+33 5 56 75 57 78 contact@circe-informatique.com

Les attaques informatiques contre les entreprises et plus particulièrement contre les TPE PME peuvent mettre en péril les données personnelles, confidentielles et stratégiques possédées par les sociétés. S’informer, se former et mettre en place des actions pour se prémunir de la cybercriminalité est indispensable.

tableau comparatif des mots de passe

clicquer sur l’image pour l’agrandir

POURQUOI NOUS SENTONS NOUS MENACES?

Nous ne nous soucions pas de la sécurité de nos mots de passe lorsque nous pensons ne pas être une cible suffisamment intéressante pour attirer l’attention des cybercriminels. Par conséquent, nous conservons nos mots de passe n’importe comment : 22 % des utilisateurs notent leurs mots de passe dans un calepin, et 11 % l’écrivent juste sur un bout de papier ou un post-it qu’ils conservent près de leur ordinateur.

Nous supposons que les criminels ne s’intéressent qu’aux « gros poissons », tels que les serveurs bancaires ou les comptes de stars hollywoodiennes. Malheureusement pour nous, ce n’est pas toujours le cas. C’est la raison pour laquelle nous n’aimons pas perdre de temps à créer des mots de passe complexes et que nous finissons par utiliser des combinaisons de caractères simples ou très simples. Craquer cette sorte de mots de passe est très simple. Toutefois, même si nous avons la volonté de créer un mot de passe complexe, nous ne savons pas toujours comment créer un mot de passe dont on puisse se rappeler et qui soit en même temps suffisamment complexe pour protéger nos données. Très fréquemment nous n’arrivons pas à comprendre pourquoi un ancien mot de passe fiable— utilisé pour un compte e-mail professionnel, par exemple— ne peut pas être utilisé ailleurs. Après tout, il restera tout aussi difficile à craquer. À propos, concernant les failles de sécurité : généralement on ne s’inquiète pas quand quelqu’un essaie de craquer nos mots de passe. Nous estimons que des tentatives d’intrusion non fructueuses ne valent pas la peine de perdre le sommeil, étant donné que les personnes mal intentionnées n’arrive de toute façon pas, à leurs fins.
Pour finir, il arrive parfois que l’on confie nos mots de passe à des proches, à des collègues, ou à des amis, sans même vérifier qu’ils possèdent des notions de base à propos de la sécurité informatique.

VOS MOTS DE PASSE DOIVENT RESTER SECRETS, MÊME VOS PROCHES NE DOIVENT PAS LES CONNAÎTRE

Même un ami proche qui ne s’y connaît pas trop en sécurité sur Internet peut vous causer du tort accidentellement. Par exemple, si cet ami utilise votre compte et se rend sur un site potentiellement dangereux, cet ami pourrait infecter votre ordinateur avec un virus de façon non intentionnelle, ou divulguer accidentellement vos données à des personnes mal intentionnées. Les cybercriminels inventent souvent des scénarios pour laisser le moins de temps de réflexion possible aux utilisateurs. Ils envoient des e-mails offrant aux utilisateurs la chance de participer à un concours avec d’importantes récompenses. Pour participer à ces concours, les utilisateurs doivent cependant saisir leurs noms d’utilisateurs et leurs mots de passe. En faisant cela, les cybercriminels espèrent que la tentation de devenir riche rapidement amènera les utilisateurs à passer outre les éventuelles conditions étranges.

NE VOUS PRESSEZ SURTOUT PAS DE SAISIR VOTRE MOT DE PASSE

Les personnes mal intentionnées profitent souvent de votre manque de vigilance pour tenter de vous mettre dans une situation nécessitant une action rapide de votre part. N’oubliez surtout pas que le fait que quelqu’un vous demande votre mot de passe est toujours synonyme de danger ! Ne jamais divulguer vos mots de passe à quelqu’un d’autre.

POURQUOI EST-IL SI IMPORTANT DE NE PAS COMMUNIQUER MES MOTS DE PASSE ?

Votre mot de passe est un secret que vous devez être la seule personne à connaître. Si quelqu’un d’autre en a connaissance, alors ce n’est plus un secret.
Si des personnes mal intentionnées connaissent votre mot de passe, ils peuvent pénétrer dans votre ordinateur et avoir accès aux documents, photos sauvegardées, et autres données personnelles présentes dans votre ordinateur. Elles pourront alors les copier ou les supprimer de façon permanente. Les opérations réalisées grâce à votre nom d’utilisateur seront considérées comme des opérations que vous aurez vous-même réalisées, peu importe si votre mot de passe aurait pu être utilisé par quelqu’un qui en avait connaissance.

