🔴 LE BLACK FRIDAY EN DIRECT !

Réseaux sociaux : "Il faut oublier le mot de passe et faire des phrases de passe" (Interview)

19 novembre 2021 à 11h11
24
Réseaux sociaux © © Chesnot / Getty Images
© Chesnot / Getty Images

À force de subir des fuites et autres pannes à répétition, les réseaux sociaux risquent d'avoir du mal à se réconcilier avec le mot « sécurité ». Il est toutefois possible de se prémunir de certains risques.

Avons-nous jamais été en sécurité sur les réseaux sociaux ? Benoît Grunenwald, expert en cybersécurité chez ESET France, nous aide à répondre à cette question à la lumière des nombreux incidents et fuites de données subies par de grandes plateformes comme Facebook ou Twitch cette année. Le spécialiste, que nous avons rencontré lors des Assises de la sécurité 2021 à Monaco, en profite aussi pour distiller quelques conseils bienvenus.

Bruno Grunenwald © Alexandre Boero pour Clubic
Benoît Grunenwald (© Alexandre Boero pour Clubic)

L'interview « réseaux sociaux » de Benoît Grunenwald

Clubic : Fuites, pannes... les réseaux sociaux ne sont pas épargnés par les polémiques ces derniers temps. On a tous en mémoire l'incident Facebook du début du mois d'octobre . D'où viennent ces pannes généralement ?

Benoît Grunenwald : Bien souvent, elles viennent d'attaques DDoS (attaque par déni de service). Ici, on est sur une cyberattaque dans laquelle un très grand nombre de points, par exemple des objets connectés ou des ordinateurs, vont lancer des requêtes sur le site ou l'infrastructure en question, et à partir de là, les requêtes légitimes, la vôtre, la mienne, pour consulter nos comptes, vont être noyées dans cette masse, et nous n'arriveront pas à accéder au réseau.

Ensuite, vous avez toutes les erreurs humaines, et on l'a vu aussi avec Facebook. Jusqu'à preuve du contraire, il s'agit d'une erreur rencontrée lors d'une mise à jour d'un élément un peu spécial sur le réseau, le routage des différents paquets qui vont aller jusqu'au serveur de l'écosystème Facebook.

« Pour Twitch, la fuite est une très grosse perte, à la fois en image et au niveau industriel »

Qui a intérêt à frapper Facebook par le biais d'une attaque DDoS ?

Si rien n'est impossible, il semble compliqué que cela puisse être un particulier, même si on sait que l'on peut trouver des « ressources » sur le dark Web voire même ailleurs, avec un peu de ténacité. Le particulier aurait toutefois beaucoup de risques de se faire retrouver. On l'a vu aussi récemment avec la fuite massive de données (1,4 million d'entrées) de l'AP-HP , à l'issue de laquelle la police a fini par mettre la main sur un étudiant situé en France. On peut très bien imaginer que les attaquants soient des entreprises concurrentes à la manœuvre, ou des États avec un objectif de déstabilisation politique.

L'une des grandes fuites que l'on retiendra de cette année 2021, c'est le Twitch Leak , avec 125 Go de données dérobés…

Oui, c'est de la folie. Pour Twitch, c'est une très grosse perte, à la fois en image, parce que les streamers ont vu leurs revenus sortir au grand jour, et à la fois au niveau industriel. La plateforme avait des projets encore secrets qui se sont retrouvés dans la nature, avec les plans d'une plateforme concurrente de Steam. Donc cette fuite d'informations, même si elle n'a pas été orchestrée par des concurrents, va potentiellement leur bénéficier.

On en revient à notre question de départ... Peut-on aujourd'hui être en sécurité sur les réseaux sociaux ?

Il y a un contrat qui est très simple avec les réseaux sociaux : à partir du moment où vous allez créer un compte, vous devez le sécuriser. Ce compte-là nécessite donc un login, un mot de passe et, si cela est possible, ajouter l'authentification à deux facteurs. Le thème du mois de la cybersécurité était justement le mot de passe, cette année.

Pour moi, il faut oublier le mot de passe et faire des phrases de passe. À partir du moment où on a un mot de passe qui serait une succession de lettres, de caractères complètement inintelligibles, on ne va pas réussir à le retenir, tandis que si on fait une phrase du type « Aujourd'hui-Nous_Sommes2Aux-Assises21-DeLaSecuritéÀMonaco85 », que l'on a soupoudré de caractères spéciaux, de chiffres et d'espaces, on franchit un cap dans la sécurisation. Là, on est sur un mot, enfin une phrase de passe, fort, unique, qui va être très difficile à retrouver pour un cybercriminel, qui devrait donc passer à un autre compte, plutôt que de s'acharner sur le nôtre.

