Les employés de Twitter et les utilisateurs de Zoom, mais également Experian, Nintendo et Marriott, figurent dans cette 5ème édition publiée par Dashlane.
Le numérique ayant pris une place prépondérante dans notre quotidien, Dashlane dresse la liste des entreprises et organisations qui ont commis les plus grands faux-pas en matière de mots de passe durant cette année de pandémie 2020.
Plus que jamais, les réseaux sociaux nous ont permis de rester connectés pendant la crise sanitaire. Mais il y a un revers à cette médaille : le manque de sécurité. Twitter et Zoom, qui occupent la tête du classement, ont par exemple facilité la tâche des pirates informatiques en permettant à leurs salariés et leurs utilisateurs d'employer des mots de passe faibles. Ailleurs, d'autres grands noms dans le secteur du tourisme, des jeux vidéo et de la livraison à domicile ont aussi été victimes de cybercriminels.
Chaque base de données compromise présente un risque de réaction en chaîne. En effet, quand un pirate récupère votre identifiant (pseudonyme ou adresse e-mail) et votre mot de passe, il peut utiliser ces informations pour tenter d'accéder à d'autres comptes.
Chaque année, cette liste des pires élèves vise à rappeler que les écueils sont nombreux sur Internet, même quand on pense avoir un niveau de protection suffisant. D'après une étude réalisée par Dashlane, chaque internaute possède en moyenne 200 comptes protégés par un mot de passe et ce chiffre devrait doubler au cours des cinq prochaines années.
« Le numérique est plus que jamais important dans notre quotidien, mais il faut rester très vigilants en ce qui concerne la sécurité. Il faut respecter les bonnes pratiques, tant en matière de mots de passe que de cyberprotection », explique Jay Leaf-Clark, directeur informatique de Dashlane. « En utilisant un gestionnaire de mots de passe comme Dashlane pour sécuriser vos informations professionnelles et personnelles, vous pourrez vous éviter bien des tracas dans l'éventualité d'une faille ou d'une fuite de données. »
Classement Dashlane des « pires élèves en matière de mots de passe » en 2020, en commençant par le plus mauvais
1/ Les employés de Twitter : En juillet, une poignée de salariés de l'entreprise se sont laissé prendre par une technique de piratage vieille comme le monde : le phishing (ou hameçonnage). Cette attaque, perpétrée par un lycéen de 17 ans résidant en Floride, a convaincu plusieurs employés de Twitter de « réinitialiser leurs mots de passe » sur un site factice qui, en plus de recueillir leurs identifiants de connexion, a également extrait les codes utilisés pour l'authentification multifacteur. Grâce à ces données, 130 comptes vérifiés, parmi lesquels ceux de Barack Obama, Elon Musk, Bill Gates et Joe Biden, ont été utilisés pour publier des arnaques à base de bitcoins. Chez Twitter, ce fut le branlebas de combat pour identifier l'origine de la faille et la contenir. La solution choisie ? Demander à ses milliers d'employés de changer manuellement (et sous surveillance) leurs mots de passe. Vraiment, en matière de gestion des mots de passe, on peut faire beaucoup plus simple.
2/ Les utilisateurs de Zoom : En avril, alors que le monde découvrait les joies du télétravail et des visioconférences interminables, des pirates publiaient sur le dark Web une liste d'un demi-million d'identifiants Zoom à vendre. Pour récupérer ces données, les criminels ont combiné plusieurs méthodes, comme les attaques par credential stuffing et l'utilisation de bots. Cela leur a permis d'accéder aux comptes Zoom « protégés » par un mot de passe faible (mettant potentiellement en danger tous les comptes réutilisant un de ces identifiants compromis). La leçon à tirer de cette faille ? Il est essentiel de toujours utiliser des mots de passe forts et uniques pour contenir les dégâts.
3/ EasyJet : La compagnie aérienne EasyJet propose des vols low-cost, mais ces tarifs peu élevés ont un coût : la fuite de vos données personnelles. En effet, une attaque a permis à des pirates de mettre la main sur de nombreuses données détenues par l'entreprise britannique, à savoir 9 millions d'adresses e-mail et d'itinéraires, mais aussi les informations de carte bancaire de 2 000 clients. Le pire dans tout ça ? L'entreprise EasyJet a déclaré à la BBC qu'elle avait identifié cette faille en janvier, mais les clients dont les informations bancaires ont été dérobées ne l'ont appris qu'en avril.
4/ Experian : Déjà présent dans ce classement en 2017, le plus grand bureau de crédit au monde a commis un faux pas majeur en transmettant des informations personnelles à un pirate se faisant passer pour un client. On estime que cette cyberattaque dans sa filiale sud-africaine a directement impacté 24 millions de particuliers et 800 000 entreprises dans le pays : autant de victimes qui ont payé les pots cassés de cette Experian-ce désastreuse.
