Voilà pourquoi il faut changer ses mots de passe régulièrement

Mathilde Rochefort
15 mars 2023 à 15h00
13
© Yuganov Konstantin / Shutterstock
© Yuganov Konstantin / Shutterstock

Selon une étude réalisée par l'entreprise spécialisée en cybersécurité SpyCloud, 721 millions de mots de passe ont été dérobés par des cybercriminels en 2022. Pire encore, 72 % des utilisateurs exposés à des violations de données continuent d'utiliser les mots de passe compromis.

Baptisée SpyCloud Identity Exposure Report, l'étude examine la façon dont les données dérobées exposent les organisations et les consommateurs à des risques de cybercriminalité.

Les cybercriminels exploitent le contexte économique défavorable au secteur de la tech

Le constat est sans appel : « La recrudescence des logiciels malveillants conçus pour exfiltrer des données directement à partir des appareils et des navigateurs est un facteur clé de l'exposition continue des utilisateurs », écrit SpyCloud. La société a ainsi découvert 721,5 millions d'informations d'identification exposées en ligne sur l'année 2022. 50 % provenaient de botnets, un réseau d'ordinateurs infectés par des logiciels malveillants sous le contrôle d'un attaquant, utilisé pour mener des activités contre une victime ciblée.

« Les cybercriminels ont redoublé d'efforts et exploité le ralentissement économique, l'augmentation de la main-d'œuvre hybride, les comptes fantômes des employés licenciés et l'augmentation de l'externalisation, ce qui accroît l'exposition des tiers », continue la société. Ainsi, lorsque les employés d'une entreprise accèdent aux réseaux internes depuis un appareil externe et potentiellement infecté par des logiciels malveillants, les hackers peuvent accéder facilement aux applications professionnelles critiques, y compris les plateformes d'authentification unique et les réseaux privés virtuels.

La gestion des mots de passe par les utilisateurs n'est pas du tout au niveau

Selon SpyCloud, la protection des mots de passe reste médiocre malgré l'accent mis sur la formation à la cybersécurité. Ainsi, 72 % des utilisateurs exposés utilisent encore des mots de passe dérobés tandis que ceux choisis sont souvent peu sécurisés et liés à des tendances.

SpyCloud a récupéré plus de 327 000 mots de passe liés aux artistes Taylor Swift et Bad Bunny, plus de 261 000 en rapport avec des services de streaming tels que Netflix et Hulu, et plus de 167 000 faisant allusion à la mort de la reine Elizabeth II et à la famille royale britannique.

Pour rappel, il est fortement conseillé de souvent modifier ses mots de passe, et pour plus de sécurité, il est recommandé de les générer automatiquement à travers des applications spécialisées. Avec les gestionnaires de mots de passe actuels, il est très simple de jongler entre différentes clés d'accès. Lorsque c'est possible, il est en outre vivement conseillé d'activer l'authentification à double facteur.

Source : SpyCloud

Mathilde Rochefort

Mathilde Rochefort

Après mes études de journalisme, j’ai décidé de m’orienter vers les domaines qui me passionnent : nouvelles technologies, jeu vidéo, ou encore astronomie. J’adore partager autour de ces sujets mais ma...

Lire d'autres articles

Après mes études de journalisme, j’ai décidé de m’orienter vers les domaines qui me passionnent : nouvelles technologies, jeu vidéo, ou encore astronomie. J’adore partager autour de ces sujets mais ma curiosité m’entraîne à évoquer de nombreux autres sujets au travers de mes articles.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (13)