« Les hackers agrègent toutes les fuites de données consciencieusement »

Malgré ces fuites à répétition, les gens, notamment les plus jeunes, ont encore du mal à prendre conscience que le mot de passe peut être plus fortement protégé, ce qui fait qu'on se retrouve parfois avec des mots de passe très simples ...

C'est en effet déconcertant… On discutait à ce sujet avec l'Association e-Enfance, qui aide les jeunes victimes de cyber-harcèlement. Certains nous disaient que partager son mot de passe avec un tiers, avec un ami constitue une sorte de preuve de confiance. Ce n'est pas à faire, bien entendu, mais il y a des comportements malheureusement liés au numérique et qui sont parfois irréfléchis.

Au quotidien, comment les réseaux sociaux luttent contre ces attaques DDoS ? Existe-t-il des moyens pour prévenir ces cyberattaques ?

Les réseaux sociaux eux-mêmes se protègent, parce qu'ils veulent éviter qu'une panne ne survienne et pousse les utilisateurs à aller sur d'autres plateformes, avec le risque qu'ils ne reviennent plus. Donc ils ont tout intérêt à protéger leurs utilisateurs. Sur le cyber-harcèlement, on le voit, TikTok fait énormément d'efforts pour créer des comptes familiaux, pour protéger et mettre en relation les parents et les enfants. On le voit aussi chez d'autres éditeurs ou fournisseurs de services, qui vont dans certains cas pousser l'utilisateur à adopter l'authentification à deux facteurs de sécurité.

Stand ESET Assises 2021 © Alexandre Boero pour Clubic
Stand ESET, aux Assises de la sécurité 2021 (© Alexandre Boero pour Clubic)

Facebook a aussi récemment subi une « fuite », les guillemets sont de rigueur, de 1,5 milliard de données. Ces données proviennent d'anciennes fuites et potentiellement de données accessibles publiquement. Il faut donc aussi faire attention au niveau de la communication ?

Il faut faire très attention, en effet, parce que les cybercriminels, dont le métier est de nous attaquer nous en tant que particuliers, agrègent toutes les fuites de données consciencieusement, surtout si elles contiennent notre identifiant (souvent une adresse e-mail), un mot de passe (qu'il soit en clair ou chiffré), et ensuite des informations personnelles. Au plus ils ont des informations de ce type-là, au plus ils vont pouvoir nous envoyer des e-mails très ciblés. Si par exemple vous êtes concernés par la fuite liée à l'AP-HP et à votre test COVID, ils sont capables de vous envoyer un e-mail en écrivant « vous avez passé un test à telle date, celui-ci est positif, négatif... ». Du coup, ça nous met en confiance, parce qu'on voit que l'information envoyée n'est pas destinée à tout le monde, que le message est très personnalisé, ce qui rend l'hameçonnage encore plus efficace.

« Beaucoup d'arnaques varient selon le réseau social et donc en fonction de la tranche d'âge des utilisateurs »

Quelles arnaques ont pu notamment découler de ces fuites de données issues des réseaux sociaux ?

Sur les réseaux sociaux, nous allons avoir une myriade de cybercriminels qui vont s'intéresser à nous : soit en nous demandant en ami pour faire monter la notoriété d'un compte qui va ensuite servir à faire des arnaques, ce qui arrive assez fréquemment ; soit en utilisant des comptes illégitimes pour faire des jeux concours qui ne feront rien gagner, d'une part, tout en vous demandant de participer aux frais d'envoi. En fait, vous allez donner votre carte bancaire, votre RIB, mais derrière, il n'y a rien. Beaucoup d'arnaques varient selon réseau social et donc en fonction de la tranche d'âge des utilisateurs. Si vous êtes un étudiant qui navigue plutôt sur Instagram, vous allez avoir l'envie de gagner des vêtements de luxe, des petits cadeaux, des jeux. Souvent, l'arnaque est aussi liée au pouvoir d'achat de celui qui est visé. On ne demandera pas la même chose à un jeune et à un senior.

Pour finir, quelle est l'actualité du moment chez ESET ?

