Oui, avoir le même mot de passe pour plusieurs services facilite la vie. Mais malheureusement, cette pratique met vos comptes en danger.

Difficile de faire plus énervant que d’oublier son mot de passe. Certes, il est le plus souvent possible de le réinitialiser en quelques clics, mais la manipulation finit toujours par être laborieuse : un coup l’email de réinitialisation n’arrive pas dans votre messagerie, un coup le site refuse votre nouveau mot de passe, car vous l’auriez déjà utilisé, une autre fois vous ne vous rappelez plus de quelle adresse email vous avez lié au compte.

Pour résoudre ce problème, vous avez peut-être trouvé une « solution » facile, confortable, qu’au fond de vous, vous savez mauvaise : utiliser le même mot de passe, partout. Allez, pour la bonne conscience, vous avez tout de même créé des variantes de ce mot de passe en ajoutant un chiffre, une majuscule, ou un point d’exclamation.

Vous savez sûrement que c’est une mauvaise pratique, mais savez-vous à quels dangers vous vous exposez ?

La réutilisation de mots de passe alimente tout un pan de la cybercriminalité. // Source : Louise Audry pour Numerama

Ne mettez pas vos œufs dans le même panier

Utiliser un même mot de passe revient à mettre tous ses œufs dans le même panier, et à multiplier les risques que ce panier soit accessible. Des dizaines de fuites de données sont rendues publiques chaque semaine, et ce n’est que la face cachée de l’iceberg. Les entreprises ne communiquent pas toutes sur leurs fuites, loin de là, et d’ailleurs, certaines ne savent même pas qu’elles sont victimes d’une fuite.

Êtes-vous déjà passé sur Have I Been Pwned, le site qui recense les fuites de données les plus connues ? Il vous suffit de renseigner votre adresse email pour savoir dans quelles bases de données fuitées se trouve votre adresse email, et si votre mot de passe fait partie des données compromises. Si c’est le cas, considérez ce mot de passe comme inutilisable à jamais, et changez-le partout où vous l’utilisez encore. Des dizaines, peut-être des centaines de personnes malintentionnées vont essayer de s’en servir pour se connecter à vos différents comptes (s’ils ne l’ont pas déjà fait).

Et pour cause : tout un pan de la cybercriminalité s’articule autour de la réutilisation de mot de passe. Au centre de ce business accessible par le menu fretin de la cybercriminalité se trouve les combo listes. Ces fichiers agrègent des identifiants (des duos email/mots de passe) trouvés sur différentes bases de données volées et les présentent sous forme de liste. Les combo listes se vendent pour quelques dizaines, voir centaines de dollars selon la quantité d’identifiants qu’elles contiennent, et si elles sont plus ou moins récentes.

Une seule fuite peut compromettre tous vos comptes

Prenons un exemple. Pierrot Numera a défini pour son compte Instagram le mot de passe « PieRRot!91RPZ », lié à son adresse email pierrot.numera@gmail.com. Ce mot de passe n’est pas très fort, mais il est suffisamment complexe pour qu’un malfaiteur ne puisse pas simplement le deviner.

Le problème, c’est que Pierrot est aussi inscrit à un petit forum de cuisine vieillissant, cuistot-a-gogo.fr, avec le même duo d’identifiant email/mot de passe. Ce forum de cuisine est tenu par un amateur passionné, qui n’a ni les compétences ni le temps de tenir son site à jour et de payer pour des protections supplémentaires.

Tout va bien pendant deux ans, mais un jour, toute la base de données du forum, mal protégée, se fait pirater par un hacker qui passait par là. Le malfaiteur n’a eu qu’à exploiter une vulnérabilité bien connue, à l’aide d’un outil obtenu gratuitement, puisque le propriétaire du site ne mettait pas ses logiciels à jour. Dans la base de données dérobée se trouvent le mot de passe et l’adresse email de tous les utilisateurs, dont ceux de Pierrot.

À partir de là, le cybercriminel peut exploiter les données à son propre compte ou les revendre sur des forums. C’est ici que la réutilisation des mots de passe devient problématique. Les malfrats vont essayer les duos d’identifiants de la fuite sur toutes sortes de sites. Concrètement, ils vont rentrer pierrot.numera@gmail.com et PieRRot!91RPZ sur LinkedIn, Facebook, Instagram, PayPal, Steam ou encore Amazon : des comptes sur lesquels ils espèrent récupérer les données personnelles et les coordonnées bancaires de Pierrot. Se faisant, ils misent sur le fait que Pierrot réutilise ses identifiants.

Justement, puisque Pierrot réutilise les identifiants de cuistot-a-gogo.fr sur Instagram, et qu’il n’a pas activé la double authentification, les malfaiteurs vont mettre la main sur son compte. Ils l’utiliseront ensuite pour dérober toutes sortes de données et conversations personnelles, mais aussi pour envoyer des phishings à ses abonnés. Pierrot a donc perdu son compte Instagram à cause de la mauvaise protection… d’un forum de cuisine. Mais les petits sites ne sont pas les seuls à être victimes de failles : le réseau social LinkedIn a par exemple subi une fuite des mots de passe de ses utilisateurs au début des années 2010.

Pourtant Pierrot aurait pu facilement se protéger contre ces tentatives des cybercriminels : il lui aurait suffi de définir un mot de passe différent pour Instagram et pour le forum de cuisine. Alors, ne soyez pas comme Pierrot, utilisez un mot de passe différent pour chacun de vos comptes (même si oui, ce n’est pas toujours pratique).

Crédit photo de la une : Illustration par Lucie Benoit pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux