Twitter, Zoom et les joueurs Nintendo, parmi les pires élèves en matière de mots de passe

Dans son classement annuel, le gestionnaire de mots de passe Dashlane pointe du doigt le manque de sécurité des employés et utilisateurs de plusieurs grandes plateformes et services.

Les autorités, spécialistes ou entreprises du vaste secteur de la cybersécurité rappellent à longueur d'année les bons réflexes à adopter pour dormir sur ses deux oreilles avec des mots de passe forts : l'activation de la double authentification, un mot de passe différent pour chaque site ou service, l'activation des alertes de sécurité voire l'utilisation d'un gestionnaire de mots de passe. L'un de ses représentants, le Français Dashlane, a présenté son classement des « pires élèves en matière de mots de passe ».

Des piratages massifs dus à des mots de passe bien trop faibles

Pour Dashlane, le plus mauvais élève, c'est incontestablement Twitter. Ou plus particulièrement, ce sont les employés du réseau social. Tout le monde a en tête le piège tendu par ce lycéen de 17 ans, originaire de Floride, qui a berné plusieurs salariés de Twitter grâce à l'ingénierie sociale cet été en publiant des arnaques au Bitcoin depuis 130 comptes très suivis, comme ceux de Joe Biden, de Bill Gates ou d'Elon Musk. Pour colmater la brèche, le service informatique de Twitter a demandé à ses milliers d'employés de changer manuellement leurs mots de passe, qui pour beaucoup étaient insuffisamment protégés. À la guerre comme à la guerre.

Les utilisateurs de Zoom, eux, ne sont pas en reste. En avril dernier, les identifiants de plus de 500 000 comptes Zoom furent mis en ligne sur le dark web. Pour y parvenir, les hackers avaient fait appel à des bots et s'étaient adonnés à la pratique du credential stuffing, qui consiste à essayer de multiples combinaisons jusqu'à trouver le bon mot de passe. Les comptes protégés par de faibles mots de passe (et ils étaient nombreux donc) étaient facilement tombés dans les mains des pirates.

Autre marque célèbre touchée : Nintendo. Et les torts semblent ici partagés entre le géant japonais et ses joueurs. 300 000 utilisateurs Nintendo ont en effet vu leur compte piraté cette année, en pleine crise de coronavirus. À l'instar de Zoom, les hackers sont parvenus à trouver les mots de passe les plus faibles, par credential stuffing mais aussi par attaque par force brute. Dashlane estime que Nintendo devrait revoir à la hausse son niveau de protection.

Certains groupes, et non des moindres, n'ont pas suffisamment appris de leurs erreurs

D'autres cas ô combien symboliques sont aussi évoqués par Dashlane, comme la fuite massive de données personnelles appartenant à 9 millions de clients d'easyJet. La compagnie aérienne britannique a laissé échapper de nombreuses informations, parmi lesquelles des adresses électroniques, ainsi que les coordonnées bancaires de 2 000 de ses clients. La faille fut révélée en avril, alors même que le transporteur était au courant depuis janvier.

Le groupe hôtelier Marriott, déjà frappé par un piratage massif de 500 millions de clients en 2018, a subi une nouvelle cyberattaque au début de l'année, la faute à des identifiants compromis provenant directement du personnel de la chaîne, qui n'avait visiblement pas appris de ses erreurs.

Le plus grand bureau de crédit au monde, Experian, a fait l'erreur de transmettre certaines informations personnelles à un hacker, qui était parvenu à se faire passer pour un client auprès de la filiale sud-africaine du groupe. Bilan des courses : 24 millions de personnes impactées, auxquelles on peut ajouter 800 000 entreprises du pays.

Le mot de passe constitue le premier rempart face aux hackers. Même en étant irréprochable dans sa navigation, une attaque de type credential stuffing peut être lancée. Et dans ce cas-là, seul un mot de passe des plus solides pourra limiter vos chances d'être hacké.