Mots de passe : on est confronté tous les jours à ce problème à la fois simple et compliqué. Et en grande majorité, les Français utilisent des mots de passe faibles qui augmentent les risques de piratages.

C’est ce que confirme une nouvelle enquête réalisée à l’approche de la journée mondiale du mot de passe (World Password Day) le 4 mai prochain par le spécialiste de la sécurité Avast qui montre que les utilisateurs, dans le cadre de leur activité professionnelle ou dans leur vie personnelle, ne protègent pas correctement leurs comptes sur Internet (voir également la tribune publiée ce jour dans nos colonnes : World Password Day : la fin du mot de passe comme identifiant unique – Arnaud Gallut, Ping Identity). 

Plus de 9 Français sur 10 n’incluent pas tous les éléments suivants lors de la création de leurs mots de passe : chiffres, caractères spéciaux, lettres majuscules et minuscules, et qu’ils ne créent pas de mots de passe d’au moins 10 caractères. L’enquête a également révélé que plus de la moitié des Français (51 %) utilisent le même mot de passe pour protéger plusieurs comptes, ce qui augmente le risque de piratage de ces derniers.

Trop d’informations personnelles et des identifiants faibles

De nombreux Français incluent dans leurs mots de passe des données personnelles, souvent disponibles sur leurs comptes de réseaux sociaux, et qui peuvent être exploitées par les cybercriminels, comme par exemple : leur propre nom ou le nom d’un membre de leur famille (20 %) ; leur date de naissance (15 %) ; le nom de leur animal de compagnie (13 %) ; des mots liés à leur activité favorite (9 %) ; une partie de leur adresse (6 %) ; le nom de leur livre ou film préféré (4 %) ; des noms de célébrités (3 %) ; le nom du site Internet pour lequel le mot de passe est utilisé (3 %).

Malgré de nombreuses violations de données très médiatisées ces derniers mois, l’enquête révèle que les Français ne créent toujours pas de mots de passe forts. En particulier, bon nombre omettent de :
– Choisir des mots de passe d’au moins 10 caractères et d’inclure des chiffres, des caractères spéciaux et des lettres majuscules et minuscules (93 %) ;
– Définir des mots de passe d’au moins 10 caractères et d’inclure des chiffres et des caractères spéciaux (91 %).

Des pratiques qui sont confirmées par le spécialiste de la gestion des identités et des accès SailPoint. Ce problème est lié à une habitude bien enracinée qui consiste à utiliser les mêmes mots de passe pour différents comptes utilisateur. Par exemple, 75 % des personnes interrogées dans le cadre de la récente étude SailPoint Market Pulse Survey ont confirmé utiliser les mêmes mots de passe pour plusieurs de leurs comptes (aussi bien professionnels que personnels). Il s’agit d’un facteur de risque inutile alors que nous constatons que d’anciens vols de mots de passe continuent de produire leurs effets, et que de nouvelles menaces telles que le « credential stuffing » permettent aux pirates de profiter de la négligence de certains utilisateurs qui ne respectent pas les bonnes pratiques en matière de mots de passe.

Une pratique risquée

Plus de la moitié des répondants réutilisent les mêmes mots de passe pour protéger plusieurs comptes, et 84 % de ceux qui le font ont admis être conscients que cette pratique est risquée. Lorsqu’on leur a demandé pourquoi ils s’en tenaient encore à cette habitude, 50 % ont indiqué qu’ils ne pouvaient mémoriser qu’un nombre limité de mots de passe, 26 % ont répondu qu’ils ne trouvaient pas que les informations figurant sur leur compte étaient précieuses, et 18 % étaient trop paresseux pour changer leur mot de passe.

66 % des Français n’ont jamais vérifié si leur adresse électronique avait été impliquée dans une violation de données. En moyenne, moins d’une personne sur quatre (20 %) a changé son mot de passe après avoir été informée d’une violation de données, 32 % ne l’ont jamais changé, 24 % le font une fois par an, 11 % tous les six mois, et seulement 13 % changent leur mot de passe au moins tous les trois mois ou plus souvent.

Pour faire face à ce problème récurrent, il faut adopter des pratiques qui relèvent, selon l’expression de l’ANSSI, de la bonne hygiène informatique ou d’utiliser des outils adaptés.

Lors de la création de mots de passe, il est important de garder en tête que ceux-ci : Doivent, dans la mesure du possible, comporter au moins 16 caractères, et inclure des chiffres et caractères spéciaux ; Ne doivent avoir aucun lien avec soi-même ou le service qu’ils protègent.

« Les entreprises, elles, doivent mettre en place une véritable politique de mot de passe, rappelaient récemment par Christophe Alaux et Benoît de Fontenay, Associés d’Euklead, dans une tribune publiée dans nos colonnes (Cyberattaques : 10 conseils pour limiter les risques et couvrir les sinistres). Par ailleurs, il y a des logiciels peu coûteux qui les renouvellent en permanence ».

L’authentification forte, à double facteur, est la meilleure méthode pour contrer la faiblesse dont souffrent les mots de passe, que l’on sait aujourd’hui trop faciles à intercepter ou à dérober.

« Les utilisateurs devraient en outre utiliser l’authentification à deux facteurs lorsque cela est possible, considère Luis Corrons, Security Evangelist, chez Avast. Une autre méthode pour créer des mots de passe forts consiste à enchaîner des mots aléatoires, afin qu’ils possèdent au moins 16 caractères, mais soient plus faciles à retenir. L’utilisation d’un gestionnaire de mots de passe est la meilleure option, à laquelle, malheureusement, moins de 2 % des Français ont recours. »