En 2023, le piratage de mots de passe reste l’une des portes d’entrée privilégiées des cybercriminels et pour cause, la plupart se composent généralement de noms communs, d’une suite de chiffres primaires, ou d’informations personnelles facilement identifiables.

Par ailleurs, les utilisateurs changent très rarement leur mot de passe d’un site internet à l’autre, du pain béni pour les cybercriminels qui peuvent aisément recouper les données qu’ils possèdent sur les utilisateurs, trouver la bonne combinaison et s’introduire aisément dans la majorité des espaces ou comptes personnels des utilisateurs.

La Journée internationale du Mot de Passe qui se tient demain, jeudi 4 mai, est l’occasion de rappeler la nécessité de sensibiliser les utilisateurs sur l’importance de créer des combinaisons plus complexes, et uniques pour chaque plateforme, notamment lorsqu’il s’agit de comptes hébergeant des données sensibles ou financières.

En effet, pour Matt Cooke, responsable de la stratégie cyber pour l’EMEA chez Proofpoint, « Le paysage de la menace actuel oblige à redoubler d’efforts pour protéger les données des particuliers et des entreprises. »

Dans son dernier rapport State of the Phish, Proofpoint alerte sur une hausse globale des vols d’identifiants. D’après l’étude, 31 % des entreprises françaises déclarent avoir subi une attaque par hameçonnage résultant d’un compte compromis. Pour les cybercriminels, ce mode opératoire se révèle en effet bien plus efficace puisqu’il leur permet de naviguer dans l’ensemble des systèmes de l’entreprise une fois s’être introduit dans un compte utilisateur.

En outre, il est important de retenir que tout mot de passe, aussi complexe soit-il, est sujet au vol. Heureusement, il existe des méthodes pour limiter le plus possible ces risques. Un premier pas vers une meilleure protection est l’utilisation de l’authentification multifactorielle (MFA) sur le plus de comptes possible.

Chaque utilisateur devra alors prouver à deux reprises son identité, sur deux supports différents (via une alerte SMS par exemple), avant d’accéder à son compte. Cette approche se révèle notamment très efficace face aux systèmes automatisés utilisés par les cybercriminels pour deviner les mots de passe ou tester ceux précédemment volés.

Seconde bonne pratique : utiliser un gestionnaire de mot de passe pour générer des combinaisons aléatoires, qui seront ensuite chiffrées et stockées. Ce type de plateforme offre deux avantages : il n’est plus nécessaire de mémoriser tous ses mots de passe parfois compliqués, et ils sont accessibles par l’utilisateur en toute sécurité sur l’ensemble de ses appareils. Généralement, le gestionnaire est protégé par une phrase secrète, à l’instar des mots de passe, celle-ci ne doit pas faire référence à des mots courants ou à des informations personnelles.

« Les acteurs de la menace sont aujourd’hui suffisamment armés et entraînés pour contourner les technologies mises en place et voler les identifiants de connexion. Nous savons également que 95 % des problèmes de cybersécurité sont liés à l’humain. Il est donc primordial que chaque utilisateur ait la capacité d’identifier les tentatives d’hameçonnage de données de connexion pour ne pas devenir la victime de ce type d’attaque », explique Matt Cooke.