Réseaux sociaux : "Il faut oublier le mot de passe et faire des phrases de passe" (Interview)

Alexandre Boero
Chargé de l'actualité de Clubic
19 novembre 2021 à 11h11
24
© Chesnot / Getty Images
© Chesnot / Getty Images

À force de subir des fuites et autres pannes à répétition, les réseaux sociaux risquent d'avoir du mal à se réconcilier avec le mot « sécurité ». Il est toutefois possible de se prémunir de certains risques.

Avons-nous jamais été en sécurité sur les réseaux sociaux ? Benoît Grunenwald, expert en cybersécurité chez ESET France, nous aide à répondre à cette question à la lumière des nombreux incidents et fuites de données subies par de grandes plateformes comme Facebook ou Twitch cette année. Le spécialiste, que nous avons rencontré lors des Assises de la sécurité 2021 à Monaco, en profite aussi pour distiller quelques conseils bienvenus.

Benoît Grunenwald (© Alexandre Boero pour Clubic)
Benoît Grunenwald (© Alexandre Boero pour Clubic)

L'interview « réseaux sociaux » de Benoît Grunenwald

Clubic : Fuites, pannes... les réseaux sociaux ne sont pas épargnés par les polémiques ces derniers temps. On a tous en mémoire l'incident Facebook du début du mois d'octobre. D'où viennent ces pannes généralement ?

Benoît Grunenwald : Bien souvent, elles viennent d'attaques DDoS (attaque par déni de service). Ici, on est sur une cyberattaque dans laquelle un très grand nombre de points, par exemple des objets connectés ou des ordinateurs, vont lancer des requêtes sur le site ou l'infrastructure en question, et à partir de là, les requêtes légitimes, la vôtre, la mienne, pour consulter nos comptes, vont être noyées dans cette masse, et nous n'arriveront pas à accéder au réseau.

Ensuite, vous avez toutes les erreurs humaines, et on l'a vu aussi avec Facebook. Jusqu'à preuve du contraire, il s'agit d'une erreur rencontrée lors d'une mise à jour d'un élément un peu spécial sur le réseau, le routage des différents paquets qui vont aller jusqu'au serveur de l'écosystème Facebook.

« Pour Twitch, la fuite est une très grosse perte, à la fois en image et au niveau industriel »

Qui a intérêt à frapper Facebook par le biais d'une attaque DDoS ?

Si rien n'est impossible, il semble compliqué que cela puisse être un particulier, même si on sait que l'on peut trouver des « ressources » sur le dark Web voire même ailleurs, avec un peu de ténacité. Le particulier aurait toutefois beaucoup de risques de se faire retrouver. On l'a vu aussi récemment avec la fuite massive de données (1,4 million d'entrées) de l'AP-HP, à l'issue de laquelle la police a fini par mettre la main sur un étudiant situé en France. On peut très bien imaginer que les attaquants soient des entreprises concurrentes à la manœuvre, ou des États avec un objectif de déstabilisation politique.

L'une des grandes fuites que l'on retiendra de cette année 2021, c'est le Twitch Leak, avec 125 Go de données dérobés…

Oui, c'est de la folie. Pour Twitch, c'est une très grosse perte, à la fois en image, parce que les streamers ont vu leurs revenus sortir au grand jour, et à la fois au niveau industriel. La plateforme avait des projets encore secrets qui se sont retrouvés dans la nature, avec les plans d'une plateforme concurrente de Steam. Donc cette fuite d'informations, même si elle n'a pas été orchestrée par des concurrents, va potentiellement leur bénéficier.

On en revient à notre question de départ... Peut-on aujourd'hui être en sécurité sur les réseaux sociaux ?

Il y a un contrat qui est très simple avec les réseaux sociaux : à partir du moment où vous allez créer un compte, vous devez le sécuriser. Ce compte-là nécessite donc un login, un mot de passe et, si cela est possible, ajouter l'authentification à deux facteurs. Le thème du mois de la cybersécurité était justement le mot de passe, cette année.

Pour moi, il faut oublier le mot de passe et faire des phrases de passe. À partir du moment où on a un mot de passe qui serait une succession de lettres, de caractères complètement inintelligibles, on ne va pas réussir à le retenir, tandis que si on fait une phrase du type « Aujourd'hui-Nous_Sommes2Aux-Assises21-DeLaSecuritéÀMonaco85 », que l'on a soupoudré de caractères spéciaux, de chiffres et d'espaces, on franchit un cap dans la sécurisation. Là, on est sur un mot, enfin une phrase de passe, fort, unique, qui va être très difficile à retrouver pour un cybercriminel, qui devrait donc passer à un autre compte, plutôt que de s'acharner sur le nôtre.

