Le «Momo Challenge», un défi dangereux


Momo challenge continu à se multiplier et se faire connaître. La cybersécurité policière, ne sait toujours pas qui se cache sous ce jeu qui propse des défis de plus en plus malveillants sous peine de malédictions et de menaces. Ce jeu utilise WhatsApp pour clavarder avec les joueurs, cette application appartient à Facebook. N’aurait-il pas intérêt à débusquer le ou les auteurs de WhatsApp et d’informer la police ?
Nuage

 

Le «Momo Challenge», un défi dangereux

 

 

JEAN SIAG
La Presse

L’affaire, nébuleuse, prend de l’ampleur. Depuis quelques semaines, de jeunes utilisateurs des réseaux sociaux sont pris pour cible par un mystérieux personnage appelé Momo, qui les incite à faire des gestes violents sous peine de menaces. Le phénomène, mondial, est devenu viral

Explications.

Il est représenté par une poupée à la peau diaphane, aux longs cheveux noirs, aux yeux exorbités et au sourire diabolique – apparemment inspirée d’une sculpture créée par l’entreprise japonaise d’effets spéciaux Link Factory. Et il répond au nom de Momo.

Son modus operandi? Un message est envoyé sur les réseaux sociaux avec un numéro privé à ajouter sur l’application de messagerie WhatsApp. Il s’agit d’une invitation à participer au «Momo Challenge». Une fois ajouté à leurs contacts, les jeunes utilisateurs peuvent communiquer avec ledit Momo pour «jouer le jeu».

Selon Jean-Philippe Décarie-Mathieu, spécialiste en cybersécurité aux Commissionnaires du Québec, c’est à ce moment que le processus est mis en branle. Le «challenge» en question serait une série de défis malveillants à relever sous peine de menaces et de malédictions.

«Le but de Momo n’est pas clair, analyse-t-il. C’est une forme d’exercice de domination où un ou des individus font chanter leurs victimes en les menaçant de dévoiler leurs informations personnelles, qui existent souvent déjà sur les réseaux sociaux. Ce sont des informations relativement faciles à obtenir.»

Un scénario qui rappelle le «Blue Whale Challenge» à l’origine d’une centaine de suicides en Russie il y a deux ans. La série de fiction dystopique Black Mirror et le film Nerve sorti en 2016 abordaient également ce thème.

Selon The Daily Mail et la chaîne publique BBC, trois numéros de compte WhatsApp partagés en ligne seraient liés à Momo. Ils proviendraient du Japon, de la Colombie et du Mexique. Le «Momo Challenge» a mené la semaine dernière au suicide d’une jeune fille de 12 ans, en Argentine, qui relevait le défi…

Multiplication de Momo

«On ne sait pas qui se cache derrière le personnage de Momo, mais on soupçonne un groupe d’intimidateurs, nous dit Nellie Brière, spécialiste des réseaux sociaux et du « trollage ». Le problème, c’est que comme c’est un phénomène internet, il y a plein de nouveaux Momo qui sont nés du fait qu’on en parle…»

L’effet copycat, qui entraîne la multiplication des Momo, complique évidemment la tâche des policiers, qui doivent départager le vrai des faux. Plus il y a de Momo, plus les pistes sont brouillées.

«S’ils sont habiles, on pourrait ne jamais les retrouver, croit Jean-Philippe Décarie-Mathieu. En termes de maîtrise de la technologie, les services policiers ont de 10 à 15 ans de retard sur les cybercriminels.»

Il y a un effet boule de neige, croit Nellie Brière.

 «Les gens vont monter en épingle leur histoire avec Momo, qui est peut-être fausse, mais qui va générer des like. Ces histoires sont ensuite reprises par des youtubeurs qui voient augmenter leur nombre d’abonnés et leur visibilité. Allez savoir après ce qui est vrai et ce qui est faux…»

On sait peu de choses sur le déroulement de ces séances de clavardage avec Momo, mais les témoignages relayés dans les médias par des ados qui ont joué le jeu parlent d’incitation à la violence et d’échanges de contenus violents.

