Un rapport atteste de l’immense vulnérabilité de certains mots de passe qu’il faut définitivement bannir.
Qui ne s’est jamais fait pirater un compte sur Internet. La pratique, qui va du « simple » compte Instagram piraté (qu’il est souvent bien compliqué de débloquer !), à ce qu’il faut bien appeler « braquage » de comptes bancaires, est souvent la conséquence de mots de passe volés. Et en la matière, il semblerait que nous ne soyons toujours pas assez prudents : mots de passe trop faibles, utilisations du même mot de passe sur plusieurs comptes… autant de critères qui facilitent le sale boulot des cybercriminels.
Constat, selon le rapport Specops, certains mots de passe apparaissent ainsi toujours « avec une régularité déprimante » : 123456 (volé 3,7 millions de fois en 2024) ; admin (1,9 million) ; 12345678 (1,5 million) ; password (558.000 fois), ou bien Password (474.000). Ce qui ne veut pas dire que les mots de passe plus compliqués ne sont pas volés.
Ainsi, Specops précise que parmi le milliard de mots de passes volés l’an passé, 230 millions peuvent être considérés comme étant complexes, répondant par là même aux exigences pourtant mises en avant. À savoir, celles d’un mot de passe de huit caractères minium, comportant une majuscule, un chiffre et un caractère spécial. Mais problème : ces 230 millions de mots de passes complexes sont souvent basés sur des mots de passe simples, artificiellement « ajustés » en leur ajoutant des majuscules, des chiffres ou des caractères spéciaux, « à des endroits prévisibles », souligne le rapport. Exemple : a123456 ; Admin@123 ; qwerty12345… Ainsi, ces mots de passe peuvent-ils être facilement devinés dans le cas « d’attaques de mot de passe par force brute ». La technique est simple : les cybercriminels testent toutes les combinaisons possibles à travers d’innombrables tentatives de connexion, jusqu’à ce que le bon mot de passe soit identifié. Parmi les outils communément utilisés, le logiciel nommé Redline serait par ailleurs le plus prisé des hackers pour le vol de mots de passe. Il est notamment utilisé pour cibler les gamers et plus particulièrement ceux équipés de GPU (ou processeurs graphpuissants) . Une charge utile du logiciel va s’insinuer sur les machines des joueurs par le biais d’un téléchargement, puis collecter et exporter leurs identifiants, portefeuilles de cryptomonnaies et données financières…
Notre dossier «Cybercriminalité»
Quelles règles pour se prémunir ?
Reste qu’il est aujourd’hui capital pour se prémunir de privilégier les mots de passe (très) longs et forts. Autre astuce : ne jamais utiliser de mot de passe personnel dans le cadre professionnel. Éviter forcément de réutiliser le même mot de passe plusieurs fois. Selon Specops, 91 % des utilisateurs déclarent comprendre les risques liés à l’utilisation des mêmes mots de passe sur plusieurs comptes, mais 59 % le font malgré tout…
Enfin, opter dès que possible pour une identification multifactorielle (MFA). Celle-ci exige des utilisateurs de prouver leur identité en fournissant au moins deux facteurs d’authentification indépendants avant d’accéder à un système, une application ou un compte en ligne. Elle permettrait, selon Microsoft, d’empêcher 99,9 % des attaques ciblant nos comptes…