Pour protéger les particuliers, nous avons sorti, mi-octobre, une nouvelle version de notre solution, qui facilite, pour l'utilisateur, la gestion quotidienne de la protection, que ce soit le contrôle parental ou la perte du mobile. On s'aperçoit que dans 25 % des cas, lorsqu'on perd son mobile et qu'on a installé l'application ESET, on arrive à retrouver son mobile en mettant un petit message à celui qui l'a trouvé. Cette solution coûte une trentaine d'euros.

ESET Smart Security Premium 2022
  • Les fonctionnalités vont à l'essentiel
  • Très bonne efficacité en général
  • Impact sur les performance en progrès (navigation web)

En attente d’une nouvelle version 15 qui pourrait très bien être tout aussi itérative que la version 14, ESET Smart Security ne change rien à son approche, et pour le public qu’il vise avec sa solution minimaliste et ciblée, c’est un peu ce qu’on lui demande. Ca, et offrir une protection efficace. Sur ce point, il semble que quelques optimisations devraient être mises en place pour adapter à nouveau le moteur d’ESET Smart Security aux menaces « zero day » actuelles, point sur lequel les derniers tests des laboratoires le voient sensiblement peiner. En revanche, malgré l’absence d’évolution de son interface, on apprécie toujours énormément la simplicité de celle-ci et sa capacité à s’adapter à différents publics, ce qui n’est pas le cas de tous les logiciels qui ont parfois tendance à trop se vulgariser sans penser aux utilisateurs plus technophiles.