«C’est basé sur le principe de la rumeur et de la légende. Au début, Momo est sympathique, mais petit à petit, il instaure des règles qu’il faut respecter sous peine de malédictions.»

«Par la suite, il lance des défis aux jeunes. Dans certains cas, il y a de l’extorsion et du piratage. Grâce à certaines techniques, ils ont la capacité de prendre possession de votre téléphone», poursuit Mme Brière.

Une fois hameçonnés, la plupart des jeunes prennent peur.

«Les ados ont peut-être consommé de la porno, échangé des sextos, ils ont peut-être fait des choses qu’ils ne veulent pas voir dévoiler, poursuit Nellie Brière. Ils auront donc tendance à obtempérer et à faire ce qu’on leur demande. C’est du chantage.»

Une escalade d’actions

Que sait-on de ces défis malveillants?

«C’est une escalade d’actions périlleuses et violentes, avance Nellie Brière. Mais là encore, ça relève de la légende, on ne sait pas ce qui est vrai… Il y a aussi un exercice de désensibilisation parce que certains défis consistent à regarder une photo ou une vidéo hyperviolente…»

Les services policiers sont au courant du phénomène. Des jeunes de Longueuil auraient d’ailleurs été pris pour cible. Aucun cas n’a toutefois été rapporté à la Sûreté du Québec (SQ), qui suit la situation de près.

«Nous sommes bien au fait de ce phénomène et on prend ça au sérieux, nous dit le sergent Daniel Thibodeau, porte-parole de la SQ, mais nous n’avons reçu aucune plainte jusqu’à présent.»

Le sergent Thibodeau invite les jeunes à la vigilance.

«Il faut s’abstenir de communiquer avec des inconnus sur les réseaux sociaux, rappelle-t-il. Ceux qui ont été en contact avec Momo devraient alerter une personne de confiance ou la police. Ils peuvent aussi faire des captures d’écran de leurs conversations et nous les envoyer.»

Jean-Philippe Décarie-Mathieu croit que les autorités ont raison d’appeler la population à la vigilance, mais il ne s’inquiète pas outre mesure de la portée de Momo.

«Ils créent un mouvement de panique, ils jouent sur la peur de la technologie, mais malgré le décès en lien avec le Momo Challenge, leur portée est limitée. D’autant plus que la plateforme WhatsApp est encore peu utilisée ici.»

Des jeunes vulnérables

Pour Nellie Brière, cette histoire illustre bien à quel point les jeunes ne sont pas bien outillés pour détecter les pièges sur les réseaux sociaux.

 «Ils ne sont pas conscients non plus de ce que leur téléphone contient», déplore-t-elle.

«On laisse les jeunes à eux-mêmes, malheureusement. Ce genre de légende fonctionne bien auprès d’eux. Le fait que la police en parle incite probablement certains d’entre eux à embarquer. Évidemment, il ne faut jamais divulguer ses informations personnelles. Il faut aussi vérifier ce qu’on a dans nos comptes, dans nos photos, tout ce qui pourrait être utilisé contre eux.»

Nellie Brière croit que Facebook, qui détient la plateforme WhatsApp, ne peut pas rester les bras croisés.

«Si le phénomène est viral, c’est que les réseaux le permettent. Est-ce que Facebook collabore avec la police? Est-ce qu’ils font quelque chose pour éviter que ça se propage encore plus ? S’ils ne font rien, ce genre de situation va se reproduire, c’est sûr. Il ne s’agit pas juste de trouver qui se cache derrière Momo, mais de mettre fin à cette coulée-là.»

http://www.lapresse.ca/

Il a fallu 10 minutes à un enfant de 11 ans pour pirater les résultats d’une élection américaine