« Les hackers agrègent toutes les fuites de données consciencieusement »

Malgré ces fuites à répétition, les gens, notamment les plus jeunes, ont encore du mal à prendre conscience que le mot de passe peut être plus fortement protégé, ce qui fait qu'on se retrouve parfois avec des mots de passe très simples...

C'est en effet déconcertant… On discutait à ce sujet avec l'Association e-Enfance, qui aide les jeunes victimes de cyber-harcèlement. Certains nous disaient que partager son mot de passe avec un tiers, avec un ami constitue une sorte de preuve de confiance. Ce n'est pas à faire, bien entendu, mais il y a des comportements malheureusement liés au numérique et qui sont parfois irréfléchis.

Au quotidien, comment les réseaux sociaux luttent contre ces attaques DDoS ? Existe-t-il des moyens pour prévenir ces cyberattaques ?

Les réseaux sociaux eux-mêmes se protègent, parce qu'ils veulent éviter qu'une panne ne survienne et pousse les utilisateurs à aller sur d'autres plateformes, avec le risque qu'ils ne reviennent plus. Donc ils ont tout intérêt à protéger leurs utilisateurs. Sur le cyber-harcèlement, on le voit, TikTok fait énormément d'efforts pour créer des comptes familiaux, pour protéger et mettre en relation les parents et les enfants. On le voit aussi chez d'autres éditeurs ou fournisseurs de services, qui vont dans certains cas pousser l'utilisateur à adopter l'authentification à deux facteurs de sécurité.

Stand ESET, aux Assises de la sécurité 2021 (© Alexandre Boero pour Clubic)
Stand ESET, aux Assises de la sécurité 2021 (© Alexandre Boero pour Clubic)

Facebook a aussi récemment subi une « fuite », les guillemets sont de rigueur, de 1,5 milliard de données. Ces données proviennent d'anciennes fuites et potentiellement de données accessibles publiquement. Il faut donc aussi faire attention au niveau de la communication ?

Il faut faire très attention, en effet, parce que les cybercriminels, dont le métier est de nous attaquer nous en tant que particuliers, agrègent toutes les fuites de données consciencieusement, surtout si elles contiennent notre identifiant (souvent une adresse e-mail), un mot de passe (qu'il soit en clair ou chiffré), et ensuite des informations personnelles. Au plus ils ont des informations de ce type-là, au plus ils vont pouvoir nous envoyer des e-mails très ciblés. Si par exemple vous êtes concernés par la fuite liée à l'AP-HP et à votre test COVID, ils sont capables de vous envoyer un e-mail en écrivant « vous avez passé un test à telle date, celui-ci est positif, négatif... ». Du coup, ça nous met en confiance, parce qu'on voit que l'information envoyée n'est pas destinée à tout le monde, que le message est très personnalisé, ce qui rend l'hameçonnage encore plus efficace.

« Beaucoup d'arnaques varient selon le réseau social et donc en fonction de la tranche d'âge des utilisateurs »

Quelles arnaques ont pu notamment découler de ces fuites de données issues des réseaux sociaux ?

Sur les réseaux sociaux, nous allons avoir une myriade de cybercriminels qui vont s'intéresser à nous : soit en nous demandant en ami pour faire monter la notoriété d'un compte qui va ensuite servir à faire des arnaques, ce qui arrive assez fréquemment ; soit en utilisant des comptes illégitimes pour faire des jeux concours qui ne feront rien gagner, d'une part, tout en vous demandant de participer aux frais d'envoi. En fait, vous allez donner votre carte bancaire, votre RIB, mais derrière, il n'y a rien. Beaucoup d'arnaques varient selon réseau social et donc en fonction de la tranche d'âge des utilisateurs. Si vous êtes un étudiant qui navigue plutôt sur Instagram, vous allez avoir l'envie de gagner des vêtements de luxe, des petits cadeaux, des jeux. Souvent, l'arnaque est aussi liée au pouvoir d'achat de celui qui est visé. On ne demandera pas la même chose à un jeune et à un senior.

Pour finir, quelle est l'actualité du moment chez ESET ?

Pour protéger les particuliers, nous avons sorti, mi-octobre, une nouvelle version de notre solution, qui facilite, pour l'utilisateur, la gestion quotidienne de la protection, que ce soit le contrôle parental ou la perte du mobile. On s'aperçoit que dans 25 % des cas, lorsqu'on perd son mobile et qu'on a installé l'application ESET, on arrive à retrouver son mobile en mettant un petit message à celui qui l'a trouvé. Cette solution coûte une trentaine d'euros.

