Journée mondiale du mot de passe : les bons réflexes pour sécuriser vos accès
Pourquoi les mots de passe sont une cible privilégiée ?
Aujourd’hui, la plupart des applications que nous utilisons requièrent une authentification par mots de passe (administration, messageries, logiciels de gestion, session utilisateur…)
Dans un monde toujours plus connecté, les cyberattaques se multiplient et les attaquants tirent parti des failles de sécurité existantes — en particulier celles liées aux mots de passe et aux identifiants de connexion. En effet, nos mots de passe protègent l’accès à nos données et activités. En piratant nos mots de passe, les cyberattaquants peuvent poursuivre divers objectifs, notamment la récupération d’informations personnelles, l’accès à des données sensibles professionnelles ou encore l’extorsion d’argent.
Les méthodes d’attaque varient. L’une des plus courantes, qui touche aussi bien la sphère privée que professionnelle, est le phishing (hameçonnage). Cette technique consiste à envoyer un message frauduleux incitant la victime à divulguer des informations sensibles, comme des identifiants de connexion. Souvent, le message contient un lien menant à un faux site où l’utilisateur est invité à renseigner ses données (adresse e-mail, numéro de compte bancaire, etc.), qui sont ensuite exploitées par les attaquants.
D’autres techniques, comme l’attaque par force brute, permettent aux cybercriminels de tester un grand nombre de combinaisons jusqu’à trouver le mot de passe correct. L’attaque consiste à tester, l’une après l’autre, chaque combinaison possible d’un mot de passe ou d’une clé pour un identifiant donné, afin de se connecter au service ciblé. Plus le mot de passe est fort, plus les tentatives de compromission seront susceptibles d’échouer.
Enfin, si nos données ont fuité par le passé, des attaquants peuvent tenter d’utiliser ces informations, en espérant que les identifiants n’ont pas été modifiés ou sont réutilisés sur d’autres services.
Adoptez les bons réflexes pour protéger vos comptes
1) Adoptez l’authentification multifacteur
L’authentification multifacteur (MFA) constitue l’un des moyens les plus efficaces pour renforcer la sécurité des accès. Elle réduit significativement les risques de compromission des mots de passe, notamment face aux attaques par force brute.
Ce dispositif impose une vérification supplémentaire de l’identité de l’utilisateur qui souhaite se connecter.
Les facteurs d’authentification peuvent être les suivants : un mot de passe, un code PIN, un sms ou un appel téléphonique, une application de vérification telle que Microsoft Authentificator ou itsme®, une reconnaissance biométrique, …
La plupart des services de messagerie proposent la double authentification, qui doit cependant être activée manuellement par l’utilisateur.
2) Créez des mots de passe forts
Un mot de passe sécurisé doit contenir des caractères variés : minuscules, majuscules, chiffres et caractères spéciaux.
Au-delà de la diversité de caractères, le mot de passe doit être suffisamment long. La CNIL[1] recommande une longueur minimale de 12 caractères. L’utilisation de phrases de passe est une alternative efficace, de plus en plus conseillée, pour renforcer la sécurité.
Le niveau de robustesse du mot de passe doit être proportionnel à la sensibilité de l’application concernée. Par exemple, un mot de passe plus robuste est requis pour une messagerie professionnelle que pour un compte de prise de rendez-vous en ligne .
Il est également conseillé d’éviter de choisir un mot de passe lié à sa vie personnelle (exemple : le nom de ses enfants, de son chien, leur date de naissance, le titre de sa chanson préférée, …). Un attaquant ayant accès à ces informations pourrait facilement deviner les identifiants de connexion de la personne.
Enfin, il faut proscrire les suites logiques trop évidentes tels que 123456, azerty, abcdef, qwerty,… (qui figurent en tête du classement des mots de passe les plus utilisés en Belgique en 2024[2]).
La CNIL met en place des outils pour faciliter la création de mots de passe fort, notamment en proposant un générateur de mot de passe solide. Les gestionnaires de mots de passe proposent également ce type de services.
3) Utilisez des mots de passe uniques pour chaque service
L’utilisation d’un mot de passe différent pour chaque compte empêche qu’une compromission ne se propage à l’ensemble des services ; seul le service concerné sera vulnérable.
Avec un bon gestionnaire de mots de passe, il devient inutile de mémoriser tous ses mots de passe. Ces outils stockent et génèrent des identifiants sécurisés.
4) Modifiez systématiquement les mots de passe par défaut
Beaucoup des services proposent des mots de passe par défaut, sans obligation de changement. Les mots de passe par défaut fournis lors de la création d’un compte doivent être changés immédiatement car il s’agit souvent d’identifiants standards, connus des cybercriminels. Les conserver accroit donc significativement le risque de compromission.
Dans un cadre professionnel, l’attribution de mots de passe génériques similaires à plusieurs utilisateurs (ex. : Entreprise2024) accroît significativement le risque de compromission.
5) Différenciez vos comptes professionnels et privés
L’usage de mots de passe distincts pour les comptes professionnels et personnels limite les impacts en cas de compromission de l’un d’eux.
De cette manière, si votre messagerie privée est piratée, l’attaquant ne pourra pas avoir accès à vos comptes professionnels, et vice versa.
6) Utilisez un gestionnaire de mots de passe pour vous faciliter la vie
La sécurisation des comptes passe par une multiplication des mots de passe. Pour éviter les oublis, il est recommandé d’utiliser un gestionnaire de mots de passe sécurisé. Ces outils stockent les identifiants et peuvent également générer des mots de passe robustes.
Ils permettent aussi d’éviter le stockage de mots de passe sur des supports non protégés (pense-bête, fichier non protégé de l’ordinateur, bout de papier, téléphone, messagerie). Il est important de ne jamais transmettre ou stocker ses identifiants en clair.
Différentes entreprises proposent des services de gestionnaires de mots de passe, gratuits ou avec des options payantes, en fonction des besoins de la personne ou de l’organisation.
7) Changez de mot de passe au moindre soupçon de compromission
En cas de suspicion de compromission, la modification du mot de passe doit être immédiate pour prévenir tout incident ou limiter les risques le cas échéant.
8) Limitez le nombre de tentatives de connexion et bloquez les comptes après échecs répétés
Cette mesure technique permet, entre autres, de contrer les attaques par force brute en bloquant temporairement l’accès après un certain nombre de tentatives infructueuses.
9) Évitez les comptes partagés
L’utilisation de comptes individuels avec des mots de passe uniques renforce la sécurité en réduisant les risques de compromission. Les comptes partagés compliquent la gestion des mots de passe, augmentant le risque d’accès non autorisés et de fuites de données. En attribuant un mot de passe unique et robuste à chaque utilisateur, on limite la propagation des attaques, notamment en cas de vol d’identifiants. L’utilisation de comptes partagés expose à des risques accrus de compromission et complique la gestion des accès.
10) N’utilisez pas vos mots de passe sur un ordinateur partagé
Les appareils publics ou partagés peuvent être infectés par des logiciels malveillants récupérant les mots de passe. Il est crucial de ne jamais enregistrer ses identifiants sur ces dispositifs ou navigateurs.
Ces bonnes pratiques s’appliquent aussi bien dans la sphère privée que professionnelle.
Si vous êtes une organisation, nous vous recommandons de mettre en place un politique de mots de passe pour vos collaborateurs afin de renforcer la sécurité et prévenir les violations de données. En outre, il est important de sensibiliser tous les collaborateurs à la cybersécurité et aux risques liés.
Pour plus d’informations sur le sujet, consultez les recommandations de l’ANSSI[3], de cybermalveillance.gouv.fr[4], de la CNIL et de Safeonmmweb.be[5]
[1] Commission nationale informatique et libertés (Autorité de protection des données française) : https://www.cnil.fr/fr/professionnel
[2] https://nordpass.com/most-common-passwords-list/
[3] L’Agence nationale de la sécurité des systèmes d’information
[4] Il s’agit d’une plateforme française d’initiative publique qui a pour mission d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cyber malveillance, de les sensibiliser au risque cyber, de les informer sur les menaces numériques et les moyens de s’en protéger
[5] Initiative du Centre cybersécurité Belgique (CCB) qui a pour ambition d’informer rapidement et efficacement les citoyens, entreprises et organisations belges en matière de sécurité informatique et cybersécurité : https://safeonweb.be/fr
Vous souhaitez renforcer la sécurité de vos accès et sensibiliser vos équipes à la cybersécurité ?
Faites-vous accompagner par nos consultants pour avancer en toute sérénité.
Découvrez nos autres articles
À propos de CTI
CTI CONSULTING est un cabinet de conseil qui aide les organisations à faire usage du digital à bon escient.
Notre équipe pluridisciplinaire de consultants vous accompagne pour définir, acquérir, intégrer et utiliser des outils numériques de manière efficace et responsable.
Envie d’en savoir plus ?
Vous souhaitez renforcer la sécurité de vos accès et sensibiliser vos équipes à la cybersécurité ?
Faites-vous accompagner par nos consultants pour avancer en toute sérénité.