L’exercice est une réplique des dernières élections américaines chez de jeunes enfants. Les résultats seraient peut-être différents, si cela était une vraie élection. Mais, quand même qu’un enfant de 11 ans en 10 minutes  puisse réussir à pirater des élections en stimulation, alors que penser des pros pendant une vraie élection ?
Nuage

 

Il a fallu 10 minutes à un enfant de 11 ans pour pirater les résultats d’une élection américaine

 

Une machine à voter, le 8 août 2018 à Doral en Floride | JOE RAEDLE / GETTY IMAGES NORTH AMERICA / AFP

Une machine à voter, le 8 août 2018 à Doral en Floride | JOE RAEDLE / GETTY IMAGES NORTH AMERICA / AFP

Repéré par Victor Métais

Repéré sur Fast Company

Et si, finalement, rien ne valait le bon vieux bulletin de vote en papier?

Hackers, crackers et tout une kyrielle de professionnels de la sécurtié des systèmes d’informations se sont réunis ce week-end lors de la deuxième conférence annuelle de Defcon Security pour aborder les questions de sécurité numérique.

«Nous avons reçu plus de cent élus ici-même et ils ont exprimé encore une fois combien ils avaient apprécié apprendre de cet événement», a expliqué Matt Blaze co-fondateur du Defcon Voting Village.

Et pour cause: des experts présents ont mis à jour des failles dans les systèmes de machines à voter américaines et ont montré les possibilités, pour les pirates informatiques, de s’y introduire, explorer les fichiers ou encore changer le vote.

Dans le cadre du programme r00tz asylum, destiné aux enfants, différents ateliers ont été mis en place pour enseigner aux jeunes face les bases de la sécurité informatique, nous apprend The Fast Company. L’occasion de revenir avec eux sur les tentatives d’intrusion de pirates lors des précédentes élections américaines et de s’essayer au le piratage d’une élection sur une réplique de site spécialement créé pour l’exercice. Selon Buzzfeed News, un enfant de 11 ans a réussi à changer le candidat en tête lors d’une simulation de l’élection présidentielle de 2016 en Floride.

Un piratage (plus facile) dans un contexte aseptisé

Un exercice qui ne serait pas révélateur des conditions d’une vraie élection, estime l’Association Nationale des Secrétaires d’État, chargée, entre autres, de s’assurer de la sécurité des systèmes de vote.

«Notre problème, avec l’initiative de DEFCON, est qu’ils utilisent un pseudo-environnement qui ne reflète en aucun cas les systèmes et réseaux d’élections fédérales critique l’organisation nationale. Fournir à des conférenciers un accès physique illimité aux machines à voter, dont la plupart sont obsolètes, ne reflète pas de manière précise la protection physique et en ligne que l’État et les gouvernements mettent en place avant et pendant le jour de l’élection.»

Les mises en garde sur ces machines électroniques ne datent pas d’hier, rappelle Fast Company: le congrès américain a investi plus de 380 millions de dollars pour renforcer la sécurité du système. Mais cela semble bien insuffisant pour remplacer les machines électroniques.

http://www.slate.fr/

Le Saviez-Vous ► La première cyberattaque de l’histoire a eu lieu en France il y a 200 ans


Le piratage de données que nous avons redoutons sur le net à commencer bien avant que le virtuel rentre dans nos vies. C’est France, quand l’invention du télégraphe Chappe que deux sbires ont réussi à pirater.
Nuage

 

La première cyberattaque de l’histoire a eu lieu en France il y a 200 ans

 

par  Mehdi Karam

Près de 200 ans avant WannaCry ou Spectre et Meltdown, la première cyberattaque de l’histoire avait lieu en France, en 1834. La cible était un système appelé « télégraphe Chappe », inventé en 1794 par Claude Chappe – qui lui a donné son nom.