ESET Home Security Premium
Voir l'offre
Lire l'avis 8.3
ESET Home Security Premium
  • Interface soignée
  • Protection de premier ordre
  • Impact sur les performances quasi nul

ESET Home Security 17 offre une protection en temps réel parmi les plus efficaces du marché. L’optimisation de la suite de sécurité constitue également un énorme atout. Elle fonctionne en tâche de fond avec un impact qausiement imperceptible sur le système. C’est une solution qui possède l'avantage de pouvoir s’adresser aussi bien aux novices, qu'aux technophiles expérimentés qui peuvent accéder à d’innombrables options de personnalisation des réglages. On regrette en revanche que le nouveau VPN et la protection de l'identité soient réservés exclusivement à la version Ultimate. Sans oublier des tarifs toujours plus élevés que la moyenne.

ESET Home Security 17 offre une protection en temps réel parmi les plus efficaces du marché. L’optimisation de la suite de sécurité constitue également un énorme atout. Elle fonctionne en tâche de fond avec un impact qausiement imperceptible sur le système. C’est une solution qui possède l'avantage de pouvoir s’adresser aussi bien aux novices, qu'aux technophiles expérimentés qui peuvent accéder à d’innombrables options de personnalisation des réglages. On regrette en revanche que le nouveau VPN et la protection de l'identité soient réservés exclusivement à la version Ultimate. Sans oublier des tarifs toujours plus élevés que la moyenne.

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (24)

