Une plateforme pour protéger son mot de passe...et qui intéresse les pirates

Emma Helie

Publié le 12 juillet 2016 à 13:34 - Mis à jour le 12 juillet 2016 à 14:18

Utiliser deux fois le même mot de passe sur des sites internet différents fait partie des erreurs à éviter pour ne pas se faire pirater. L'outil Shard, développé par un chercheur en sécurité informatique permet aux internautes de vérifier qu'ils n'ont pas commis cette erreur. Mais si la plateforme a pour but de lutter contre le piratage, elle pourrait bien au contraire devenir une aide précieuse pour les pirates informatiques.

En mai dernier, Linkedin a reconnu que le piratage subi par le réseau social en 2012 était bien plus important qu'initialement annoncé. Ce sont donc plus 167 millions d'accès Linkedin qui avaient été piratés. Ce genre de piratage est d'autant plus grave si le mot de passe est utilisé sur un autre site internet car l'internaute prend le risque de se faire pirater sur plusieurs de ses comptes. Or, 31 % des utilisateurs réutilisent leurs mots de passe pour différents services, révèle une étude de Skyhigh Networks.

C'est à partir de ce constat que Philip O'Keefe, chercheur en sécurité informatique qui avait également subi le piratage de Linkedin a décidé de développer Shard. L'outil permet aux internautes de vérifier que leur mot de passe n'est pas utilisé sur un autre de leurs comptes. "J'utilisais un mot de passe général pour plusieurs services. Cela devenait compliqué de me souvenir sur quel site j'avais choisi le même et d'effectuer les changements partout", écrit le créateur de Shard dans un mail adressé à Ars.

Les limites de Shard

Mais si le logiciel de Philip O'Keefe part d'une idée noble, protéger les informations des internautes, l'outil pourrait aussi s'avérer dangereux relève le site Ars. En effet, en supposant qu'un pirate dispose d'un identifiant et d'un mot de passe dérobé, il pourrait utiliser le logiciel pour pirater les comptes internet plus facilement, en vérifiant rapidement si le mot de passe donne accès à plusieurs comptes.

Comme l'explique le site Ars, de nombreux internautes utilisent un mot de passe pour un compte (par exemple "p@$$w0rd11") et un autre très similaire pour un deuxième compte ("p@$$w0rd22"). Le hacker pourrait donc reprendre un mot de passe dans la base de données du logiciel et y ajouter un chiffre ou un caractère pour pouvoir pirater différents comptes internet.

Selon une étude de Skyhigh Networks analysant 11 millions de mots de passe mis en vente sur le darknet, 10,3% des internautes utilisent l'un des 20 mots de passe les plus populaires d'internet. Ce qui revient à dire qu'en moins de 20 essais, n'importe qui pourrait pirater près d'un compte sur dix. D'où l'intérêt de choisir son mot de passe avec prudence et surtout de le changer en fonction de ses comptes. Tout comme Shard, certains logiciels comme Password Manager ou Keepass proposent de stocker tous les mots de passe de ses utilisateurs. Mais si le but est de se protéger des piratages, le risque n'est pas forcément nul car ce genre de logiciels peuvent devenir une cible privilégiée pour des hackers en quête d'identifiants.

Newsletter