En attente d’une nouvelle version 15 qui pourrait très bien être tout aussi itérative que la version 14, ESET Smart Security ne change rien à son approche, et pour le public qu’il vise avec sa solution minimaliste et ciblée, c’est un peu ce qu’on lui demande. Ca, et offrir une protection efficace. Sur ce point, il semble que quelques optimisations devraient être mises en place pour adapter à nouveau le moteur d’ESET Smart Security aux menaces « zero day » actuelles, point sur lequel les derniers tests des laboratoires le voient sensiblement peiner. En revanche, malgré l’absence d’évolution de son interface, on apprécie toujours énormément la simplicité de celle-ci et sa capacité à s’adapter à différents publics, ce qui n’est pas le cas de tous les logiciels qui ont parfois tendance à trop se vulgariser sans penser aux utilisateurs plus technophiles.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
24
13
ar-s
C’est bien beau mais la plupart des gens lambda utilisent encore les initiales de leurs gosses et leur date de naissance… Et pire, ils l’utilisent partout.
bronngeor
Et si les gens arrêter détaler leur vie sur le WEB ils seraient plus en sécurité, mais non ils faut qu’ils étalent tout et après ils s’en prenne aux autres qu’ils commence à réfléchir.
SlashDot2k19
Oui, c’est consternant…
SPH
«&nbsp;123456&nbsp;» est un MDP facile à trouver.<br /> Il suffit d’y ajouter une lettre et ça deviendra très difficile : 1234h56"<br /> Mais il y a aussi la longueur du MDP : en utilisant les chiffres et lettres (min et maj), un MDP de 10 caractères donne 1 combinaison sur 839299365868340224<br /> A voir donc…
Voigt-Kampf
Passe passe la phrase, il y a du monde sur les réseaux en phase.
Martin_Penwald
Une phrase, c’est pas beaucoup mieux qu’un simple mot de passe. Et si on rajoute des caractères spéciaux ou des chiffres comme dans l’exemple donné, il faut se rappeler de la position de ceux-ci. Pas sûr que ce soit plus simple ou plus sûr qu’un mot de passe comme ”gr0b4doürTUrd6v1eN”.
ar-s
SPH:<br /> 1234h56<br /> Ton exemple est pourri mon bon SPH. 7 caractères… Surtout si tu n’ajoutes qu’une lettre.<br /> Essaye en PB pour voir en combien de temps il te le trouve tu vas rigoler.<br /> Je viens de tester avec le mdp : 9234999562 (bien plus dure que ton 1234h56) en le bruteforçant, mon code de woualou a mis 389411ms (6min49) à le trouver (Ryzen 3700x).<br /> Les gens ne se rendent pas compte de la fragilité des mots de passe qu’ils utilisent.<br /> La longueur est très importante en plus des mix MAJ/min/symbole/chiffre.
SPH
Mon très chère ar-s, 7 caractères, ce n’est pas trop mal. Tu te basais sur le fait de connaitre le mot de passe (qui contenait des chiffres et une lettre minuscule). Mais si je ne te l’avais pas dis, tu ne l’aurais pas facilement trouvé. Le forcebrute a 1 chance sur 3521614606208 de le trouver (en supposant que le MDP contienne des chiffres et des lettres (min et maj).<br /> Aussi, je précisais qu’il vaux mieux un MDP plus long. Je proposais 10 caractères.<br /> Mais personnellement, j’opte pour un MDP de 25 caractères comprenant tout type de caractères. Tu as alors 1 chance sur 259671284599896939318398899521251713396513582588002008301568 pour le trouver. A une fréquence de test de 10000 MDP par secondes, cela fait une recherche de 8.2341224188196644887873826585886514902 E47 années.
AtomosF
Comment test tu cela stp ?
Oldtimer
Moi j’utilise comme mot de passe « JeSuisUnPuceauBoutonneux »<br /> Je doute fort que les pirates osent tester ce mot de passe <br /> Dommage qu’on ne puisse pas utiliser des caractères spéciaux ALT+num ( c’est pas les caractères ascii ?)
SPH
Lors de vagues de piratage de comptes internet, les pirates accumulent les mots de passe dans ce qu’on appelle des dictionnaires. Le mot de passe «&nbsp;123456&nbsp;» est dans tout bon dico de pirate.<br /> Ton MDP « JeSuisUnPuceauBoutonneux » est un (assez) bon mot de passe. Mais une faute d’orthographe dans ton MDP le rendra plus sûr. Ca évitera de trouver une phrase cohérente faite avec des mots du dictionnaire français.<br /> Une attaque au dictionnaire fait tomber les MDP «&nbsp;12345&nbsp;», «&nbsp;123456&nbsp;», «&nbsp;azerty&nbsp;», etc en quelques millisecondes. Mais pas «&nbsp;1234h56&nbsp;» qui n’est pas dans le dico (jusqu’à ce qu’il y entre tôt ou tard).<br /> Après avoir attaqué un MDP au dico, il ne reste au pirate que la méthode forcebrute attack. Ca consiste a essayer toutes les combinaisons de lettres… (et ca prend un temps de dingue)
ar-s
J’ai codé un programme qui lance un chrono au début de code et le stop lorsqu’il a terminé.<br /> Je code en pure basic mais tu peux faire ça en n’importe quel langage.
ar-s
Citation<br /> Tu te basais sur le fait de connaitre le mot de passe (qui contenait des chiffres et une lettre minuscule)<br /> Ben non, je n’ai pas cherché ton MDP, j’ai testé avec «&nbsp;9234999562&nbsp;» qui comporte dejà 12 chiffres. Si on prend l’exemple 7 chiffres don 1 lettre, en brutteforçant nombre+lettre min/maj je suis pas sur que ça prenne plus de temps. Faut se méfier de la puissance de calcul des proces modernes.<br /> Je te rejoint sur les mots de passe long/complexe. Un soft comme bitwarden ou autre du genre et s’est réglé…
