Cela arrive même à ceux que l’on considère comme les meilleurs ! Les personnalités sont des cibles privilégiées pour les cyberpirates dont l’objectif est d’afficher leur tête, ou plutôt leur compte Internet sur leur tableau de chasse.
Dernièrement, Mark Zuckerberg, le patron de Facebook, en a fait les frais. Il s’est fait pirater ses comptes Twitter et Pinterest. Mais comment une personne aussi avertie en termes de sécurité a-t-elle pu succomber aux foudres de hackers ?
Les pros tombent aussi dans le panneau
Il a utilisé tout bonnement le même mot de passe sur ces deux comptes. De surcroît, ce sésame était ultra simple, puisqu’il s’agissait tout bêtement de « dadada« . Le créateur de Facebook a eu de la chance dans cette affaire, puisqu’il a été attaqué par une équipe de gentils hackers qui ont réalisé ce « coup » uniquement par souci de prévoyance.
Baptisé OurMine, le groupe fait partie de ce qu’on l’on appelle les White Hat, ce qui signifie les « chapeaux blancs ». Ils cherchent toutes les failles possibles avec les techniques des pirates afin de renforcer la sécurité de tous. Ils sont le côté « Ying » des pirates en opposition aux Black Hat, dont les objectifs sont liés à la criminalité et à la destruction.
Ce que nous apprend cette histoire, c’est que Mark Zuckerberg se comporte comme 30,1% des utilisateurs et exploite plusieurs fois le même mot de passe comme sésame pour ses différents comptes. Pire encore, ce mot de passe « basique » a rendu encore plus facile le piratage, puisqu’il ne faut qu’une vingtaine de tentatives à un pirate pour accéder à un compte avec un tel mot de passe.
Selon le spécialiste de la sécurité Skyhigh Networks, qui a livré une étude, les principaux mots de passe sont faciles à deviner. Ainsi, 10,3% des utilisateurs choisissent un des 20 mots de passe figurant parmi les plus courants. Par exemple, la suite de chiffres « 123456 »représente toujours 4,1% des mots de passe. Le problème, c’est que 79,9% des applications et des sites acceptent toujours l’utilisation de ces mots de passe faibles.
Ce simple fait et ces quelques chiffres montrent qu’il y a encore un travail conséquent à mener en matière de sensibilisation et d’information des utilisateurs sur l’importance d’utiliser un mot de passe fort et unique pour chaque service. Les différents développeurs d’applications et de services en ligne ont aussi un rôle-clé à jouer en favorisant l’utilisation de mots de passe forts ou des services tels que la double authentification, ce système associant un mot de passe à un code unique reçu par SMS.
D’ici la fin du mot de passe, comme le prédisent certains, il est essentiel que chacun soit conscient des risques et prenne les mesures nécessaires. Je ne peux que vous conseiller d’utiliser des mots de passe longs d’au moins 8 caractères, mélangeant des majuscules, des minuscules, des chiffres et des lettres et éventuellement des symboles, si le site ou l’application le permet.
Applications : la porte d’entrée des hackers ?
Le problème, c’est qu’il n’y a pas que les mots de passe qui peuvent poser problème. Ainsi, dans sa quête pour renforcer et sensibiliser à la sécurité informatique, l’équipe d’OurMine ne s’est pas arrêtée à l’emblématique patron de Facebook.
Peu après, elle s’est attaquée avec succès au compte Twitter de Dick Costolo, l’ancien patron de la firme éponyme.
Les hackers ont fait de même avec le compte Twitter de Sundar Pichai, le nouveau directeur de Google. Cette fois, les gentils pirates ne se sont pas acharnés sur le mot de passe, mais se sont emparés d’un service tiers, c’est-à-dire, une autre application connectée à Twitter. Dans le cas de Sundar Pichai, il s’agissait de Quora, un service en ligne permettant d’éditer et d’organiser des questions-réponses.
Le flux de celui-ci était autorisé à être publié automatiquement dans Twitter. Pour le coup, en piratant ce flux, les informations postées sur Twitter étaient celles des hackers.
Peu d’utilisateurs imaginent en effet que ces comptes liés peuvent poser des soucis et pourtant…. Il est tellement facile de s’inscrire à une nouvelle application en utilisant son propre compte Facebook ou Twitter.
Le problème c’est que plusieurs mois après, si on n’utilise plus cette application, on oublie qu’elle est liée à ce compte. C’est pourquoi, il vaut mieux y réfléchir à deux fois lorsque l’on décide d’utiliser une nouvelle application, ou un nouveau service en ligne.
Si le mal est fait, il est toujours possible de revenir en arrière en supprimant les autorisations d’accès aux services tiers dans les réglages de Twitter et Facebook.
Retenez simplement qu’en informatique, c’est la multiplication des comptes et des applications, combinée à un mot de passe faible et utilisé plusieurs fois, qui vont finir par créer la faille.
[Sylvain Biget a préparé pour vous un mini-dossier à paraître prochainement dans J’Agis ! pour vous montrer comment mieux sécuriser vos mots de passe et renforcer votre sécurité numérique. Soyez sûr de le recevoir en cliquant sans attendre ici…]
