Dashlane publie son quatrième classement annuel des plus mauvais comportements en matière de mots de passe. Cette liste dévoile les personnalités et les organisations ayant commis les plus grosses gaffes dans ce domaine en 2019.
Dashlane propose une sorte de résumé des pires pratiques en matière de sécurité. Ce classement est important car si des entreprises comme Facebook et Google admettent que leurs pratiques en matière de mots de passe et de cybersécurité ne sont pas sécurisées, ce sont leurs utilisateurs qui en souffrent.
Le principal problème est l’effet papillon. Des informations d’identification divulguées en ligne peuvent provoquer au final un désastre chez un particulier. Pourquoi ? Si un pirate récupère des identifiants de connexion (nom d’utilisateur, adresse email et mot de passe) à partir d’une seule base de données compromise il peut les utiliser pour accéder à d’autres comptes.
Il n’y a pas que les entreprises qui commettent des erreurs. L’actrice Lisa Kudrow qui interprète Phoebe dans la série Friends a posté une photo sur Instagram qui montre son mot de passe sur Post-It.
Les données de Dashlane dévoilent qu’en moyenne, un internaute possède plus de 200 comptes en ligne, qui nécessitent normalement chacun un mot de passe différents ! Ce chiffre devrait doubler au cours des cinq prochaines.
A ce sujet Emmanuel Schalit, co-fondateur et CEO de Dashlane ajoute
« La corvée des mots de passe, la création, la récupération des comptes et la peur de ce qu’il faut faire après une atteinte à la protection des données d’une grande entreprise sont des préoccupations légitimes pour tous ceux qui utilisent Internet. Notre classement des plus mauvais comportements en matière de mots de passe est là pour vous rappeler chaque année à quel point il est facile de faire un faux pas sur le Web, peu importe votre statut. L’utilisation d’un gestionnaire de mots de passe comme Dashlane peut vous aider à vous protéger contre les pirates tout en rendant tout ce que vous faites en ligne plus facile. »
Dashlane, classement 2019 des plus mauvais comportements en matière de mot de passe !
Voilà le classement Dashlane 2019 des 10 plus mauvais comportements en matière de mots de passe, en commençant par le pire :
- Facebook.Lors d’incidents répétés plus tôt cette année, Facebook a admis avoir à la fois divulgué des mots de passe appartenant à des centaines de millions d’utilisateurs et violé la vie privée des utilisateurs en demandant les mots de passe électroniques des nouveaux utilisateurs et en recueillant des contacts sans consentement. Le géant de la technologie s’est attiré d’énormes problèmes en stockant les mots de passe des comptes en texte clair dans ses systèmes de stockage de données internes pendant des années, violant ainsi les bonnes pratiques de sécurité suivies par la plupart des entreprises et services pour protéger les données de leurs utilisateurs des regards indiscrets. Pire encore, plus tard cette année, l’entreprise a également laissé un serveur non protégé sans mot de passe, exposant les numéros de téléphone et les dossiers de plus de 400 millions d’utilisateurs. Pour une entreprise qui fait l’objet d’une surveillance accrue quant à sa (mauvaise) gestion des données et de la sécurité de ses utilisateurs, elle a certainement besoin d’un « poke ».
- Google.Pour ne pas être en reste face à l’échec de son confrère Facebook, Google a également avoué avoir accidentellement stocké les mots de passe d’une partie de ses utilisateurs G Suite en texte clair – depuis 2005. De tels « accidents » ont des implications majeures pour les plates-formes et leurs utilisateurs ; les brèches peuvent passer inaperçues pendant des années, de sorte qu’on ne sait jamais quand un compte peut avoir été exposé. Les mots de passe conservés en texte clair, ce qui veut dire non chiffrés, permettent aux cybercriminels d’accéder à de nombreux comptes d’utilisateurs et de faire des ravages dans leur vie numérique par la fraude par carte de crédit ou le vol d’identité.
- Lisa Kudrow.L’actrice s’en est tirée avec l’aide de ses « Friends » après avoir posté une photo sur Instagram de son écran d’ordinateur, qui contenait un article sur un rôle à venir, avec un Post-It et son mot de passe. Ses followers avisés ont immédiatement signalé l’erreur, incitant Lisa Kudrow à supprimer la photo et à partager une nouvelle version avec un autre Post-It en se moquant de son mauvais comportement en matière de mot de passe. Les célébrités ne sont pas les seules à devoir faire attention à ce qu’elles publient sur les réseaux sociaux ; prenez un moment avant de cliquer sur « publier » pour vous assurer de ne pas partager par inadvertance des informations sensibles ou personnellement identifiables dans un message.
