'azerty', 'football', 'johndoe'... trop souvent, de nombreux internautes tapent un mot de passe trop simpliste pour s'inscrire à un nouveau service. Las de ce comportement inconscient, Twitter a décidé de bannir 370 termes trop risqués pour protéger un compte.

Si vous avez suivi cette année l’actualité concernant Twitter, sans doute avez-vous entendu parler de ces célébrités qui ont vu leur compte être piraté par des individus peu recommandables. Bien souvent dans ces affaires, c’est la faiblesse du mot de passe qui est en cause : trop court, trop évident ou trop simpliste, c’est pourtant le sésame qui contrôle l’accès au profil et protège les données de l’internaute.

Et parce que ‘123456’, ‘password’ ou ‘azerty’ ne sont pas des mots de passe considérés comme sûrs, Twitter a décidé de bannir pas moins de 370 termes qui sont aux antipodes de la sécurité informatique. En effet, avec la popularité grandissante du site communautaire de micro-blogging, de plus en plus de personnes mal intentionnées s’intéressent à Twitter… et les stars et autres personnalités publiques ne sont désormais plus les seules personnes à être ciblées.

Ces nouvelles mesures visent essentiellement à se préserver de certaines attaques de cryptanalyse, comme la force brute ou le dictionnaire. La première méthode consiste à faire une recherche exhaustive et aléatoire de toutes les combinaisons possibles, une à une. Cette attaque est particulièrement intéressante lorsque le mot de passe est constitué de quelques caractères (cinq ou six), sinon le procédé devient rapidement trop long.

La seconde méthode est l’attaque par dictionnaire qui, comme son nom l’indique, vise à se baser sur une liste de termes potentiels pour dénicher le mot de passe. Cette technique est particulièrement pertinente lorsque le mot de passe est en réalité un nom commun, un prénom ou n’importe quel autre terme relativement courant. Ainsi, il n’est pas recommandé de choisir ‘internet’, ‘samantha’ ou encore ‘password’ pour protéger son profil.

Bien entendu, les pirates n’hésitent jamais à combiner brute force et dictionnaire, tout en y associant d’autres méthodes. Plus généralement, la décision de Twitter de bannir une liste de termes trop téléphonés devrait inspirer d’autres réseaux sociaux. Bien que la plupart des sites web contrôlent désormais la longueur et le contenu d’un mot de passe, l’interdiction d’une liste de mots-clés serait une sécurité supplémentaire.

La liste peut être consultée sur cette page (.txt).

Partager sur les réseaux sociaux

Articles liés