Voici la seconde partie de la liste du rapport Dashlane sur les gaffes, et les bévues, ayant mis à mal la sécurité des données de leurs utilisateurs, ou divulgué des informations par inadvertance. C’est édifiant quant à la nonchalance avec laquelle certaines entreprises traitent nos données confidentielles.
Dashlane, l’éditeur de gestionnaire de mots de passe et de porte-monnaie numérique, a eu la bonne idée de compiler les plus grosses gaffes ayant entraîné une mise à mal des barrières de sécurité numérique ou un comportement à risque ayant entraîné la divulgation d’informations confidentielles.
Les données récoltées par Dashlane « montrent qu’en moyenne, un internaute possède plus de 200 comptes en ligne, qui nécessitent chacun un mot de passe. Ce chiffre devrait doubler au cours des cinq prochaines années pour atteindre 400 comptes », prédit le rapport. Cela paraît beaucoup, mais, pas tant que ça si l’on considère les innombrables comptes inactifs que nous ouvrons pour une occasion et auxquels nous ne revenons plus jamais. Dans tous les cas, que le compte soit actifs ou pas, ces prestataires du web stockent nos données quelle que soit leur durée de validité.
Voici, dans cette seconde partie, la suite et la fin du classement Dashlane 2019 des plus mauvais comportements en matière de mots de passe.
Elsevier : Journées portes ouvertes
Dans la pléthore de serveurs, systèmes et sous-systèmes que doit gérer une entreprise, il arrive souvent qu’un serveur, oublié de tous dans un coin, constitue une porte grande ouverte vers l’extérieur. Une invitation à rentrer pour les pirates. C’est ce qui est arrivé à Elsevier, la maison d'édition néerlandaise à l'origine d'un grand nombre de revues scientifiques, techniques et médicales.
L’éditeur a laissé un serveur connecté ouvert vers l’extérieur à cause d’une erreur de configuration, exposant ainsi les adresses électroniques et les mots de passe des utilisateurs des établissements d'enseignement et des universités du monde entier. Et pour bien faire, le serveur permettait également l'accès aux fonctions permettant de réinitialiser les mots de passe, qui sont générés lorsque les utilisateurs demandent de changer leurs identifiants de connexion.
Virgin Media UK : Persiste et signe… dans la bêtise
Lorsqu’un utilisateur au Royaume-Uni, ayant perdu son mot de passe d’accès à Virgin Media, a demandé de le réinitialiser, il a eu la grande surprise de recevoir celui-ci via email et… en clair. Voyant cela, l’utilisateur, qui s’avèrera être un hacker éthique, comprend de suite que la compagnie ne chiffre pas les mots de passe de ses utilisateurs. N’écoutant que son éthique, il interpelle Virgin Media sur Twitter. Mais aussi hallucinant que cela a pu lui paraître, l’entreprise s’est défendue, ou plutôt enfoncée, via le même média avec un argument dont nous n’arrivons pas à déterminer si c’est de la mauvaise foi ou de l’incompétence. « Vous l'envoyer est sécurisé, car c'est illégal d'ouvrir le courrier de quelqu'un d'autre », a répondu le préposé de Virgin Media. Comme si le seul fait que ce soit interdit était une assurance anti-vol.
C’est ce qu’a remarqué Matthew Hughes, journaliste à The Next Web, qui a alors répondu malicieusement : « Oui, parce que les criminels n'enfreignent pas les lois, n'est-ce pas ? Selon cette logique, pourquoi devrais-je verrouiller ma porte d'entrée ? Après tout, le cambriolage est illégal. Et peut-être que, par extension, nous devrions nous débarrasser de la police, car c'est illégal d'enfreindre la loi ».
Traqueurs GPS de Shenzhen i365 Tech : Le pisteur pisté
Les objets connectés sont largement critiqués pour leur manque de sécurité et constituent par conséquent des cibles privilégiées pour les pirates. Ils sont généralement livrés avec des mots de passe générique, destinés à être modifiés à la première utilisation. Mais beaucoup d’utilisateurs ne le font pas, comme c’est arrivé à environ 600 000 utilisateurs de traqueurs GPS de la société chinoise Shenzhen i365 Tech. Conçus pour permettre aux parents de localiser leurs enfants, ces GPS avaient pour mot de passe « 123 456 », une séquence bien connue des indolents de la cybersécurité.
Outre le fait d’exposer au grand jour les données de localisation en temps réel, un certain nombre de traqueurs présentaient aussi des vulnérabilités qui permettaient à des tiers de falsifier l’emplacement d’un utilisateur ou d’accéder au microphone du GPS pour espionnage.
Ellen DeGeneres : Un mot de passe-partout
Les célébrités font partie des cibles privilégiées des pirates. Elles cumulent les avantages de possibles gains conséquents et dans le même temps leur expertise du numérique ne dépasse généralement pas celle d’un utilisateur moyen. De plus, leurs followers deviennent des cibles faciles pour l’hameçonnage et la propagation de maliciels.
La célèbre présentatrice américaine de talk-show s’est ainsi réveillée un matin pour découvrir que son compte Twitter a été piraté et qu’elle offre des cadeaux mirobolants à ses fans (2000 iPhone, 1000 Mac Book, 900 Apple Watch et 30 voitures Tesla). Flairant l’arnaque, des fans perspicaces préviennent la présentatrice, qui s’est fendue d’un tweet sous forme de rappel et d’excuse, le tout accompagné d’une exquise pointe d’autodérision : « Mon compte Instagram a été piraté hier soir (malgré mon mot de passe intelligent “mot de passe”) ».
Ashley : Je ne veux pas être une statistique !
Dans la liste des mots de passe les plus piratés, publiée par le National Cyber Security Centre du Royaume-Uni, le prénom Ashley figure en première place. Quiconque l’utilise est sous la menace d’une intrusion et finira tôt ou tard par faire partie des statistiques. N’utilisez jamais de mots de passe qui relèvent de votre environnement (les prénoms de vos enfants ou de votre animal de compagnie). Tous les mots qui peuvent être liés à vous seront facilement devinés ou trouvés sur les réseaux sociaux.
La gestion des mots de passe est la première étape de la sécurisation d’un système. Choisissez-les longs variés et sans aucun lien avec vous ou votre environnement (familial, professionnel…). En fin de compte, le recours à un gestionnaire de mots de passe s’avère être la solution idéale pour qui veut gérer de manière sécurisée ses mots de passe.
Source : Dashlane