Trop d’utilisateurs d’internet ont encore recours à des mots de passe faibles, précaires et pour de multiples services. Une étude de l’Institut Hasso Plattner (HPI) de Potsdam révèle que 20% des internautes utilisent un même mot de passe sur plusieurs comptes. Un résultat qui se fonde sur l’analyse de dizaines de millions de comptes individuels!
Au total, cette étude s’est basée sur une base de données d’environ un milliard de comptes d’utilisateurs en provenance de 31 fuites de données publiées sur la toile dans différents domaines. Sur ce nombre, quelque 68,5 millions d’adresses e-mail étaient communes à plusieurs fuites de données.
Encore «123456»…
En se basant sur ce dernier échantillon, il a été possible de prouver que 20% des utilisateurs utilisent un mot de passe identique pour différents comptes. Par ailleurs pour 27% des utilisateurs, les différents mots de passe sont très proches, c’est-à-dire présentant des similitudes de l’ordre de 70%. Encore une fois, il a été démontré que «123456» est le mot de passe le plus fréquemment utilisé, selon un communiqué.
Ce nouveau rapport de sécurité est publié alors que les fuites importantes de données se multiplient sur la toile. Rien qu’en 2016, des centaines de millions de comptes d’utilisateur ont été piratés. Les plus grands noms de la toile ont été touchés comme LinkedIn, MySpace et Yahoo. Ces dernières heures, Dailymotion a même confessé l’effraction de 85 millions de comptes… Par le passé, rappelons qu’Adobe, Sony, voire Dropbox ont aussi été frappés par des vols de données.
Un outil en ligne pour vérifier son courriel
Si les internautes ne changent pas leurs mots de passe ou s’ils utilisent le même sésame pour différents services sur internet, ils s’exposent inutilement à un risque accru de problèmes de sécurité, souligne en substance Christoph Meinel, directeur de l’HPI et co-auteur de l’étude. Ce spécialiste explique par ailleurs que nombre de victimes n’ont pas conscience du danger.
L’Institut propose donc depuis 2014 un outil qui permet de vérifier si son courrier électronique est liée à un vol de données. Il suffit de saisir son courriel sur le site https://sec.hpi.de/ilc pour vérifier si son adresse est concernée et quel type de données sont en circulation sur la toile. Cette base de données contient deux milliards des éléments de deux milliards de comptes différents. De quoi faire froid dans le dos…
Xavier Studer
Je viens de faire le test et j’ai constaté avoir été victime du vol de données sur dropbox et adobe… ca fait peur. j’ai changé mes mots de passe. plus rien n’est sûr
Vingt pourcents, c’est une estimation (ou constatation) très basse.
Personnellement, j’utilise plusieurs fois le même mot de passe pour des comptes qui ne représentent aucun risque de fuite de données importantes.
J’ai une hiérarchie de mots de passe, avec tout en haut des mots de passe uniques, je ne veux pas dépendre d’un service ou d’une application pour obtenir mes mots de passe, donc si je veux tout mémoriser je dois bien regrouper les sites selon une certaine logique d’importance et de risque.
Par exemple, j’ai un type de mot de passe pour tous les sites (où mes infos sont limitées) qui n’ont même pas de connexion sécurisée, et il y en a tellement…
Les mots de passe faibles, ça va très bien quand derrière il n’y a pas de SSL et que les mots de passe sont en clair ou en md5.
merci bien pour l’adresse, j’ai testé avec avec mes 2 adresses mail et c’est parfait. Comme mot de passe j’ai toujours le même, un prénom original qui me plait et l’année d’un événement , je ne vois pas qui pourrait deviner cela.
C’est relativement facile de deviner ce genre de mots de passe avec la méthode par force brute. Avec un dictionnaire de noms français, il suffit d’essayer toutes les combinaisons possibles avec les années entre 1950 et 2016 par exemple et déjà là on trouve beaucoup de mots de passe faibles.
Quelqu’un qui s’y connaît peut faire ça très facilement et très vite. Pour s’en protéger, il faut ajouter des majuscules et surtout des caractères spéciaux.
Autre service comme celui que vous mentionnez: https://haveibeenpwned.com/ Et il y a moyen d’activer des alertes, vous indiquant si votre adresse se trouve dans une nouvelle fuite. Très pratique. Et si vous gérez un domaine avec plusieurs utilisateurs, le propriétaire du domaine peut récupérer tous les utilisateurs concernés par une fuite.
Quand c’est possible, je recommande la connexion en 2 étapes. A titre personnel, je l’ai activée sur LastPass, Google, Microsoft, DropBox, LinkedIn, Facebook, Amazon et Evernote. Je reçois un sms pour LinkedIn et je dois entrer un code unique depuis l’app Google Authenticator pour les autres sites.
On constatera qu’aucun site suisse, hormis les banques, propose une connexion en 2 étapes.
Est-il vraiment fiable ce site https://sec.hpi.de/ “Hasso Plattner Institute” ?
Il me dit qu’un site inconnu (et en compilation… ?) aurait des fuites avec mon email, évidement n’importe qui peut utiliser l’email d’une autre personne, les adresses mail étant connues et publiques, il est facile d’employer ces dernières à mauvais escient.
Il me dit aussi que mon adresse mail a fuit en 2008 (?) sur un site que je ne connais pas, jamais utilisé.
Qui se cache vraiment derrière le “Hasso Plattner Institute” ? sont-ils pas plutôt vendeur de solution de protections, donc faire peur aux gens ….
En principe oui:
https://de.wikipedia.org/wiki/Hasso-Plattner-Institut
“Die Hasso-Plattner-Institut für Softwaresystemtechnik GmbH (HPI) ist ein An-Institut der Universität Potsdam und ist in Potsdam-Babelsberg angesiedelt.”
Ping : Internet: Firefox vous aide à vérifier et suivre la sécurité de vos comptes