QUE POURRAIT-IL SE PASSER SI QUELQU’UN VENAIT À TROUVER MON MOT DE PASSE ?

Si vous donnez votre mot de passe à quelqu’un d’autre, cette personne pourra prendre le contrôle de votre système. Avec votre mot de passe, des personnes mal intentionnées peuvent accéder à vos données personnelles ou professionnelles, ce qui signifie qu’ils pourraient :

  • Se connecter à votre e-mail et lire tous les messages reçus et envoyés.
  • Envoyer des spams, des menaces, ou des demandes d’aide financière en votre nom.
  • Envoyer des e-mails contenant des informations confidentielles à n’importe quelle personne, et perpétrer d’autres fraudes, pour lesquelles vous serez responsable.
  • Avoir accès à vos données professionnelles, les copier ou les supprimer de façon permanente.
  • Se connecter à votre compte bancaire en ligne et virer de l’argent de votre compte ou réaliser des transactions en votre nom.

Lorsque votre mot de passe tombe entre les mains d’autres personnes, cela constitue une menace pour votre propre sécurité et pour celle de votre entreprise. Cela pourrait donner lieu à un important préjudice financier ou à une grave atteinte à votre réputation.

À QUOI DOIS-JE FAIRE ATTENTION ?

Quelqu’un vous appelle au bureau en prétendant être du département de sécurité, il vous demande alors votre mot de passe.
Personne du département de sécurité ne demandera jamais à un utilisateur de divulguer de telles informations. Si quelqu’un vous demande votre mot de passe, c’est certainement une personne mal intentionnée.

Vous avez reçu un message de l’administration d’un service, d’un site Web ou d’un réseau social vous demandant de fournir les informations d’accès à votre compte. Le message précisait également que si vous ne le faites pas, votre compte sera supprimé. Si vous recevez une demande de la sorte, vous êtes en présence d’une tentative de phishing (hameçonnage).

Les administrateurs de site et de service ne vous demanderont jamais les informations d’accès à votre compte.
Un coursier, un technicien, ou une personne en charge de la maintenance regarde par-dessus votre épaule pendant que vous travaillez.
Attention ! Il peut s’agir d’une personne mal intentionnée. Elle pourrait mémoriser votre mot de passe après vous avoir vu le saisir. Si vous écrivez votre mot de passe sur un post-it sans réfléchir et si vous le collez sur votre écran, il pourrait tomber entre les mains d’une personne mal intentionnée.

Ne jamais entrer vos mots de passe en présence d’autres personnes et ne pas les écrire dans des endroits où ils sont faciles à lire..

QUE DOIS-JE FAIRE SI QUELQU’UN ME DEMANDE MON MOT DE PASSE ?

Ne jamais donner votre nom d’utilisateur et votre mot de passe à des tiers. Si un inconnu essaie d’obtenir votre mot de passe vous permettant d’accéder à des sites ou services professionnels, contactez immédiatement le service de sécurité de votre société.

QUE SE PASSE-T-IL SI JE PENSE POUVOIR DIVULGUER MON MOT DE PASSE À QUELQU’UN ?

Les administrateurs de site Internet, les gestionnaires de compte bancaire et les départements de sécurité de votre entreprise ne vous demanderont jamais votre nom d’utilisateur et votre mot de passe. Si un administrateur de site Internet, un gestionnaire de compte bancaire, ou quelqu’un de l’équipe d’assistance technique de votre entreprise vous demande quelque chose de la sorte, il est très probable qu’il s’agisse en fait d’un cybercriminel qui essaie d’usurper son identité. Veillez à ne jamais communiquer votre nom d’utilisateur ou votre mot de passe à un membre de votre famille ou à des amis. Votre mot de passe est personnel.

QUOI FAIRE SI QUELQU’UN ME DEMANDE OÙ JE CONSERVE MON MOT DE PASSE ?

N’informez personne du lieu au sein duquel vous conservez vos mots de passe, y compris les employés du service Sécurité.
Une demande d’information concernant le lieu de conservation de vos mots de passe ne pourrait provenir que de cybercriminels.

QUE FAIRE SI MON MOT DE PASSE EST DEROBE?

