Les pirates récoltent, utilisent et vendent les mots de passe des entreprises et des particuliers afin d'obtenir des récompenses financières, de nuire à la réputation, de voler la propriété intellectuelle ou de mener d'autres activités illégales.

Il faut adopter des bons réflexes concernant les mots de passes que ce soit dans l'utilisation privée ou professionnelle, voici une liste non-exhaustive.

Cette situation est due en grande partie au manque d'éducation des employés et à la négligence des entreprises. Au sein de votre organisation, préconisez un effort concerté, à l'échelle de l'entreprise, en matière de sécurité et de protection des mots de passe.

11 bonnes pratiques en matière de sécurité des mots de passe

1- Mots de passe uniques pour chaque compte

Utilisez des mots de passe différents pour chaque compte, de sorte que si l'un d'entre eux est compromis, les autres ne le soient pas. Cela permet d'éviter les attaques de type "credential-stuffing", où les pirates utilisent des identifiants volés sur d'autres plateformes communes dans l'espoir d'y pénétrer.

2-Caractères et symboles au lieu de lettres

Des phrases utilisant des symboles tels qu'un smiley " :)" au lieu du mot "heureux", ou remplaçant le mot "à" par le chiffre "2". L'utilisation de caractères et de symboles à la place de lettres peut rendre votre mot de passe plus difficile à deviner pour les pirates informatiques ou les techniques d'attaque par force brute.

3-Passphrases

L'une des meilleures pratiques en matière de sécurité des mots de passe consiste à utiliser des phrases de passe composées de mots qui ne vont normalement pas ensemble, plutôt que des mots de passe à longs caractères faciles à oublier. Des mots de passe tels que "chiot avion mangeant une banane" sont plus faciles à mémoriser et moins susceptibles d'être piratés que "chiot courant dans le jardin".

Utilisez au moins quatre mots dans votre phrase de passe tout en respectant le point 2 (Caractères et symboles).

4-Au moins 12 caractères

Pour une sécurité optimale des mots de passe, nos meilleures pratiques recommandent d'utiliser au moins douze caractères interchangeables (minuscules, majuscules, symboles et chiffres) dans votre mot de passe, que vous utilisiez ou non une phrase de passe. La longueur du mot de passe est plus importante pour la sécurité que l'utilisation de chiffres, de caractères ou de symboles. La longueur du mot de passe est un indicateur majeur du temps qu'il faudra à un mot de passe pour être déchiffré par une attaque par force brute ou par un autre algorithme de piratage de mot de passe.

5-Analyser la force du mot de passe

Vérifiez toujours la force de votre mot de passe. La plupart des sites proposent un analyseur de mot de passe qui indique la force ou la faiblesse de votre mot de passe. Prêtez attention aux résultats de l'analyseur et modifiez votre mot de passe en conséquence pour le rendre plus fort.

Nexcess propose un outil unique de génération de mots de passe qui vous permet de créer des mots de passe compliqués, de générer des phrases de passe ou même de vérifier la force de vos mots de passe existants facilement et en toute sécurité, le lien ci-dessous:

=> Nexcess: Random password generator

6-Changer de mot de passe tous les trimestres

Les mots de passe peuvent toujours être devinés ou craqués si l'on dispose de suffisamment de temps. C'est pourquoi vous devez changer votre mot de passe tous les 60 à 90 jours pour les comptes d'utilisateur surtout dans les entreprises. Cela permet de s'assurer que les pirates qui utilisent l'ingénierie sociale, la force brute et le credential-stuffing ne peuvent pas utiliser vos anciens mots de passe pour accéder à vos systèmes ou à vos données.

Bien évidemment dans la pratique, il est parfois très difficile de se rappeler tous les mots de passes mais encore plus compliqué les dates pour les changer. Dans les sociétés, il y a des polices mises en place automatiquement pour rappeler et forcer le changement de mot de passe.

7-Activer l'authentification à deux facteurs

Utilisez l'authentification à deux facteurs (2FA), également connue sous le nom d'authentification multifactorielle. Il s'agit d'une méthode d'authentification basée sur un texte ou une application qui permet de vérifier votre identité avant l'accès. Même si un pirate informatique obtient votre mot de passe d'une manière ou d'une autre, il ne pourra pas accéder à vos systèmes s'il n'a pas également accès à votre téléphone ou à votre boite mail par exemple.

8-Utiliser un gestionnaire de mots de passe

Enfin, optez pour un gestionnaire de mots de passe.