- Le député Lance Gooden.Apparemment, le membre du Congrès Lance Gooden n’a pas tiré de leçons des erreurs de Kanye West, le n°1 de notre classement de l’an dernier, qui a déverrouillé son iPhone avec le mot de passe « 00000000 » lors de sa fameuse réunion à la Maison Blanche. Cette année, lors du témoignage télévisé de Mark Zuckerberg devant le Comité des services financiers de la Chambre, le représentant républicain du Texas a été filmé en utilisant « 77777777 » comme mot de passe. Il n’est pas la seule personne en politique à avoir commis, au fil des ans, des infractions passées liées aux mots de passe, dont beaucoup remettent en question la compréhension fondamentale de la sécurité par leurs représentants, élus ou nommés. En effet, il a été rapporté cette année qu’après que Rudy Guiliani ait été nommé conseiller en cybersécurité en 2017, il s’est rendu dans un Apple Store pour obtenir de l’aide pour déverrouiller son iPhone après avoir entré le mauvais mot de passe plus de 10 fois.
- WeWork.Alors que le débat fait rage sur la question de savoir si WeWork est, ou non, une entreprise de technologie, une chose est sûre : une entreprise tech ne devrait pas utiliser le même mot de passe non sécurisé pour l’ensemble de son réseau Wi-Fi au niveau mondial. Une histoire de Fast Company s’est ajoutée à la bonne part de controverses de WeWork cette année, soulignant à quel point leur mot de passe réseau est facile à deviner et à quel point il met les membres en danger.
- Elsevier.La maison d’édition à l’origine d’un grand nombre de revues scientifiques, techniques et médicales est un autre exemple de la tendance malheureuse de l’exposition des mots de passe en clair parmi les plus mauvais comportements de 2019. Elsevier a laissé un serveur ouvert au public en ligne, exposant les adresses électroniques et les mots de passe des utilisateurs des établissements d’enseignement et des universités du monde entier. Le serveur ouvert permettait également l’accès aux liens pour la réinitialisation de mot de passe, qui sont générés lorsque les utilisateurs demandent de changer leurs identifiants de connexion. Ces infractions d’Elsevier sont d’autant plus graves en raison de la question omniprésente de la réutilisation des mots de passe.
- Virgin Media UK.Ce que vous ne devriez pas faire après que l’on découvre que votre entreprise n’a pas stocké les mots de passe en toute sécurité ? Tweeter votre raisonnement très erroné. Après qu’un hacker éthique au Royaume-Uni ait oublié le login de son compte Virgin Media et ait demandé une réinitialisation de son mot de passe, il a reçu son mot de passe précédent par mail – un signe clair que l’entreprise ne chiffrait pas les mots de passe de ses utilisateurs. Le pirate s’est emparé de Twitter pour interpeler Virgin Media, qui a répondu : “Vous l’envoyer est sécurisé, car c’est illégal d’ouvrir le courrier de quelqu’un d’autre.” Matthew Hughes, journaliste à The Next Web, a alors répondu : “Oui, parce que les criminels n’enfreignent pas les lois, n’est-ce pas ? Selon cette logique, pourquoi devrais-je verrouiller ma porte d’entrée ? Après tout, le cambriolage est illégal. Et peut-être que, par extension, nous devrions nous débarrasser de la police, car c’est illégal d’enfreindre la loi.”
- Les traqueurs GPS par Shenzhen i365 Tech.Les traqueurs GPS conçus pour aider les parents à suivre leurs enfants les exposent au risque de voir leurs données de localisation en temps réel exposées à des étrangers, lorsque plus d’un demi-million d’utilisateurs se sont vus attribuer un mot de passe par défaut facile à pirater, « 123456 », pour leurs appareils. Un certain nombre de modèles de trackers présentaient des vulnérabilités qui permettaient à des tiers de falsifier l’emplacement d’un utilisateur ou d’accéder au microphone pour l’espionnage. Voilà pour le contrôle parental.
- Ellen DeGeneres.Bien que la réaction de l’animatrice américaine appréciée de talk-show à l’annonce d’une mauvaise blague sur le mot de passe à ses followers n’ait pas reçu le même tollé que lorsqu’elle avait assisté à un match de football avec un ancien président, elle invite tout de même à un rappel. N’utilisez pas ‘mot de passe’ comme mot de passe ! Après que l’Instagram d’Ellen DeGeneres ait été brièvement piraté pour offrir des cadeaux à ses followers, elle a partagé ses excuses dans un tweet en revenant sur cette mauvais pratique – ce qui n’est pas une blague : « Mon compte Instagram a été piraté hier soir (malgré mon mot de passe intelligent ‘mot de passe’) ».
- Ashleys.Une liste publiée par le National Cyber Security Centre du Royaume-Uni a révélé que le nom Ashley était le mot de passe le plus piraté, ce qui fait de quiconque l’utilisant devient le numéro 10 de cette année. N’utilisez jamais de mots de passe faciles à deviner ou qui contiennent des noms, des noms propres ou des choses que les gens peuvent facilement rechercher à votre sujet. Tous vos mots de passe doivent avoir plus de huit caractères et comprendre des lettres, des chiffres et des symboles aléatoires. Mieux encore, utilisez un générateur de mots de passe pour les créer pour vous.