Même si vous soupçonnez que votre mot de passe a été piraté, changez-le immédiatement et contactez votre service de la sécurité.

POURQUOI DOIS-JE CHANGER MON MOT DE PASSE ET PRÉVENIR L’ÉQUIPE DE SÉCURITÉ?

L’objectif principal des hackers est le gain financier. Toute information trouvée sur votre compte pourrait être utilisée à des fins criminelles.
Vous reprenez le contrôle de votre compte lorsque vous changez de mot de passe.
Contacter votre équipe de sécurité vous permet d’atténuer les dommages consécutifs à ce que les hackers ont déjà fait.

QUE SE PASSE-T-IL SI JE NE CHANGE PAS MON MOT DE PASSE?

Plus vous laissez du temps aux auteurs de cyberattaque, plus ils peuvent vous nuire. Les auteurs de cyberattaque peuvent dérober vos renseignements personnels ou professionnels et les utiliser à des fins d’extorsion ou de chantage. Votre réputation peut également en souffrir. De précieuses données liées au compte, comme les conversations archivées ou les photos de famille, peuvent être détruites.
Si le compte piraté est rattaché à un réseau social, les auteurs de cyberattaque peuvent utiliser les données pour pirater vos autres comptes. De l’argent peut être volé sur votre compte bancaire s’il est attaché au compte piraté.

En 2012, les cybercriminels ont piraté le réseau social LinkedIn et ont volé des données d’utilisateurs. Une fois passé le scandale, LinkedIn a repris son activité comme d’habitude mais en 2016, les cybercriminels ont annoncé qu’ils avaient vendu les noms d’utilisateur et les mots de passe. Cette vente contenait plus d’informations que celles qui avaient été volées au cours des quatre années précédentes. La principale façon dont les experts recommandent de protéger les comptes est de changer le mot de passe.

COMMENT EST-CE QUE JE SAIS SI MON COMPTE A ÉTÉ PIRATÉ?

Vous recevez une notification vous informant que quelqu’un a utilisé votre compte pour se connecter à un magasin de jeux vidéo et vous soupçonnez qu’il s’agit d’un piratage. Vous n’avez rien acheté de ce magasin en ligne depuis longtemps, et vous n’utilisez pas le compte, alors vous décidez de ne pas vous en soucier. Cependant, les données de carte de crédit que vous avez utilisées pour effectuer vos achats sont enregistrées sur le compte, ainsi que votre adresse e-mail et votre page de réseau social, que vous avez jointes à un moment donné pour bénéficier d’un rabais. Désormais, les cybercriminels peuvent voler l’argent de votre compte bancaire et essayer de pirater vos autres comptes.

Des auteurs de cyberattaques ont piraté l’un de vos comptes sur un réseau social, mais vous êtes parvenu à réinitialiser le mot de passe à temps. Vous n’en parlez pas à votre équipe de sécurité car vous ne vous connectez pas à vos comptes sur les réseaux sociaux depuis l’ordinateur de votre bureau.
Toutefois, pendant que les cybercriminels contrôlaient votre compte, ils ont obtenu des informations vitales sur votre lieu de travail, votre poste et les collègues à qui vous parlez sur les réseaux sociaux; ils ont également eu accès aux messages que vous avez échangés concernant les problèmes au travail.
En fin de compte, ils ont réussi à s’emparer de précieuses informations en lien avec votre travail, attaquer les comptes de vos collègues, ou les duper en se faisant passer pour vous.
Il faut vous inquiéter si l’un de vos comptes est piraté. Même s’il s’agit de vos comptes personnels, les auteurs de cyberattaque peuvent utiliser les informations obtenues pour nuire à votre entreprise.

Votre compte de réseau social a été piraté. Vous en parlez à votre service de sécurité, mais vous n’avez pas rétabli l’accès et changé le mot de passe, parce que vous n’avez pas utilisé le compte depuis longtemps, et vous n’en avez plus besoin.

La sécurité peut protéger le réseau de l’entreprise mais ne peut pas récupérer votre compte pour vous. Par conséquent, les auteurs de cyberattaque peuvent communiquer librement avec les gens, vous faire chanter ou utiliser les informations qu’ils consultent à d’autres fins malhonnêtes. Il faut vous inquiéter si l’un de vos comptes est piraté. Même si vous n’avez pas utilisé un compte depuis longtemps et que vous avez fait tout ce qui était possible pour protéger vos informations professionnelles, les auteurs de cyberattaque peuvent quand même vous nuire.

