Top

Mots de passe compromis, réutilisés ou faciles à deviner

Depuis Safari 14, Apple a ajouté à ses mécanismes de sécurité, la vérification systématique des mots de passe stockés dans votre compte iCloud avec des listes de mots de passe circulant sur Internet.

Lorsque vous créez et stockez vos propres mots de passe pour des sites web et des apps, l’iPhone identifie automatiquement les faiblesses de base (par exemple, si vos mots de passe sont faciles à deviner ou si vous les utilisez plusieurs fois). L’iPhone surveille également de manière sécurisée vos mots de passe et vous prévient s’ils sont divulgués dans des fuites de données connues.

Alors que signifient ces messages que Safari (Mac ou iOS) vous envoi et faut-il s’en inquiéter ?

Tout d’abord, comme précisé plus haut, il existe trois types de messages différents, et chacun à un degré de gravité différent :

  • Mots de passe faciles à deviner : signifie que vous avez utilisé un mot de passe qu’Apple considère trop courant. De nombreux sites Web ont maintenant des exigences strictes en matière de mot de passe et n’accepteront pas les identifiants de connexion faibles. Nous recommandons de modifier ce mot de passe par un mot de passe fort que peut vous proposer Safari.
  • Mots de passe réutilisés : signifie que vous avez utilisé le même mot de passe plusieurs fois, ce qui augmente le risque que quelqu’un accède à ces comptes. Ainsi, si vous utilisez le mot de passe 1234556 avec votre compte Dropbox et que le site a été piraté, tous les autres comptes (comme Amazon ou Netflix, par exemple) où 123456 est votre mot de passe sont aussi à risque. Si votre mot de passe est récupéré par un pirate, il lui sera alors facile de se connecter avec vos identifiants sur tous les sites qui utilisent le même mot de passe. C’est la raison pour laquelle il est fortement recommandé de mettre des mots de passe différents sur tous les sites que vous consultez. Nous recommandons de changer le mot de passe de ces sites Web par un mot de passe unique et fort.
  • Mots de passe compromis : signifie que ce mot de passe fait partie d’une liste de mots de passe connus des pirates. Il faut comprendre ici que ce n’est pas forcément votre compte qui a été piraté, mais plutôt que le mot de passe que vous utilisez est un mot de passe qui circule dans des listes de mots de passe sur Internet. Cela signifie que si un pirate essaie de deviner votre mot de passe, il est certain qu’il finira par le trouver en essayant chacun des mots de passe de cette liste (on appelle cela, une attaque en force brute). Nous recommandons de modifier immédiatement votre mot de passe sur le site par un mot de passe fort et de vérifier que vos données ne sont pas compromises. Vous pouvez vous aider pour cela du site haveibeenpwned.com.

Examinez chacun des comptes identifiés précédemment pour déterminer si des transactions suspectes ont été effectuées à votre insu. Assurez-vous par exemple qu’aucun achat n’a été effectué depuis vos comptes, et que vos coordonnées n’ont pas été modifiés (téléphone, adresse…).

Que faire pour se protéger ?

Vous devriez tout d’abord utiliser un gestionnaire de mots de passe, qui sauvegarde tous vos identifiants au même endroit. Vous pourriez alors plus facilement vous y retrouver parmi tous ces mots de passe complexes et différents. Pour rappel le trousseau d’accès de macOS ou d’iOS est un gestionnaire de mots de passe simple et efficace.

Lorsque c’est possible, vous devriez aussi activer l’authentification à deux facteurs sur vos comptes. Ce mécanisme de protection nécessite l’ajout d’une deuxième information en plus d’un mot de passe lorsque vous vous enregistrez, généralement un numéro temporaire envoyé par message texte ou un numéro qui s’affiche dans une application. Cela n’empêche pas que votre mot de passe soit compromis mais si un pirate souhaite se connecter à votre compte il lui faudra ce second mot de passe aléatoire et temporaire reçu uniquement sur votre téléphone. Et surtout ne validez jamais un message d’authentification, à 2 facteurs sur votre téléphone si vous n’êtes pas à l’origine de la demande de connexion.

Cette mesure de sécurité assure la protection de votre compte même lorsque votre mot de passe est compromis. Car même si vous avez changé tous vos identifiants, ce n’est qu’une question de temps avant que certains d’entre eux fassent à nouveau l’objet d’une fuite de données.

Si vous souhaitez vous former sur l’utilisation avancée de macOS, nous vous invitons à vous inscrire à notre formation Administration avancée de macOS.

Les commentaires sont fermés.