Barracuda full logo

Prenez l’habitude de sécuriser vos mots de passe

Thèmes:
4 mai 2023
|
Christine Barry

Nous sommes aujourd’hui le premier jeudi du mois de mai, ce qui signifie que c’est la Journée internationale du mot de passe. Je ne peux même pas faire semblant de m’en réjouir.  

Les mots de passe m’ennuient.  Ils interrompent mes activités. Ils doivent tous être différents et complexes, difficiles à deviner et encore plus difficiles à mémoriser. Les mots de passe sont une plaie et tout le monde est du même avis. Plus de 42 % des utilisateurs « actifs » de l’Internet renoncent à la sécurité que procurent les mots de passe parce qu’ils ne veulent pas s’en occuper. Ils utilisent le même mot de passe pour plusieurs sites et il s’agit souvent d’un mot de passe faible, facile à craquer. Je partage leur lassitude mais le monde est trop dangereux pour tolérer ce genre de comportement.

Bots malveillants et attaques automatisées

La sécurité par les mots de passe devient de plus en plus importante à mesure que les attaques automatisées se multiplient.  Les recherches les plus récentes de Barracuda sur le trafic internet montrent qu’au moins 40 % de celui-ci est le fait de « bad bots » (bots malveillants).  Il s’agit de scripts automatisés utilisés par les pirates pour rechercher des applications web, des firewalls et d’autres dispositifs accessibles par Internet qui sont vulnérables. La plupart de ces bots se concentrent sur les applications d’e-commerce et les portails de connexion et nombre d’entre eux lancent des attaques visant les mots de passe en utilisant la force brute ou le credential stuffing.  Une attaque par force brute utilise une approche systématique de type « essai-erreur » pour tester tous les mots de passe et phrases secrètes possibles. Si vous utilisez l’un des mots de passe les plus courants, comme « 123456 » ou « abc123 », l’attaque par force brute le craquera en moins d’une seconde. L’attaque par « credential stuffing » est un peu différente car le bot passe d’un jeu à l’autre d’identifiants volés lors d’attaques précédentes. Si vous n’utilisez pas un mot de passe unique sur le site attaqué, le bot peut disposer de vos identifiants de connexion valides provenant d’une précédente violation de données. Si c’est le cas il ne lui faut que peu de temps pour se connecter en votre nom.

Le phishing d’opportunités

Le phishing est une autre attaque qui souligne l’importance de la sécurité des mots de passe.  Les e-mails, les sites web et les messages de phishing figurent parmi les principales menaces pour les entreprises et les particuliers parce qu’ils sont très efficaces. Les attaques par hameçonnage tentent de vous inciter à communiquer vos identifiants et d’autres informations, et elles incluent parfois des malwares conçus pour voler des données dans votre système. Ces attaques sont souvent le point de départ d’attaques visant les infrastructures, les recherches sensibles et les services de renseignement de l’État. Les défenses contre les attaques par hameçonnage comme la sécurité des boîtes de réception et la sensibilisation des utilisateurs sont les meilleurs moyens de défense existants. Barracuda peut vous aider à cet égard si vous ne les avez pas encore mises en place.  Malgré cela, les attaques par hameçonnage restent efficaces et ne cessent de se perfectionner.  S’il est impossible d’en prévenir les dommages on peut au moins les contenir.

Bonnes pratiques

Des comportements peu rigoureux avec les mots de passe peuvent conduire à la compromission des e-mails professionnels, au piratage des comptes, aux ransomwares et à d’autres cyberattaques dévastatrices. La plupart du temps, de bonnes habitudes vous permettent de protéger vos informations de connexion.  En voici quelques exemples :

  • Utilisez un mot de passe unique pour chaque compte. (42 % !!!)
  • Utilisez un gestionnaire de mots de passe pour vous aider à mémoriser vos mots de passe. Un gestionnaire de mots de passe avec un mot de passe maître fort est un moyen sûr de gérer les mots de passe uniques de tous vos comptes. Ces applications facilitent la création de mots de passe complexes en temps réel ce qui vous permet de changer rapidement de mot de passe en cas de compromission. Si vous êtes préoccupé par un incident comme celui de LastPass, vous pouvez utiliser un gestionnaire de mots de passe hors ligne comme KeePass.  
  • Assurez un suivi des violations de vos informations.  Certains gestionnaires de mots de passe peuvent s’en charger pour vous et vous alerter en cas de violation mais il s’agit parfois d’une option payante. Vous pouvez également consulter le site web « Have I been pwned » pour vérifier si votre adresse e-mail ou votre mot de passe se trouve dans la base de données des violations.
  • N’utilisez pas de mots de passe courants, comme « azerty » ou « motdepasse ». Ces mots de passe sont parmi les plus courants et, comme ceux mentionnés ci-dessus, il faut moins d’une seconde à une attaque par force brute pour les craquer.  
  • Évitez d’utiliser des informations personnelles comme votre nom, votre adresse ou votre date de naissance. Toute information qui peut être associée à vous sera plus facile à deviner. Il est préférable d’utiliser un mot de passe complexe ou une phrase secrète.
  • Ne partagez pas votre mot de passe avec d’autres personnes.  Le partage de documents, de calendriers, d’e-mails, etc. peut se faire en toute sécurité sans partage de mots de passe ou d’accès aux comptes. Configurez le workflow de collaboration approprié plutôt que de permettre à quelqu’un de se connecter avec vos identifiants. La plupart des applications de productivité SaaS sont dotées d’outils de collaboration.

Je n’ai pas mentionné l’authentification multifacteur parce que cette option n’est pas toujours disponible, mais vous avez tout intérêt à l’utiliser lorsque c’est possible.

Prenez l’habitude de sécuriser vos mots de passe

Rien ne nous oblige à célébrer la journée internationale du mot de passe, mais nous devons en profiter pour confirmer notre engagement à l’égard de la sécurité des mots de passe. Vérifiez vos comptes et vos identifiants pour détecter les doublons, les violations et les mots de passe faibles. Rappelez à vos amis, à votre famille et à vos collègues de faire de même. Voyons si nous pouvons faire mieux que 42 % d’ici le prochain premier jeudi de mai.

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.