negima
Mais les mots de passe volés sont des mots de passe cryptés normalement. Donc non utilisable.
K702
Alors perso j’ai plus de 700 mots de passe dans mon gestionnaire, si je dois m’amuser à les changer régulièrement heu comment dire …<br /> Alors oui certes parmi ces 700 il y a forcément plus de 98% qui ne donnent pas accès à des données « sensibles » mais bon les 2% restants je pense qu’un bon mot de passe bien robuste, unique, et couplé à du double facteur ça devrait aller hein …
gamez
on entend souvent ce conseil de la part de pseudo spécialistes en sécurité de changer régulierement son pass (souvent dans les reportages du journal de 20h), mais ces mêmes personnes je suis quasi-sûr qu’elles ne le font pas elles-même. xD<br /> au début des années 2000 c’était peut être faisable, mais de nos jours il faut un compte pour la moindre chose, on se retrouve avec des comptes à créer de tous les côtés.<br /> ce n’est plus gérable.<br /> peut être qu’un jour la biométrie apportera une solution
MattS32
La multiplication des comptes n’est pas vraiment un problème, tant qu’on a un mot de passe unique pour chaque compte : la plupart des comptes ne donnent accès à rien de sensible, ceux là n’ont pas besoin qu’on renouvelle régulièrement leur mot de passe.<br /> Par contre les comptes les plus sensibles, du genre boîte mail, banque, administration, site e-commerce où on a enregistré ses coordonnées bancaires pour les paiements, c’est mieux de les changer de temps en temps.
stereopap
Les recommandations actuelles de l’ANSSI (tout de même l’organisme de référence) portent sur le fait d’avoir un mot de passe différent pour chaque site, pas de changer régulièrement de mot de passe.<br /> Les études en la matière montrent même un effet de bord au changement trop fréquent de mot de passe : les personnes n’ayant pas de gestionnaire de mot de passe (la majorité de la population quoi) se mettent en pratique soit a mettre le même partout (en declinant avec un numéro par exemple), ou a se les noter au bureau sur des post it.
aztazt
Clubic, faites relire vos articles par des experts svp ! Qui, parmi les plus grands acteurs de la tech recommandé encore de changer régulièrement ses mots de passe ? Microsoft ? Google ? Apple ? Amazon ? Non. Même la CNIL pourtant assez rétrograde a changé son fusil d’épaule fin 2022 en ne recommandant plus le changement réguliers des mots de passe (exception pour les comptes d’administration IT). La bonne pratique : saisie des mots de passe uniquement sur des postes sains et de confiance, un gestionnaire de mot de passe, un mot de passe unique et complexe pour chaque compte, du MFA ou 2FA partout où c’est possible.
ovancantfort
Il n’y a as pas que les géants de la tech. Jetez donc un coup d’œil aux recommendations du NIST ou encore à celles du GCHQ..<br /> L’étude du comportement des utilisateurs a pu montrer que si on leur demande de changer régulièrement leur mot de passe, les utilisateurs s’orientent quasi systématiquement vers des mots de passe plus faibles.<br /> Les recommendations modernes sont donc:<br /> utiliser des mots de passe long (strictement &gt;8 caractères et si possible &gt;12)<br /> pour rendre le mot de passe long plus facile, inciter à l’utilisation d’une phrase et donc bannir les règles de complexité (ne pas rendre obligatoire les chiffres, majuscules, caractères spéciaux)<br /> ne pas obliger ou demander aux utilisateurs de changer leur mot de passe régulièrement<br /> a contrario, forcer le changement en cas de suspicion de compromission du compte<br /> utiliser l’authentification multi factorielle<br />
Scalairz
Certaines banques ou sites imposent l’obligation de changer de mot de passe au moment de la connexion, apres plusieurs mois ou plusieurs connexions, souvent d’ailleurs quand on est pressé et pris par surprise, d’où enervement et risque d’erreurs ou d’oubli du nouveau mot car l’opération n’est pas anodine. De plus cette mesure est stupide car si un malfaiteur recupere un mot de passe le compte est pillé dans le quart d’heure qui suit
Lana
Ma banque m’oblige à changer de mot de passe tous les 2 ans, pourtant double authentification, je ne comprend pas bien l’intérêt, mais bon, c’est ainsi, pas le choix.
Blackalf
Un simple mot de passe pour se connecter à sa banque ? voilà qui ne me paraît pas très sûr.<br /> Personnellement, je dois introduire un n° d’identification, le n° de série de mon Digipass, et enfin taper le code « one shot » qu’il m’affiche et qui n’est valable que pendant 10 secondes. ^^
MattS32
En général aujourd’hui les banques françaises ne permettent plus une connexion avec un simple mot de passe depuis un nouvel appareil, elles imposent en plus un second facteur qui peut être selon les banques et les choix du client un OTP par SMS, une validation dans une application mobile (soit par biométrie, soit via un second mot de passe), une liste de mots de passe pré-générée (système un peu archaïque que propos par exemple le Crédit Mutuel, l’avantage étant que ça ne nécessite même pas d’avoir un téléphone portable… j’ai ça pour le compte de ma copro, c’est une petite carte en papier plastifié format CB, avec dessus une grille de 8x8 codes à 4 chiffres, et pour faire une opération sensible la banque va me demander le code qui est dans telle ou telle case).<br /> Mais par contre une fois connecté sur une machine, on peut souvent se contenter du mot de passe pendant 2-3 mois sur cette même machine (bon du coup faut que le pirate pique le profil du navigateur, pas juste le mot de passe) pour la simple consultation des comptes et les virements internes.<br /> Le second facteur est par contre exigé même depuis une machine connue dès qu’on fait une opération un peu sensible. À minima, toutes les opérations qui permettent de faire sortir de l’argent (paiement CB, virement vers un compte externe par exemple), sauf petits montants (30 ou 50€ de mémoire). C’est imposé par la réglementation européenne DSP2.
Blackalf
MattS32:<br /> j’ai ça pour le compte de ma copro, c’est une petite carte en papier plastifié format CB, avec dessus une grille de 8x8 codes à 4 chiffres, et pour faire une opération sensible la banque va me demander le code qui est dans telle ou telle case.<br /> Un token*. On avait ça en Belgique pour s’identifier sur les sites officiels, impôts, pensions et autres, mais c’est abandonné depuis plusieurs années au profit de la CNI électronique+ lecteur de carte. ^^<br /> 24 codes de 6 lettres, dans notre cas.<br />
arnaques_tutoriels_aide_informatique_tests
Ansi = administratifs = incompétents…
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

2 fois en 6 mois : le service d'emailing Mailchimp a encore été piraté 2 fois en 6 mois : le service d'emailing Mailchimp a encore été piraté
Cyberattaques : les hackers ciblent de plus en plus les jeunes joueurs sur des jeux très populaires Cyberattaques : les hackers ciblent de plus en plus les jeunes joueurs sur des jeux très populaires
Phishing chez Dropbox : vos données sont-elles encore en sécurité ? Phishing chez Dropbox : vos données sont-elles encore en sécurité ?
Que faire si vos informations personnelles sont sur le Dark Web ? Que faire si vos informations personnelles sont sur le Dark Web ?
iPhone ou Android : si vous vous faites voler votre smartphone, votre compte est en danger ! iPhone ou Android : si vous vous faites voler votre smartphone, votre compte est en danger !