Piratages, cyberattaques et oublis... Six questions sur les mots de passe pour éviter les arnaques en ligne

Et une nouvelle cyberattaque... Mercredi 13 mars, France Travail a annoncé avoir été la cible d'une cyberattaque, avec un "risque de divulgation" de données personnelles touchant "potentiellement" 43 millions de personnes. L'opérateur public (ex-Pôle emploi) indique que "la base de données qui aurait été extraite de façon illicite contient les données personnelles d'identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr".

Les données personnelles d'identification exposées "sont les suivantes : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone". Une fuite massive de données qui fait écho à celui de la CAF, le 12 février dernier, et la compromission de 600 000 comptes d'allocataires. Par précaution, tous les allocataires de la CAF vont devoir obligatoirement changer leur mot de passe à compter du 8 mars.

Messagerie, réseaux sociaux, sites de streaming, sites de vente en ligne, sites administratifs... La vie numérique demande à chacun d'avoir en moyenne une centaine de mots de passe. "Le piratage de compte est une menace majeure", prévient Cybermalveillance.gouv.fr, la plateforme gouvernementale de sensibilisation aux risques numériques, dans son rapport annuel, publié mardi 5 mars.

En matière de sécurité sur internet, un certain nombre de mauvaises pratiques persistent. Quels sont les bons réflexes à adopter ? Éléments de réponse avec Jean-Jacques Latour, directeur de l'expertise cybersécurité de la plateforme Cybermalveillance.gouv.fr. "Les mots de passe sont les clés de toute notre vie numérique, pose d'emblée Jean-Jacques Latour, et il faut en prendre autant soin que de ses clés. Il ne viendrait à l'idée de personne de protéger son chez soi avec la clé de sa boîte aux lettres. Donc, comme pour la porte de chez soi, il va falloir utiliser des clés relativement solides."

1 Comment choisir de bons mots de passe ?

"Un bon mot de passe, ça doit faire un minimum de douze caractères, alterner des majuscules et des minuscules, des chiffres, des caractères spéciaux", recommande Jean-Jacques Latour. Car avec un ordinateur, ajoute-t-il, un cybercriminel"peut tester des dizaines de milliers de mots de passe à la seconde". "Douze caractères, c'est un mot de passe solide, essayer toutes les combinaisons possibles pour le déchiffrer, prendra beaucoup trop de temps et dissuadera d'éventuelles personnes malvellantes", explique l'expert.

"Les victimes qui s'adressent à nous, nous disent 'mon mot de passe, c'est le prénom de ma fille, c'est ce que j'utilise partout', c'est ce qu'il ne faut pas faire."

Jean-Jacques Latour, directeur de l'expertise cybersécurité de la plateforme Cybermalveillance.gouv.fr

à franceinfo

Il est aussi important de ne pas utiliser un mot de passe facile à deviner, "comme votre date de naissance, que vous avez affichée sur votre compte de réseau social", indique Jean-Jacques Latour. "Pas de prénom, pas de surnom non plus, tout ce que les cybercriminels pourraient tester facilement pour essayer d'accéder à votre compte", souligne-t-il. 

2 Comment mémoriser ses mots de passe ?

"Vous n'êtes pas obligé de retenir tous les mots de passe, affirme l'expert. Ce qui va être important, c'est de retenir les mots de passe dont vous avez fréquemment besoin. Par exemple, votre messagerie ou votre gestionnaire de mot de passe." L'idée est donc de retenir un ou deux mots de passe solides. Pour ce faire, plusieurs méthodes existent : "Vous prenez par exemple les premières lettres d'une chanson, du refrain d'une chanson, jusqu'à ce que ça fasse douze caractères, détaille Jean-Jacques Latour, en disant que la première lettre est en minuscule, deuxième lettre, majuscule, troisième lettre minuscule, etc. L'idée c'est de trouver quelque chose qui vous est propre." Il existe aussi le moyen mnémotechnique ou la méthode phonétique.

"Tant que vous savez que ça, c'est votre mot de passe principal, vous allez le retenir. Il faut que ça ait un sens pour vous, vous allez bien vous casser la tête pour trouver ce mot de passe déjà."

Jean-Jacques Latour, directeur de l'expertise cybersécurité de la plateforme Cybermalveillance

à franceinfo

La "phrase de passe", composée de mots du dictionnaire, c'est "une bonne idée" pour Jean-Jacques Latour, qui ne la recommande pas pour autant. Les préconisations de la Cnil, la Commission nationale d'internet et des libertés, et de l'Anssi, l'Agence nationale de la sécurité des systèmes d'information, c'est qu'une phrase de passe fasse au minimum sept mots. Pour l'expert, "sept mots, c'est trop long."

Selon lui, "mieux vaut noter ses mots de passe sur un calepin soigneusement rangé, plutôt que de mettre des mots de passe bidons parce qu'on n'arrive pas à les retenir. Ce qui est important, c'est de ne pas le partager", insiste-t-il. 

3 Faut-il changer ses mots de passe régulièrement ?

Pour Jean-Jacques Latour, "il n'y a pas d'obligation à changer son mot de passe fréquemment. Ce qui est important, c'est de modifier son mot de passe, dès qu'on a le moindre doute, si on pense que tel compte a été piraté, ou qu'il pourrait l'être." C'est pourquoi la CAF demande à tous les allocataires de modifier leur clé d'accès.

"Quand il y a une alerte ou un doute, on change tout de suite."

