Voici la première partie d’un rapport de Dashlane sur les gaffes, et les fautes, ayant mis à mal la sécurité des données de leurs utilisateurs, ou divulgué des informations par inadvertance. C’est édifiant quant à la nonchalance avec laquelle certaines entreprises traitent nos données confidentielles.

Pour déroger aux traditionnels articles de fond, souvent anxiogènes, sur la sécurité, voici un classement des gaffes les plus retentissantes ayant mis à mal la sécurité d’un utilisateur ou de millions de clients d’une firme. Après tout c’est la trêve des confiseurs, un moment propice pour faire le bilan de l’année, gaffes comprises.

Réalisé par Dashlane, l’éditeur de gestionnaire de mots de passe et de porte-monnaie numérique, le classement s’intéresse aux personnalités et aux entreprises les plus en vue, car il est beaucoup plus rassurant, de voir les ratés des puissants, célébrités et entreprises confondues. Cependant, si l’on peut rire des gaffes de personnalités, il est beaucoup plus inquiétant de voir de grandes firmes traiter les données de millions d’utilisateurs avec autant de légèreté.

« Lorsque des entreprises comme Facebook et Google (qui occupent respectivement la 1ère et la 2e place sur notre liste cette année) admettent que leurs pratiques en matière de mots de passe et de cybersécurité ne sont pas sécurisées, ce sont leurs utilisateurs qui en souffrent, notamment lorsque des informations d’identification sont divulguées en ligne », explique le rapport.

Voici, dans cette première partie, le classement Dashlane 2019 des 10 plus mauvais comportements en matière de mots de passe, en commençant par les pires.

1Facebook : « I think I did it again »

Lors d’incidents répétés plus tôt cette année, Facebook a admis avoir à la fois divulgué des mots de passe appartenant à des centaines de millions d’utilisateurs et violé la vie privée des utilisateurs en demandant les mots de passe électroniques des nouveaux utilisateurs et en recueillant des contacts sans consentement. Le géant de la technologie a stocké les mots de passe des comptes en clair dans ses systèmes de stockage internes pendant des années, violant ainsi les bonnes pratiques de sécurité.

Pire encore, plus tard cette année, l’entreprise a également laissé un serveur non protégé, sans mot de passe, exposant les numéros de téléphone et les dossiers de plus de 400 millions d’utilisateurs. « Pour une entreprise qui fait l’objet d’une surveillance accrue quant à sa (mauvaise) gestion des données et de la sécurité de ses utilisateurs, elle a certainement besoin d’un “poke” », commente malicieusement le rapport.

2Google : le droit à la bêtise

En mai dernier, Google avouait honteusement avoir laissé « accidentellement » traîner un bug dans une ancienne application de G Suite, ayant eu pour conséquence le stockage en clair des mots de passe de millions d’utilisateurs, et ce, pendant près de… 14 ans, de 2005 à 2019. Que la société « oublie » une application gruyère est concevable, mais stocker des mots de passe en clair, c’est de la provocation.

« De tels “accidents” ont des implications majeures pour les plates-formes et leurs utilisateurs ; les brèches peuvent passer inaperçues pendant des années, de sorte qu’on ne sait jamais quand un compte peut avoir été exposé », se lamente le rapport. Ce genre de « gaffes » est une aubaine pour les cybercriminels et se trouve à la base des fraudes à la carte de crédit et du vol d’identité.

3Lisa Kudrow : la mère des gaffes

L’actrice Lisa Kudrow, l’original personnage de Phoebe dans la série Friends, a fait une gaffe que des millions de personnes avant elle ont faite. Sans doute dans un excès d’enthousiasme, l’actrice a posté une photo de son écran d’ordinateur sur Instagram. Voulant montrer à ses fans un article sur un futur rôle, elle a du même coup dévoilé son mot de passe, bien visible sur un post-it collé à l’écran. Alertée par ses suiveurs, l’actrice a vite changé la photo et fait passer sa gaffe avec un peu d’autodérision. « Prenez un moment avant de cliquer sur “publier” pour vous assurer de ne pas partager par inadvertance des informations sensibles ou qui vous identifient en tant que personne », conseille le rapport.

4Le député Lance Gooden : cyber-quoi ?

Ce qui est excusable pour un particulier l’est beaucoup moins pour un élu de la république, états-unienne en l’occurrence. Faisant partie de commissions de contrôle de l’action du gouvernement, ces élus ont accès à des données confidentielles et rien que leur carnet d’adresses peut être une mine d’infos pour qui ça intéresse.

C’est ainsi que le vénérable Lance Gooden, membre du Congrès américain, a été filmé, et vu par des millions de téléspectateurs, utilisant « 77777777 » comme mot de passe, durant le témoignage télévisé de Mark Zuckerberg devant le Comité des services financiers de la Chambre.

« Apparemment, le membre du Congrès Lance Gooden n’a pas tiré de leçons des erreurs de Kanye West, le n° 1 de notre classement de l’an dernier, qui a déverrouillé son iPhone avec le mot de passe “00000000” », lors de sa fameuse visite au bureau ovale à son idole, Donald Trump.

5WeWork: We-Stupid !

Que dire d’une entreprise d’envergure mondiale, née et biberonnée au numérique et qui utilise le même mot de passe wifi sur tous ses sites dans le monde ? Lorsqu’on sait que ces réseaux servent d’accès à des millions d’entrepreneurs et de travailleurs mobiles, on ne peut qu’être consternés. Et le débat de savoir si WeWork est une entreprise technologique ou pas est nul et non avenu dans le cas qui nous occupe, car la faute est si grossière que n’importe quelle entreprise, techno native ou pas, devrait connaître les bonnes pratiques en matière de mots de passe.

Source : Dashlane