Prenez au sérieux les notifications de connexion et les tentatives de connexion si vous n’en êtes pas l’auteur.

Si un piratage se produit ou que vous pensez que l’un de vos comptes a été piraté, prenez des mesures immédiates pour en rétablir l’accès. Contactez votre service de la sécurité sur ce qui s’est passé, que le compte piraté soit personnel ou professionnel. Vous ne savez pas si votre équipe de sécurité se souciera du piratage de votre compte personnel, mais il est préférable de laisser l’évaluation des risques aux professionnels. Les spécialistes de la sécurité peuvent déterminer si l’incident représente une menace pour votre entreprise.
Peut-être êtes-vous gêné que votre service de sécurité découvre que vous utilisez votre ordinateur de travail pour dialoguer sur les réseaux sociaux. Vos supérieurs sont sans doute mécontents à ce sujet.
Cependant, si le piratage entraîne des pertes financières pour l’entreprise, vos patrons seront encore plus mécontents que vous ayez caché des informations qui auraient pu empêcher les pertes.
Vous pouvez penser que si la tentative de piratage a échoué, vous n’avez aucune raison de faire quoi que ce soit. En fait, vous ne pouvez pas savoir avec certitude s’il n’y a pas eu une tentative réussie plus tard.
Changer votre mot de passe et contacter votre service de sécurité au premier signe de problème peut prévenir les pertes financières et les difficultés de récupération du compte.

GENERER UN MOT DE PASSE

Depuis quelque temps, les utilisateurs sont obligés de choisir un mot de passe répondant à des critères précis (au moins un chiffre, une majuscule, 10 ou 12 caractères etc…) mais malgré ces contraintes, soyons honnêtes, nous tapons toujours des informations personnelles.
Ex : « SocieteMartin1981 » ou « M@rtin02janv2001 » ou encore « 19rueMartinParis ».
Oui, mais retenir « Xfgt45GH566Twa », seul Forrest Gump en serait capable, surtout s’il faut en changer tous les 90 jours et en avoir des différents ! Pour se souvenir facilement d’une suite de caractères et de chiffres nous devons y mettre de l’affect. C’est pour cette raison que la CNIL nous propose une solution : la passphrase. Le principe est simple, il suffit de taper une phrase qui ait du sens pour nous et d’en retenir uniquement les premières lettres. Il est toujours nécessaire de mettre au moins un chiffre, une majuscule et un caractère spécial mais à l’usage nous nous y faisons.
Ex : Lorsque j’avais 6 ans je n’étais pas grand > Lj’a6ajn’épg

COMMENT PUIS-JE CONSERVER UN MOT DE PASSE DE MANIÈRE EFFICIENTE ?

La problématique liée aux longs mots de passe repose sur la difficulté à les mémoriser. Il est peu probable que vous puissiez vous souvenir de quelques dizaines de combinaisons de 14 signes ou plus, incluant des caractères spéciaux. Dans ce cas, vous devez les écrire. Votre mot de passe devrait toujours être écrit séparément de votre identifiant. Il est préférable de ne pas retranscrire l’intégralité de votre mot de passe. Préférez une mémorisation partielle ou l’encryptage de votre mot de passe de quelque manière que ce soit. Si vous écrivez votre mot de passe sur un morceau de papier, conservez-le dans un portefeuille, une trousse de maquillage, un étui à lunettes, ou quoi que ce soit d’autre que vous conserverez auprès de vous. Si vous écrivez votre mot de passe sur un appareil portable, ne le laissez jamais sans surveillance et protégez également l’appareil avec un mot de passe. N’écrivez qu’un extrait du mot de passe. Par exemple, simplement la moitié. Essayez de mémoriser la seconde partie du mot de passe. Cela s’avèrera plus sécuritaire.

REPERTOIRIER LES MOTS DE PASSE

Il existe des logiciels libres de gestion des mots de passe et l’ANSSI1 en recommande un en particulier : Keepass.
Un gestionnaire de mot de passe répertorie tous les mots de passe et les cryptes. Pour y accéder, un mot de passe (nous n’y échapperons pas) est nécessaire mais cela n’en fait plus qu’un seul à retenir. Personnellement je l’utilise! L’avantage c’est que vous pouvez l’utiliser sur tous vos postes et téléphone.

Si vous avez un doute, contactez CIRCE Informatique au 05 56 75 57 78 our contact@circe-informatique.com