SPH
7 caractères, c’est (pour des lettres et des chiffres) : 62 puissance 7<br /> Donc : 3521614606208<br /> Il y a un paramètre à prendre en compte : le piratage d’un mot de passe sur un site est un processus «&nbsp;lent&nbsp;». Le serveur ne répond pas immédiatement. Le ping est plus grand que 0.<br /> Donc, on va dire en étant large que le serveur est capable de traiter 10 MDP/secondes.<br /> Cela donne 3521614606208/10/3600/24<br /> soit : 4 075 942,83 jours
kroman
Il y a un autre paramètre pour les sites. Au bout de quelques tentatives le site propose un Captcha, ou utilise Fail2Ban pour scruter les logs de connexion et bannit l’IP.
Peggy10Huitres
J’en pense que 2FA à rendu obsolète «&nbsp;la phrase de passe&nbsp;» …<br /> Si on commence à mettre une phrase à chaque login, à la fin du mois j’ai facile écrit un bouquin !
marc87
Une phrase c’est bien sur PC, mais la faire sur un telephone mobile devient un cauchemar.
ar-s
Tu peux créer un passe memotechnique.<br /> J’aime beaucoup le cassoulet du 11 ! =&gt; J’mBl3cD11 !<br /> Mais le plus simple et efficace reste d’utiliser un gestionnaire/generateur de mdp comme bitwarden ou autre.
Peggy10Huitres
Tu peux créer un passe memotechnique.<br /> J’aime beaucoup le cassoulet du 11 ! =&gt; J’mBl3cD11 !<br /> Non mais comme je le disais un passe normale suffit si l’on a activé le 2FA !<br /> Mais le plus simple et efficace reste d’utiliser un gestionnaire/generateur de mdp comme bitwarden ou autre.<br /> Je n’aime pas l’idée qu’une clé donne accès à toutes les autres, je ne trouve pas cela sécurisé …
ar-s
Le 2FA c’est gentil mais si je dois l’utiliser sur tous mes comptes, je pète un câble. Et tu perds ou qu’on te vole ton smartphone t’es juste trop mal. J’entends ton argument de la clé unique risquée mais cette clé tu peux la protéger en 2fa si tu l’utilises.
Peggy10Huitres
Le 2FA c’est gentil mais si je dois l’utiliser sur tous mes comptes, je pète un câble.<br /> Et tu perds ou qu’on te vole ton smartphone t’es juste trop mal.<br /> Effectivement, mais cela dépend du site en question et du paramétrage utilisateur.<br /> Si le site le permet et par exemple sur Gmail en 2FA j’ai mis ma YubiKey pas défaut, si je la perd j’ai mis un Google Auth sur une App verrouillé par code ou biométrie, si je perd et ma Yubikey et mon cellphone, j’ai aussi ajouter 10 codes uniques papier qui sont toujours stocké sur mon laptop dans une archive crypté.<br /> Le fait de mettre ma Yubikey par défaut, je n’ai qu’a la toucher pour valider mon 2FA, pas besoin de taper un code reçut par Sms ou dévérouiller mon App Google Auth pour avoir accès aux codes temporaires.<br /> Donc Simple, efficace, sécurisé et backupé …<br /> J’entends ton argument de la clé unique risquée mais cette clé tu peux la protéger en 2fa si tu l’utilises.<br /> Effectivement, mais je suppose que tu déverrouilles ton 2FA pour toute la longueur de ta session.<br /> Il suffit de partir faire quelques choses quelques minutes pour que n’importe qui puisse accéder physiquement à ta session ouverte et donc accéder à tous les mots de passe de ton gestionnaire puisqu’ils sont tous au même endroit !<br /> La seule solution, ne jamais oublier de Locker la session en cours, mais dans la réalité …
ar-s
Alors pas vraiment. C’est au choix. On peut se delog de bitwarden manuellement ou à x min. Pour ma part, je laisse une session de 30 min max. A chacun d’être vigilant en même temps.
Peggy10Huitres
Alors pas vraiment. C’est au choix. On peut se delog de bitwarden manuellement ou à x min. Pour ma part, je laisse une session de 30 min max.<br /> Sauf que si tu delog de bitwarden tu n’as plus accès aux passwords …<br /> A chacun d’être vigilant en même temps.<br /> Tout à fait !
heauton
Bonjour,<br /> certes mais si on respecte la règle un mot de passe par compte, ce qui me paraît élémentaire, combien de phrases doit-on mémoriser quand trente, quatre-vingts ou cent-quarante comptes existent ? Impossible si en plus on y a mis des codes (ajout caractère spécial par exemple).<br /> Quant à l’idée d’une seule phrase pour tous ses comptes, on est sûr qu’un jour ou l’autre, on aura oublié ou la syntaxe ou un caractère. Les changements de phrases ajouteront à la complexe mémorisation.
Voir tous les messages sur le forum

Lectures liées

Malgré la débâcle, Apple planche toujours sur un chargeur multi-appareil
Le OnePlus 10 Pro s'imposera comme l'un des smartphones les plus puissants au monde
On en sait plus sur l'écran du smartphone pliant d'OPPO
La nouvelle montre connectée de Vivo fuite en image et offrirait une meilleure autonomie que sa grande sœur
Xiaomi 12 : le nouveau smartphone sous Snapdragon 8 Gen1 sera-t-il présenté le 12 décembre ?
Le Samsung Galaxy Note, c'est fini !
Profitez du Black Friday et optez pour la recharge rapide avec ce chargeur 100W Ugreen
MediaTek s'attaque au haut de gamme avec son Dimensity 9000
L'OPPO Reno 7 fuite et ressemble étrangement au OnePlus Nord N20
Le Google Pixel 6a se montre déjà
Haut de page