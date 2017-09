Les cyberattaques et les escroqueries sur le Net ont atteint des records au premier semestre de l'année 2017, marquée par des cyberattaques d'une ampleur inégalée (WannaCry et NotPetya) ainsi qu'une recrudescence des spams et des logiciels malveillants (malwares).

Et la tendance ne fait que se poursuivre. Le 30 août, un chercheur en sécurité français, dont le pseudonyme est Benkow, a révélé ce qui s'impose déjà comme l'un des plus gros piratages de données personnelles de l'Histoire : une énorme base de données de 40 Go, comportant 711 millions d'adresses email et plus de 80 millions de mots de passe correspondant à ces adresses.

Des données issues des gros piratages récents

Les données exposées seraient issues de précédents piratages, notamment celui du réseau social professionnel LindekIn en mai 2016. Ce spectaculaire répertoire, hébergé sur un serveur aux Pays-Bas, était disponible en accès libre, à la merci de n'importe quel pirate, en tapant une simple URL. D'après l'expert, il aurait servi à alimenter un spambot, c'est-à-dire un bot informatique conçu pour récolter des adresses mail sur les pages web afin de les inonder de courriels indésirables pouvant comporter un virus (spam), baptisé « Onliner ». Ce dernier serait responsable de la propagation partout dans le monde du logiciel bancaire malveillant (malware) Ursnif, qui cible les utilisateurs de Windows pour leur voler des données bancaires et qui aurait déjà infecté plus de 100.000 ordinateurs dans le monde.

Dans un billet publié sur son blog, Benkow explique que cette immense campagne de piratage est d'autant plus dangereuse que les spams sont capables de contourner les filtres des antivirus en utilisant des adresses authentiques -les vôtres.

Comment savoir si vous êtes touché ?

Etant donné l'ampleur de la base de données - 711 millions d'adresses, c'est plus de deux fois la population des Etats-Unis et presque autant que la population du continent européen (743 millions d'habitants en 2015, dont 500 millions dans l'Union européenne) -, il y a de fortes chances que votre adresse figure dans le lot, ainsi que votre mot de passe.

Pour savoir si vous êtes touché, la solution est d'aller sur le site HaveIBeenPwned (Ai-je été piraté ?). Il s'agit d'un site créé par Troy Hunt, un chercheur en sécurité de Microsoft, également bloggeur, qui permet de vérifier, en tapant son adresse courriel, si celle-ci figure dans les bases de données répertoriées utilisées par les cybercriminels.

Si vous en faites partie, il y a donc un risque que vos identifiants et mots de passe soient aussi vulnérables. Il faut donc les changer immédiatement. Si vous utilisez le même mot de passe pour plusieurs autres services, changez tous les mots de passe.

Reste alors à trouver un mot de passe suffisamment solide pour ne pas être facilement « craqué ». Evitez les « motdepasse » « password » « prenomdatedenaissance », qui sont utilisées par la majorité des internautes et qui sont très facilement devinables.

Pour un mot de passe solide, privilégiez la phonétique et la méthode des premières lettres

Bonne nouvelle : alors que la National Institute of Standards and Technology (NIST, l'agence américaine qui établit les normes dans les technologies, recommandait depuis 2003 d'utilisation de mots de passe hyper-complexes composés de majuscules, de chiffres et de caractères spéciaux, de récentes études ont montré que ces mots de passe très difficiles à retenir, donc peu utilisés, ne constituent pas une bonne protection face aux méthodes des hackers. En effet, la combinaison de la méthode de la « force brute » (test automatique de toutes les combinaisons possibles), de « l'attaque par dictionnaire » (test automatique de combinaison de mots contenus dans le dictionnaire) et de « l'attaque arc-en-ciel » (retrouver un mot de passe à partir de son empreinte) viennent à bout, dans un labs de temps de plus en plus court, des mots de passe les plus farfelus.

Dans ce contexte, mieux vaut alors opter pour un mot de passe facile à retenir. C'est aussi l'avis de l'agence américaine, qui vient de publier un rapport dans lequel elle désavoue ses précédentes recommandations. Désormais, le NIST préconise l'utilisation de phrases longues, comme « J'aime le cassoulet c'est trop bon » (qui deviendra « JAimeLeCassouletCestTropBon »). Le mot de passe ne sera pas incassable, aucun de l'est, mais il peut convaincre les récalcitrants aux mots de passe complexes d'abandonner les combinaisons les plus faciles comme son prénom suivi d'une date de naissance.

Pour complexifier un peu plus votre mot de passe tout en le retenant facilement, vous pouvez aussi opter pour les méthodes de la phonétique et des premières lettres, recommandées par l'Agence nationale de la sécurité des systèmes d'information (Anssi). Pour la méthode phonétique, l'agence prend l'exemple de la phrase « J'ai acheté huit CD pour cent euros cet après-midi », qui peut devenir « ght8CD%€7am ». Pour la méthode des premières lettres, notre « « J'aime le cassoulet c'est trop bon » deviendra « J'AlcCtb ». L'Anssi recommande des dictons ou des citations célèbres pour mieux retenir un mot de passe avec la méthode de la première lettre.