Jean-Jacques Latour, de la plateforme Cybermalveillance

à franceinfo

"Ça devient contre-productif de changer régulièrement parce que les gens ne vont pas réinventer des refrains et des phrases compliquées. En fait, ils vont mettre le même mot de passe, en ajoutant, 01, 02, etc. et ce ne sera pas suffisamment solide", prévient l'expert. "Je ne change pas les serrures de mon appartement tant que je n'ai pas de preuve qu'il soit fracturé, reprend-il, par contre, si j'ai un doute, tout de suite, je vais changer les serrures."

4 Pourquoi bien protéger ses comptes les plus importants ?

"La messagerie, c'est très important de la protéger convenablement avec un bon mot de passe, rappelle Jean-Jacques Latour. Parce que la messagerie, c'est le premier compte de prédation des cybercriminels. Pourquoi les messageries intéressent les cybercriminels ? "Parce que dans votre messagerie, vous avez toute votre vie numérique. Dans vos éléments envoyés, vous allez avoir des scans de pièces d'identité, d'avis, d'imposition, de fiches de paye que vous avez envoyé à un organisme administratif. Et ça, ça a beaucoup de valeur pour les cybercriminels", insiste l'expert.

Mais ce n'est pas tout, car la messagerie est liée à beaucoup d'autres comptes, comme ceux des réseaux sociaux. "Si, en tant que cybercriminel, je vais sur votre compte Instagram ou Facebook, et que je fais 'mot de passe oublié', je vais recevoir un mail dans votre messagerie. Si j'ai pris le contrôle de votre messagerie, je reçois le mail avec le lien de réinitialisation, je clique dessus, je change votre mot de passe et je prends le contrôle de votre compte de réseau social", démontre l'expert en cybersécurité. Et c'est la même logique pour les sites de commerce en ligne, etc.

"Votre messagerie, c'est vraiment le pivot qui va servir d'accès à tous vos autres comptes. Et ça, les cybercriminels l'ont bien compris. Donc ça ne se limite pas à un piratage de messagerie, ça va aller se propager au piratage de vos comptes de réseaux sociaux, au piratage de votre compte Amazon..."

Jean-Jacques Latour, de Cybermalveillance.gouv.fr

à franceinfo

Bien sécuriser sa messagerie, "c'est à peu près tout, pour Jean-Jacques Latour. Sur la plupart des comptes. Vous pouvez mettre un mot de passe complètement biscornu que vous n'avez pas besoin de retenir. Il suffira que la prochaine fois que vous y alliez, vous fassiez 'mot de passe oublié' et vous pourrez changer de mot de passe." 

5 Faut-il avoir recours à un gestionnaire de mots de passe et à la double authentification ?

Pour les coffres-forts numériques que sont les gestionnaires de mots de passe, il est également important d'avoir un mot de passe solide car c'est là que sont stockés tous les autres mots de passe.  "Là au moins, c'est sécurisé, commente Jean-Jacques Lartour, davantage que le calepin que vous avez dans un tiroir."  "Keepass" est le seul gestionnaire de mots de passe certifié par l'Anssi, l'agence nationale de cybersécurité, rappelle-t-il.

D'autre part, la double authentification est pour Jean-Jacques Latour, "plus qu'un bon réflexe car vous encourez beaucoup moins de risque". Il recommande de l'installer quand le service est proposé, ce qui est le cas de toutes les messageries grand public, mais ce n'est pas activé par défaut, il faut le faire. Cette double authentification passe par l'envoi de SMS ou via des applications dédiées. Pour l'expert, "la double authentification par SMS, c'est la ceinture de sécurité, avec une application,c'est le harnais de sécurité."

6 Quels risques encourt-on ?

Les données personnelles ont de la valeur aux yeux des cybercriminels, qui peuvent les utiliser contre leur détenteur. "On a tous des choses à cacher, rappelle Jean-Jacques Latour, à commencer par son argent". Pour lui, "ça peut aller loin : si je mets la main sur votre carte d'identité, fiche de paye ou avis d'imposition, je peux contracter un crédit à la consommation en ligne à votre nom, qu'on vous demandera de rembourser et vous pouvez vous retrouver interdit bancaire." 

"Avec vos documents d'identité, on peut acheter un téléphone prépayé et l'utiliser dans un braquage, on peut louer des voitures et commettre des infractions, énumère l'expert. Ce n'est jamais très agréable de voir les policiers arriver chez soi pour des faits qu'on n'a pas commis."

"Il faudra toujours que j'aie une serrure à ma porte, souligne Jean-Jacques Latour, et si j'ai une clé qui ouvre toutes les serrures, il ne faut pas la perdre." Avoir des barrières de sécurité permet de minimiser les risques. "Mais aucune protection n'est absolue, rappelle-t-il en filant la métaphore, ce n'est pas parce que je mets ma ceinture de sécurité dans ma voiture que pour autant je ne risque rien."

7Et en résumé ?

Pour sécuriser notre vie numérique, Jean-Jacques Latour invite à respecter les quatre règles d'or suivantes : "Utiliser un mot de passe suffisamment long et complexe pour qu'il soit impossible à deviner par quelqu'un qui ne vous connaît pas. Activez la double authentification sur tous les comptes que l'on considère importants et qui le permettent, comme la messagerie, les réseaux sociaux, etc. Utiliser un gestionnaire de mots de passe, avec un mot de passe solide, pour retenir ses autres mots de passe. Et puis changer son mot de passe au moindre doute de compromission".