5/ Marriott : Starwood, société mère de la chaîne d'hôtels Marriott, a déjà été victime d'une faille en 2018. En janvier 2020, une nouvelle cyberattaque a cette fois-ci touché 5,2 millions de clients de Marriott. La raison de ce désastre ? Des identifiants compromis au sein du personnel de Marriott. On ne le dira jamais assez : utiliser des mots de passe forts et uniques est indispensable, dans le travail comme partout ailleurs.
6/ Les joueurs Nintendo : Ceux qui ont choisi les jeux vidéo pour se consoler lors du confinement ont fait face à un bug pour le moins inattendu. En effet, 300 000 joueurs Nintendo ont vu leur compte piraté. Les malfaiteurs ont combiné attaques par credential stuffing et par force brute, ce qui n'a laissé aucune chance aux comptes qui employaient des mots de passe faibles ou réutilisés. Clairement, Nintendo doit revoir son niveau de protection.
7/ Home Chef : Face à la pandémie, des millions d'Américains se sont tournés vers la société Home Chef, qui livre des repas à faire soi-même, pour changer leurs habitudes culinaires. Mais tout a tourné au vinaigre lorsque les données de 8 millions d'entre eux se sont retrouvées en vente sur le dark Web. Home Chef n'est pas la seule entreprise qui a fini dans le pétrin cette année : 250 000 utilisateurs d'Instacart, un service similaire, ont vu leurs identifiants connaître le même sort.
8/ Zoosk : Pour faire des rencontres, il faut s'aventurer vers de nouveaux horizons... mais c'est quand même mieux de ne pas finir sur le dark Web. Zoosk, un service de rencontre en ligne, a été victime d'une cyberattaque au mois de mai. Résultat ? Plus de 200 millions de dossiers personnels d'utilisateurs (comprenant des informations comme le sexe et la date de naissance) ont été compromis.
9/ Minted : Ce service, qui propose aux artistes de vendre leurs créations papier, a laissé filer les informations personnelles de quelque 5 millions d'utilisateurs. La leçon ? Lorsque vous créez un compte, surtout si vous ne comptez pas l'utiliser souvent, utilisez un générateur de mots de passe pour assurer votre sécurité (et un gestionnaire pour tout mémoriser à votre place).
10/ Les spéculateurs : Des milliers de clients de l'application Robinhood ont été victimes d'une cyberattaque en octobre. Les pirates ont pu accéder aux comptes et vider les liquidités qui s'y trouvaient. Plutôt que se pencher sur son infrastructure, cette société de courtage en ligne a pointé du doigt ses utilisateurs, qui auraient selon elle continué à utiliser des identifiants déjà compromis par le passé. Pourtant, certains clients affirment que leur adresse e-mail ne montre aucun signe de compromission. Qu'importe le coupable, une chose est sûre : rien n'est pire que de perdre son petit bas de laine.
Faites plutôt partie des bons élèves
On peut tous apprendre des erreurs des autres, comme le président des États-Unis qui aurait apparemment utilisé le simplissime mot de passe maga2020! pour son compte Twitter. Pour faire partie des bons élèves, il suffit de suivre ces bonnes pratiques :
- Utiliser un mot de passe aléatoire et distinct pour chaque compte. La réutilisation des mots de passe est un vrai fléau. Pourtant, cela ne vous viendrait jamais à l'esprit d'utiliser la même clé pour votre voiture et votre logement. Pas vrai ? Si vous réutilisez vos mots de passe, il suffit d'une faille pour que toutes vos données soient à la merci des pirates. La seule protection qui vaille, c'est d'utiliser un mot de passe aléatoire et distinct pour chaque compte. Rien n'est plus sûr que de laisser faire le hasard !
- Activer la double authentification (2FA). La double authentification (ou 2FA) permet d'ajouter un second niveau de sécurité lors de la connexion. Cette fonction vous demandera de vérifier votre identité en utilisant deux éléments parmi ces trois possibilités : un code que vous connaissez (mot de passe, code PIN, code postal, etc.) ; un attribut physique (reconnaissance faciale, empreinte digitale, scanner de la rétine, etc.) ; un objet que vous détenez (une carte à puce, votre smartphone, etc.). La plupart des applications et sites Web vous enverront un e-mail ou un code par SMS pour vérifier votre identité.
- Utiliser dès maintenant un gestionnaire de mots de passe. Pour en finir avec les « méthodes » artisanales (carnet, Post-it, fichier Excel, etc.), optez pour un véritable outil de gestion des mots de passe. Il gérera à votre place tous vos mots de passe complexes et uniques, vous connectera automatiquement à tous vos comptes et saisira vos coordonnées et données de paiement dans les formulaires de façon sécurisée.
- Activer les alertes de sécurité. En cas de données compromises, Dashlane vous indique immédiatement comment réagir. En activant la nouvelle fonction Alertes de sécurité de Dashlane, vous recevrez une alerte si vos données se retrouvent sur le dark Web : nous opérons une surveillance en continu pour identifier toute faille qui pourrait se présenter à l'avenir.