ar-s
C’est bien beau mais la plupart des gens lambda utilisent encore les initiales de leurs gosses et leur date de naissance… Et pire, ils l’utilisent partout.
bronngeor
Et si les gens arrêter détaler leur vie sur le WEB ils seraient plus en sécurité, mais non ils faut qu’ils étalent tout et après ils s’en prenne aux autres qu’ils commence à réfléchir.
SlashDot2k19
Oui, c’est consternant…
SPH
«&nbsp;123456&nbsp;» est un MDP facile à trouver.<br /> Il suffit d’y ajouter une lettre et ça deviendra très difficile : 1234h56"<br /> Mais il y a aussi la longueur du MDP : en utilisant les chiffres et lettres (min et maj), un MDP de 10 caractères donne 1 combinaison sur 839299365868340224<br /> A voir donc…
Voigt-Kampf
Passe passe la phrase, il y a du monde sur les réseaux en phase.
Martin_Penwald
Une phrase, c’est pas beaucoup mieux qu’un simple mot de passe. Et si on rajoute des caractères spéciaux ou des chiffres comme dans l’exemple donné, il faut se rappeler de la position de ceux-ci. Pas sûr que ce soit plus simple ou plus sûr qu’un mot de passe comme ”gr0b4doürTUrd6v1eN”.
ar-s
SPH:<br /> 1234h56<br /> Ton exemple est pourri mon bon SPH. 7 caractères… Surtout si tu n’ajoutes qu’une lettre.<br /> Essaye en PB pour voir en combien de temps il te le trouve tu vas rigoler.<br /> Je viens de tester avec le mdp : 9234999562 (bien plus dure que ton 1234h56) en le bruteforçant, mon code de woualou a mis 389411ms (6min49) à le trouver (Ryzen 3700x).<br /> Les gens ne se rendent pas compte de la fragilité des mots de passe qu’ils utilisent.<br /> La longueur est très importante en plus des mix MAJ/min/symbole/chiffre.
SPH
Mon très chère ar-s, 7 caractères, ce n’est pas trop mal. Tu te basais sur le fait de connaitre le mot de passe (qui contenait des chiffres et une lettre minuscule). Mais si je ne te l’avais pas dis, tu ne l’aurais pas facilement trouvé. Le forcebrute a 1 chance sur 3521614606208 de le trouver (en supposant que le MDP contienne des chiffres et des lettres (min et maj).<br /> Aussi, je précisais qu’il vaux mieux un MDP plus long. Je proposais 10 caractères.<br /> Mais personnellement, j’opte pour un MDP de 25 caractères comprenant tout type de caractères. Tu as alors 1 chance sur 259671284599896939318398899521251713396513582588002008301568 pour le trouver. A une fréquence de test de 10000 MDP par secondes, cela fait une recherche de 8.2341224188196644887873826585886514902 E47 années.
AtomosF
Comment test tu cela stp ?
Oldtimer
Moi j’utilise comme mot de passe « JeSuisUnPuceauBoutonneux »<br /> Je doute fort que les pirates osent tester ce mot de passe <br /> Dommage qu’on ne puisse pas utiliser des caractères spéciaux ALT+num ( c’est pas les caractères ascii ?)
SPH
Lors de vagues de piratage de comptes internet, les pirates accumulent les mots de passe dans ce qu’on appelle des dictionnaires. Le mot de passe «&nbsp;123456&nbsp;» est dans tout bon dico de pirate.<br /> Ton MDP « JeSuisUnPuceauBoutonneux » est un (assez) bon mot de passe. Mais une faute d’orthographe dans ton MDP le rendra plus sûr. Ca évitera de trouver une phrase cohérente faite avec des mots du dictionnaire français.<br /> Une attaque au dictionnaire fait tomber les MDP «&nbsp;12345&nbsp;», «&nbsp;123456&nbsp;», «&nbsp;azerty&nbsp;», etc en quelques millisecondes. Mais pas «&nbsp;1234h56&nbsp;» qui n’est pas dans le dico (jusqu’à ce qu’il y entre tôt ou tard).<br /> Après avoir attaqué un MDP au dico, il ne reste au pirate que la méthode forcebrute attack. Ca consiste a essayer toutes les combinaisons de lettres… (et ca prend un temps de dingue)
ar-s
J’ai codé un programme qui lance un chrono au début de code et le stop lorsqu’il a terminé.<br /> Je code en pure basic mais tu peux faire ça en n’importe quel langage.
ar-s
Citation<br /> Tu te basais sur le fait de connaitre le mot de passe (qui contenait des chiffres et une lettre minuscule)<br /> Ben non, je n’ai pas cherché ton MDP, j’ai testé avec «&nbsp;9234999562&nbsp;» qui comporte dejà 12 chiffres. Si on prend l’exemple 7 chiffres don 1 lettre, en brutteforçant nombre+lettre min/maj je suis pas sur que ça prenne plus de temps. Faut se méfier de la puissance de calcul des proces modernes.<br /> Je te rejoint sur les mots de passe long/complexe. Un soft comme bitwarden ou autre du genre et s’est réglé…
SPH
7 caractères, c’est (pour des lettres et des chiffres) : 62 puissance 7<br /> Donc : 3521614606208<br /> Il y a un paramètre à prendre en compte : le piratage d’un mot de passe sur un site est un processus «&nbsp;lent&nbsp;». Le serveur ne répond pas immédiatement. Le ping est plus grand que 0.<br /> Donc, on va dire en étant large que le serveur est capable de traiter 10 MDP/secondes.<br /> Cela donne 3521614606208/10/3600/24<br /> soit : 4 075 942,83 jours
kroman
Il y a un autre paramètre pour les sites. Au bout de quelques tentatives le site propose un Captcha, ou utilise Fail2Ban pour scruter les logs de connexion et bannit l’IP.
ar-s
Tu peux créer un passe memotechnique.<br /> J’aime beaucoup le cassoulet du 11 ! =&gt; J’mBl3cD11 !<br /> Mais le plus simple et efficace reste d’utiliser un gestionnaire/generateur de mdp comme bitwarden ou autre.
ar-s
Le 2FA c’est gentil mais si je dois l’utiliser sur tous mes comptes, je pète un câble. Et tu perds ou qu’on te vole ton smartphone t’es juste trop mal. J’entends ton argument de la clé unique risquée mais cette clé tu peux la protéger en 2fa si tu l’utilises.
ar-s
Alors pas vraiment. C’est au choix. On peut se delog de bitwarden manuellement ou à x min. Pour ma part, je laisse une session de 30 min max. A chacun d’être vigilant en même temps.
heauton
Bonjour,<br /> certes mais si on respecte la règle un mot de passe par compte, ce qui me paraît élémentaire, combien de phrases doit-on mémoriser quand trente, quatre-vingts ou cent-quarante comptes existent ? Impossible si en plus on y a mis des codes (ajout caractère spécial par exemple).<br /> Quant à l’idée d’une seule phrase pour tous ses comptes, on est sûr qu’un jour ou l’autre, on aura oublié ou la syntaxe ou un caractère. Les changements de phrases ajouteront à la complexe mémorisation.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Réseaux sociaux : Réseaux sociaux : "Il faut oublier le mot de passe et faire des phrases de passe" (Interview)
ESET et Microsoft à la rescousse de l'Ukraine contre les hackers russes ESET et Microsoft à la rescousse de l'Ukraine contre les hackers russes
Le réseau Neopets hacké : les données de 69 millions d'utilisateurs sont à vendre Le réseau Neopets hacké : les données de 69 millions d'utilisateurs sont à vendre
Comment les hackers choisissent leurs victimes ? Comment les hackers choisissent leurs victimes ?
L'application Facebook Gaming tirera sa révérence cette année L'application Facebook Gaming tirera sa révérence cette année