Les gestionnaires de mots de passe utilisent plusieurs formes de chiffrement pour s'assurer que vos mots de passe sont encore plus difficiles à déchiffrer et vous permettent de ne retenir qu'un seul mot de passe. Les phrases de passe sont parfaites pour être utilisées comme mot de passe principal dans votre gestionnaire de mots de passe, puis vous pouvez utiliser des mots de passe extrêmement difficiles pour vos autres comptes d'utilisateur et systèmes.

9- Vérifier vos identifiants contre les les fuites de données

Une autre bonne pratique en matière de sécurité des mots de passe consiste à utiliser un outil de sécurité tel que Have I Been Pwned pour vérifier si vos informations d'identification ont été incluses dans des violations de données récentes à l'échelle mondiale. Cela vous permet de prendre des décisions éclairées sur les mots de passe qui doivent être modifiés immédiatement.

Un article complet a été fait sur notre blog BE-HACKTIVE:

=> Suis-je victime des fuites de données ?

10-Ne jamais utiliser d'informations personnelles dans un mot de passe

N'utilisez jamais votre prénom, votre nom de famille, votre âge, votre anniversaire, votre numéro de téléphone, votre adresse, votre compte bancaire ou toute autre information personnelle sensible dans votre mot de passe. N'utilisez même pas le nom de votre chien ou votre lieu de voyage préféré. La plupart de ces informations sont disponibles sur votre compte Facebook ou autre site/réseau social et donc sont accessibles pour les attaquants.

11-Gardez vos mots de passe confidentiels

En bref, ne partagez pas vos mots de passe. C'est particulièrement vrai lorsque quelqu'un entame une conversation avec vous et vous demande votre mot de passe mais aussi un proche qui vous demande des accès à vos comptes.

En général, gardez votre mot de passe aussi confidentiel que votre code PIN bancaire. C'est aussi important que cela.

Bonnes pratiques pour les équipes IT

Lorsque vous êtes en charge de l'implémentation des règles de mots de passe dans votre équipe IT, il est bien de garder en tête les points suivants:

• Limiter les tentatives de connexion incorrectes à 5 ou moins

• Autoriser les mots de passe de 64 caractères ou plus, plutôt que de limiter la longueur à 8 ou 12 caractères.

• Mettre en place une authentification multifactorielle. L'authentification multifactorielle ou à deux facteurs empêche les attaquants d'accéder à vos portails ou à votre réseau après avoir déchiffré de simples mots de passe.

• Déployer un logiciel de gestion des accès privilégiés pour les employés ayant accès à des données sensibles.

• Veiller à ce que votre organisation utilise des solutions anti-malware et de gestion des vulnérabilités à jour.

• Adopter la pratique consistant à changer les mots de passe des comptes de l'entreprise lorsqu'un employé quitte l'entreprise.

• Éviter les connexions aux comptes en tant que "root" ou "administrator". Utiliser votre propre login et changer d'utilisateur (SUDO) ou "runas" afin d'exécuter les commandes d'administration.

• Envisager de désactiver l'accès des comptes "root" ou "administrator".

• Mettre en place des audits de mots de passe. Vérifier que vos employés respectent la politique de sécurité des mots de passe de l'organisation. Un audit contrôlera les modifications apportées aux mots de passe afin d'en assurer la conformité. Il permettra également de mettre en évidence et de corriger les points d'accès faibles.

• Envoyer aux employés des rappels sur les meilleures pratiques en matière de mots de passe. Les employés ont généralement de bonnes intentions, mais ils peuvent oublier de mettre à jour leurs mots de passe ou de se conformer à la politique de l'organisation en matière de mots de passe.

• Envoyer aux employés des notifications par courrier électronique leur rappelant les politiques, les meilleures pratiques et la nécessité d'effectuer une rotation des mots de passe avant leur expiration.

• Proposer des sessions d'entrainement sur les meilleurs pratiques en matière de mots de passe.

Points de contact

Belgique

• Le CCB (Centre pour la Cybersécurité Belgique) a mis en place une adresse mail

  suspect@safeonweb.be pour signaler volontairement les mails de phishing.

• Le SPF Economie a mis en place un point de contact pour toutes les fraudes, tromperies, arnaques et escroqueries via le lient suivant: https://pointdecontact.belgique.be/meldpunt/fr/bienvenue

France

Cybermalveillance

Le gouvernement français à mis en place le site suivant:

• Cybermalveillance.gouv.fr a pour missions d'assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybercriminalité, de les informer sur les menaces numériques et les moyens de s'en protéger.