour créer le nouveau mot de passe. Par exemple, une phrase pourrait être : "Le renard brun et rapide a sauté par-dessus le chien paresseux". Le mot de passe serait donc : ThuBrFoJuOvThLaDo.

  3. authentification multifacteur (authentification multifacteur) : Il s'agit d'une couche de protection supplémentaire qui s'ajoute à la création d'un mot de passe unique. L'un des formulaires d'authentification multifacteur les plus courants était autrefois les messages textuels avec des codes PIN générés de manière aléatoire, mais les pirates utilisent désormais cette méthode comme phishing, ou ils peuvent intercepter ces informations et les utiliser pour pirater le site.

    En réponse, les authentificateurs comme celui de Okta peuvent générer des codes PIN uniques toutes les quelques secondes, qui peuvent être saisis manuellement ou reliés directement au site pour vérifier que vous êtes bien la personne que vous prétendez être. Même si vous ou votre utilisateur n'avez pas de tbd fort, une authentification multifactorielle efficace utilisant un programme d'authentification peut réduire le risque de fuite de tbd. 

Prévenir les fuites de mots de passe

Il s'agit là d'autres mesures de sécurité importantes à prendre :

  • Installez un logiciel de sécurité internet de haute qualité, qui est souvent associé à un logiciel antivirus.
  • Autorisez les mises à jour automatiques de logiciels pour que votre ordinateur soit toujours équipé des derniers correctifs de sécurité, ou vérifiez régulièrement si des mises à jour sont disponibles.
  • Ne faites pas confiance aux sites dont l'URL ne comporte pas de certificat SSL (secure sockets layer). Les sites sécurisés sont HTTPS, tandis que les sites non sécurisés sont HTTP.
  • Utilisez un VPN sur les réseaux Wi-Fi publics.
  • N'envoyez jamais votre mot de passe à quelqu'un par SMS ou par courrier électronique.
  • Maintenez votre programme antivirus à jour.
  • N'ouvrez pas les courriels ou les textes suspects, surtout s'ils vous demandent votre mot de passe.
  • Si vous recevez un e-mail ou un SMS vous demandant votre mot de passe, pensez à vous rendre sur le site et à modifier votre mot de passe à cet endroit, et non par le biais de l'e-mail.

Si vous êtes le responsable IT d'une entreprise, il y a quatre mesures fondamentales à prendre pour réduire le risque d'une brèche de données telle qu'une fuite de mot de passe :

  1. Identifier les menaces potentielles, telles que le trafic de données et de données non sécurisées.
  2. Les environnements d'application sécurisés qui utilisent l'authentification à deux facteurs et les demandes d'accès pour les terminaux externes. N'utilisez jamais les services d'un autre fournisseur sans avoir vérifié ses protocoles de sécurité.
  3. Mettre en place des mécanismes de récupération en cas de piratage.
  4. Élaborer un programme d'assurance pour assurer la conformité future et la résilience de l'entreprise.

Bien que vos informations ne soient pas sécurisées éternellement, des mesures de prévention de base peuvent permettre de les conserver le plus longtemps possible. Le mot de passe chiffrement sur plusieurs fronts est le meilleur moyen d'éloigner les pirates de vos données, même après une fuite de sécurité majeure.

Références

Dix ans de brèche en une image. (juin 2021). The Verge.

14 des pires fuites de données, brèches, grattages et accrocs à la sécurité de la dernière décennie. (avril 2021). CNET Tech.

RockYou2021 : La plus grande compilation de mots de passe de tous les temps a été divulguée en ligne avec 8,4 milliards d'entrées. (juin 2021). Cybernews.

Examen de la "mère de toutes les fuites ". (octobre 2021). Forbes.

Vérifiez si vos données ont été divulguées. Cybernews.

Dans quelle mesure dois-je craindre que mon mot de passe soit compromis ou volé dans une brèche de données ? C'est ce que disent les experts. (décembre 2020). Forbes.

page d'accueil. Est-ce que je me suis fait avoir ?

Vérification des fuites de mot de passe. SolarWinds.

Vérification du mot de passe. Google compte.

Firefox surveillant. Firefox.

Voici les tbd les plus populaires de 2019. (août 2020), NordPass.

Sécurité Microsoft : mot de passe Un problème affectant 44 millions d'utilisateurs a été révélé. (décembre 2019). Forbes.

Votre mot de passe a-t-il été volé ? Voici comment le découvrir. (décembre 2019). Forbes.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter