Les cybercriminels et
le piratage des mots de passe
Le piratage des bases de données, des comptes de messagerie ou de comptes de réseaux sociaux (services de réseautage social) devraient encore augmenter quand on regarde les mots de passe les plus couramment utilisés.
Les sociétés spécialisées en sécurité informatique ne cessent d’affirmer que les pirates ont volé environ 2 milliards de mots de passe et adresses mail dans le monde, permettant de se connecter à plus de 420 000 sites internet, de tout type et de toute taille. Avec les données volées, les pirates ont eu accès à de multiples informations comme des données personnelles, des historiques d’achats, des photos et des adresses de domiciles.
La plupart du temps, les cybercriminels ont dans le viseur une cible précise, comme une entreprise dont ils vont chercher les failles, alors que, dans le cas présent, ils ont commencé par infecter des ordinateurs de particuliers qu’ils ont mis en réseau (ce qu’on appelle un “botnet”).
Au début, les ordinateurs de particuliers étaient missionnés par un logiciel malveillant pour tester si les sites internet visités par les utilisateurs comportaient des failles. Si c’était le cas, des attaques unitaires étaient alors menées. Il n’y avait donc pas de cible déterminée au départ, tout s’est fait au hasard de la navigation des ordinateurs infectés. C’était donc comme tester les portières de toutes les voitures sur un parking et voir lesquelles ne sont pas été fermées à clé.
Les sites ayant montré des failles ont ensuite été attaqués via la technique de l'”injection SQL” (pour “Structured Query Language”, langage structuré de requête). Quelque chose de très classique qui permet de siphonner des bases de données sans être repéré.
Une fois qu’on a le login et le mot de passe d’une personne, on peut récupérer des infos très personnelles comme l’historique des achats, des discussions sur des forums, des photos, des adresses du domicile, ce qui fait augmenter la qualité de la fraude ensuite. On n’est plus sur du spam disant cliquez ici, vous avez gagné 100 000 euros, mais plutôt du style lors de votre dernière commande sur tel site, on a eu un problème avec votre adresse de livraison, veuillez retaper votre numéro de carte bancaire pour nous confirmer votre identité.
Tous les experts en sécurité informatique recommandent de ne pas utiliser sa date de naissance ou le nom de l’utilisateur. Il est également essentiel d’opter plutôt pour un long mot de passe, d’environ 20 caractères. L’idéal reste tout de même d’en changer régulièrement.
En plus, un mot de passe doit donc comporter au moins 10 caractères, et être constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres (au moins trois de ces quatre catégories). Il est donc largement préférable d’utiliser p@$$w0rd plutôt que password…
Voici les grandes lignes à respecter pour choisir un mot de passe qui tienne la route:
-Il doit contenir au moins 10 caractères
-Il doit associer des majuscules et des minuscules
-Il doit mélanger des lettres, des chiffres et des caractères spéciaux (“_”, “-“, “;” etc.)
-Il ne doit pas contenir un mot du dictionnaire
Comment sécuriser Facebook?
Pour Facebook, la manipulation semble plus complexe. Selon le CASES, il est en effet possible de sécuriser l’accès à votre compte lorsque vous passez par un autre navigateur. Une fois connecté sur votre mur, dans l’onglet «Paramètres», cliquez dans la rubrique «Sécurité». Dans la zone «Approbations de connexion», il est possible de générer des codes d’accès depuis votre mobile. Mais avant cela, vous devrez enregistrer votre numéro de téléphone si vous ne l’avez pas fait lors de la création de votre compte.
Si vous n’utilisez pas ce système, le CIRCL recommande au moins de ne pas cocher la case «garder ma session active» au moment de la connexion à votre mur, car cela facilitera davantage le piratage. L’idée est surtout de ne pas le faire d’un autre ordinateur que le sien. Souvent lorsque vous vous connectez d’un cybercafé ou d’un aéroport, vous pouvez sans le savoir être sur une machine infectée par un logiciel malveillant.