Comme vous le savez, le réseau social LinkedIn a récemment été victime de piratage. Une faille de sécurité dans la version mobile du réseau serait en  cause dans le piratage de 6,5 millions de comptes. A ce jour, des centaines de  milliers de mots de passe ont été décryptés.

Jan Valcke, Président et COO de VASCO Data Security, éditeur leader spécialiste des solutions d'authentification forte, vous donne quelques conseils pour sécuriser vos informations sur les réseaux sociaux.

Combien de comptes en ligne possédez-vous ? Vous ne le savez pas vraiment ? Comptez avec nous : au moins un compte e-mail ; un ou plusieurs comptes pour vous connecter à vos réseaux sociaux, des comptes pour faire du shopping, des jeux en ligne ou lire votre journal ; un autre compte pour votre club de sport local ou pour le forum de votre site préféré. Outre cela, vous avez aussi de multiples autres comptes dans votre environnement de travail : pour l'accès à votre CRM, au webmail, aux diverses applications de l'entreprise, ou pour consulter les revues spécialisées auxquelles votre entreprise est abonnée. Dans ce contexte est-ce que le terme « protégé(e) » est le terme le plus approprié pour décrire votre situation ?

Inventer des mots de passe est un éternel compromis

Si les mots de passe sont trop simples, il est facile pour les pirates de les découvrir et de les intercepter. Toutefois, lorsque les mots de passe sont trop complexes, ils sont oubliés ou couchés par écrit sur un post-it (en général pas trop loin de l'écran...). Un grand nombre de problèmes se posent aussi lorsque nous utilisons des mots de passe statiques. Tout d'abord, l'utilisateur moyen n'a guère d'imagination quand il s'agit d'inventer un mot de passe. Les noms des enfants, des proches ou des animaux domestiques, les dates de naissance ou des combinaisons de touches simples sur le clavier, telles que 123456 sont cousues de fil blanc. De plus, les gens ont tendance à utiliser les mêmes mots de passe pour différents comptes. Une différence entre les applications privées et de travail est rarement faite. Pour les hackers, c'est un jeu d'enfant que d'intercepter ces mots de passe. Dans le but de contrer ce problème, certaines entreprises contraignent leurs employés à changer de mot de passe après une certaine période de temps (par exemple après 30 jours). Cependant, ces mots de passe sont souvent oubliés, impliquant une charge de travail supplémentaire pour les départements informatiques dans le domaine de la gestion de mots de passe.

Un faux sentiment de liberté

Nous pouvons nous plaire à penser que la cybercriminalité ne nous touchera jamais. Cependant, nous sommes en réalité plus vulnérables sur Internet que nous ne pouvons le croire. Jetons un coup d'œil, par exemple, sur les réseaux sociaux. Facebook, LinkedIn, Twitter : qui n'a pas au moins un compte sur ces réseaux de nos jours ? Un réseau social est un endroit idéal pour rencontrer et garder contact avec nos amis, relations d'affaires ou avec des personnes qui habitent loin. Ces réseaux apparaissent comme des environnements agréables et aimables où les informations peuvent être partagées, que ce soit à des fins professionnelles ou dans un cadre privé. Comme il n'y a pas de barrière physique, les utilisateurs n'ont pas d'inhibition à y divulguer des détails sur leur entreprise ou sur leur propre vie privée. Les utilisateurs ne sont pas conscients du fait qu'ils ouvrent les fenêtres en grand sur leur propre vie. Les pirates suivent l'argent et sont conscients des gains pouvant être obtenus par l'exploitation d'informations publiées par les utilisateurs sur les réseaux sociaux. Les données-cibles sont aussi bien des informations personnelles que des informations de propriété intellectuelle ou des informations sur l'entreprise voire même des numéros de sécurité sociale ou de cartes de crédit.

Internet, un monde cruel

Disposer d'un niveau de sécurité adéquat est nécessaire sur Internet car le réseau est parsemé de dangers. Les attaques par dictionnaire, le hameçonnage (phishing), les enregistreurs de frappe (keyware), les logiciels espions (spyware) et les attaques dites « de l'homme du milieu » (MITM, man-in-the-middle) sont les plus communes.

Tout d'abord, l'exécution par les pirates d'attaques par dictionnaire sont liées au fait que la plupart des internautes utilisent des mots de passe simples ou réutilisent leurs mots de passe pour différents comptes. L'idée est de passer outre les techniques de chiffrement en composant une liste limitée de mots de passe possibles. Ces listes sont adaptées au pays dans lequel l'attaque est exécutée ou aux intérêts de la victime.

Ensuite, le hameçonnage est également une technique courante pour obtenir illégalement des mots de passe. Des escrocs envoient alors de faux e-mails à l'utilisateur pour le conduire à visiter un faux site web les incitant à fournir leur nom d'utilisateur et leur mot de passe.