Pour dérober un mot de passe, il n’est pas toujours nécessaire d’avoir les capacités de la NSA ou le talent d’un Kevin Mitnick. Comme le dit l’adage, « la plus grande faiblesse d’un système informatique se trouve entre le clavier et la chaise ». En exploitant les fautes ou faiblesses de l’utilisateur, un mot de passe peut être deviné ou réinitialisé de force sur des sites peu regardant sur leur sécurité.
Tout ce qui est publié peut être utilisé contre vous
C’est ce que met en lumière une étude commandée par une grande banque espagnole, Santander, dont se fait l’écho The Telegraph ce lundi 22 juillet. Elle pointe les mauvaises habitudes prises par les internautes quand ils publient des contenus sur le web, sans faire attention si certaines des informations mises en ligne ne servent pas par ailleurs à protéger l’un de leurs comptes.
D’après l’étude, ce phénomène touche notamment les jeunes qui, par mimétisme, font comme leurs personnalités favorites lorsqu’elles partagent des informations ou des photos sur leur quotidien. Ces publications donnent le sentiment d’avoir une proximité avec telle ou telle célébrité, puisque l’on apprend par exemple leur date de naissance ou l’on découvre leur animal de compagnie.
Des internautes se servent du nom de leur animal de compagnie comme mot de passe… tout en publiant des informations sur lui en ligne. // Source : stratman²
Ces pratiques, les internautes les ont aussi. Il n’est pas rare de voir des publications sur des animaux de compagnie, des anniversaires ou des détails de sa vie passée. Or, deux soucis découlent de ce constat : D’abord, il arrive que certaines de ces informations servent aussi de mot de passe pour se connecter à un site — car, c’est bien connu, les internautes sont nuls lorsqu’il faut créer un mot de passe sécurisé.
L’étude pointe qu’un répondant sur dix a avoué avoir déjà partagé le nom de son animal de compagnie sur le web alors qu’il sert aussi de mot de passe (peut-être est-ce pire d’ailleurs, avec ceux qui n’ont pas voulu avouer avoir une si mauvaise hygiène en matière de sécurité informatique). Et ce problème peut se décliner à l’infini ou presque, avec le prénom d’un proche, la date de naissance ou encore la ville.
Et si le mot de passe ne peut pas être trouvé de cette façon, les informations laissées sur la toile peuvent servir autrement. Il existe des services qui proposent, si jamais vous ne vous rappelez plus de votre mot de passe, de répondre à des questions « de sécurité » relatives à l’utilisateur, comme « Quel était le nom de votre premier animal de compagnie ? » ou « Dans quelle ville avez-vous décroché votre premier emploi ? ».
Ce processus, qui est proposé lors de la récupération d’un compte, sert à réinitialiser le mot de passe. Sauf qu’avec les réseaux sociaux, ces questions jouent en réalité contre l’intérêt de l’internaute. En effet, les réponses peuvent être dénichées sur les profils de l’internaute (Facebook, Twitter, Instagram, etc.) pour peu qu’une personne malveillante parvienne à les trouver.
Toujours selon l’étude conduite au nom de l’établissement bancaire, 87 % des sondés ont reconnu avoir partagé des informations personnelles sur les réseaux sociaux. En outre, un tiers des répondants de moins de 25 ans s’est inspiré des publications faites par des stars pour leur propre contenu. Dans un cas comme dans l’autre, l’internaute s’expose à la perte de l’accès à son compte ou voir son identité usurpée.
Des questions inadéquates
Le risque que font courir les questions « de sécurité » n’est pas nouveau.
En 2015, Google a publié les résultats d’une étude montrant qu’avec les réseaux sociaux, elles n’étaient plus pertinentes pour vérifier la légitimité d’une demande de récupération de compte. Certes, il est possible de répondre faussement ou de combiner des questions secrètes, mais c’est au prix d’une difficulté pour l’internaute : il doit se souvenir de toutes les réponses et s’il a inventé des réponses.
C’est pour se prémunir aux techniques d’ingénierie sociale, expression qui regroupe les procédés permettant d’obtenir des informations sensibles en profitant des erreurs de l’internaute, que de nouvelles procédures de récupération de compte ont vu le jour, avec des numéros de téléphone ou des mails de secours associés au compte, en complément ou en remplacement des questions secrètes.
Ces alternatives ne permettent pas, en revanche, de contrer l’accès non autorisé à un compte si vous utilisez votre date de naissance ou le nom de votre bête comme mot de passe. Si c’est le cas, changez-le pour un mot de passe sérieux (et faites attention à ce que vous mettez sur le net). Et profitez-en pour activer la double authentification. Ça vous sauvera la mise, même en cas de perte de mot de passe.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
