Les mots de passe complexes ne vous protègent plus. Une nouvelle étude montre qu’une part inquiétante des identifiants volés respectent à la lettre toutes les règles de complexité recommandées par les experts. Un mot de passe bien sécurisé ne peut rien face à des malwares voleurs de données.
Une nouvelle étude publiée par Specops Software dresse un constat alarmant au sujet de la sécurité des mots de passe. L’entreprise suédoise spécialisée dans la cybersécurité a découvert que même les mots de passe sécurisés générés par des gestionnaires, qui respectent bien toutes les règles éditées par les experts, finissent entre les mains des cybercriminels.
En règle générale, on conseille d’opter pour un mot de passe qui comprend au moins 12 caractères, ainsi qu’une variété de lettres majuscules et minuscules, de chiffres et de symboles. Malgré ces bonnes pratiques, il arrive de plus en plus souvent que votre mot de passe, aussi bon élève soit-il, finisse par être aspiré par des hackers.
À lire aussi : 3 millions d’appareils piratés et 316 000 cyberattaques – ces 4 botnets géants ont fait des ravages avant d’être neutralisés
19 % des mots de passe piratés étaient sécurisés
Pour le prouver, les chercheurs de Specops Software ont analysé plus de 1,7 milliard de comptes compromis et plus de 100 Go de journaux liés à des malwares de type infostealer. Il s’agit de logiciels malveillants taillés pour le vol de données à grande échelle. Massivement déployés sur les ordinateurs et les smartphones dans le monde, les malwares infostealers sont responsables de la compromission de six milliards de mots de passe l’année dernière, indique une précédente étude de Specops. Ce sont ces informations volées qui sont à l’origine de la plupart des intrusions dans des systèmes d’entreprises.
Dans la montagne d’informations analysées par leurs soins, les chercheurs ont découvert énormément de mots de passe qui remplissent tous les critères de sécurité. En fait, près de 19% des mots de passe piratés par les virus respectaient les règles habituelles. Ils étaient assez longs et se composaient de caractères spéciaux. Ces bonnes pratiques n’ont pas suffi pour sauver les mots de passe des griffes d’un virus.
À lire aussi : Vous stockez vos mots de passe dans vos notes ? Ce virus le sait et s’en sert pour vous dépouiller
Les mots de passe complexes ne suffisent plus
C’est tout à fait logique. Une fois installé sur votre smartphone ou votre PC, un malware de la catégorie des infostealers va aspirer toutes les données qu’il peut trouver. Il va fouiller votre navigateur, vos notes, vos fichiers et toutes vos applications. Il va collecter tous les identifiants et tous les mots de passe.
Que ceux-ci se devinent facilement ou soient, a contrario, impossibles à « cracker » n’y change rien. Peu importe qu’il fasse 30 caractères avec des symboles ésotériques. Le malware ne casse pas votre mot de passe. Il le lit, tout simplement, en parcourant votre machine.
« Si un utilisateur peut taper un mot de passe dans un navigateur, un malware peut le voler », résume Darren James de Specops Software.
Une fois volés, ces identifiants ne restent pas longtemps entre les mains des pirates. Les identifiants et les mots de passe sont rapidement revendus sur des marchés noirs du dark web et par le biais de canaux sur Telegram. Ils vont ainsi alimenter une vague d’intrusions au sein de vos comptes. Les pirates vont surtout pouvoir orchestrer des attaques de « credential stuffing », ou « bourrage d’identifiants » en français. Cette technique consiste à réutiliser des identifiants volés sur un site pour se connecter à vos autres comptes en ligne. C’est la raison principale pour laquelle il ne faut jamais recycler des mots de passe.
Face à la montée en puissance des virus infostealers, créer un mot de passe complexe ne suffit plus pour vous protéger. Il faut s’assurer, assez régulièrement, que vos mots de passe ne circulent pas sur des marchés criminels. Les chercheurs recommandent de se servir d’outils taillés pour scanner le dark web à la recherche de vos données, comme Have I Been Pwned ou NordVPN. Pour Darren James, « vérifier les identifiants compromis doit faire partie intégrante de votre stratégie de sécurité ». Par ailleurs, ils conseillent d’activer l’authentification à deux facteurs partout où c’est possible.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.