Celui-ci permettait d’envoyer des données à plusieurs centaines de kilomètres grâce aux sémaphores, moyens de communication optique qui traduisaient des symboles définis en messages. Il s’agissait du premier réseau national de données au monde. Celui-ci était réservé à l’usage du gouvernement. C’était sans compter sur la malice du duo de banquiers François et Joseph Blanc, raconte l’écrivain Tom Standage dans The Economist.

Les deux malfrats avaient trouvé un moyen de l’utiliser à leurs propres fins. Ils interceptaient des informations confidentielles sur les fluctuations du marché et possédaient de ce fait un moyen d’anticiper les événements – et donc de gagner de l’argent. Qui plus est, ils ajoutaient également des informations erronées dans les messages du gouvernement afin de camoufler leurs agissements. Tout ce qu’ils ont eu à dépenser, ce sont quelques sous pour soudoyer l’opérateur télégraphique de la ville de Tours.

Leur manège aura duré deux ans. En 1836, l’opérateur véreux est tombé malade et a tout révélé à l’un de ses amis, qui était censé le remplacer. Malheureusement pour lui, son compagnon était un brin plus honnête et a tout révélé aux autorités. Les frères Blanc ont été jugés mais n’ont pas été condamnés, faute de lois sur le piratage, dont la notion n’existait évidemment pas à l’époque

.

Source : The Economist

http://www.ulyces.co/

Le Saviez-Vous ► 8 Personnes qui ont eu des vies hors du commun


Dans le passé et sûrement présentement, des gens ont vécu d’une façon imprévisible qu’aurait dû être leur vie. Voici 8 d’entre eux qui peut-être en avez-vous déjà entendu parler. Ceux qui m’ont le plus impressionné sont les 2 derniers
Nuage

 

8 Personnes qui ont eu des vies hors du commun

 

 

Olive Oatman, la fille mormone élevée par une tribu d’Amérindiens.

image: Author=Unknown/ Wikimedia

L’histoire d’Olive Oatman (1838-1903), une jeune fille mormone, commence lorsqu’elle a été enlevée par la tribu Yavapai lors d’un voyage en train en Californie à l’âge de 13 ans. Les Yavapai l’ont séparée de ses parents et la vendirent peu de temps après, comme esclave, à une autre tribu, celle des Mohaves; mais elle y fut élevée comme un membre de la tribu, tatouée et revêtue de leurs vêtements. La jeune fille a vécu avec les Mohaves jusqu’ à l’âge de 19 ans, quand (en raison d’une menace des Européens de Fort Yuma) elle a été libérée et rendue à ses proches.

Hans Schimdt, le religieux condamné à la chaise électrique

image: Wikimedia

Hans Schmidt, prêtre d’origine allemande, décida de déménager à l’église Saint-Boniface de Manhattan, où il avait une relation avec une infirmière. En 1913, les deux jeunes gens décidèrent de se marier en secret, mais lorsque la femme prétendit attendre un enfant, Schmidt la tua et la jeta dans le fleuve Hudson. Les enquêteurs ont trouvé les restes de la femme dans la rivière, ils sont retournés voir le prêtre, l’ont arrêté et l’ont condamné à la chaise électrique.

La prostituée devenue la reine des pirates

image: Anonymous/ Wikimedia

L’histoire de Ching Shih se passe en Chine au XIXe siècle. Shih, une femme d’origine modeste, a travaillé comme prostituée jusqu’au jour où le pirate Zheng Yi a rasé son pays et l’a choisie comme épouse. A la mort de son mari, la nouvelle femme a pris le pouvoir de sa flotte et est devenue l’une des femmes chinoises les plus craignées et respectées. Lorsque l’empereur chinois proposa la paix aux pirates en échange de l’abandon de leurs activités criminelles, Shih accepta et revint à la vie civile plus riche que jamais!

L’histoire de l’homme homard

image: Walsh David/ Wikimedia

Grady F. Stiles Jr. souffrait d’ectrodactylie, une maladie qui provoque la déformation des mains et des pieds « en forme de crabe » et pour cette raison il rencontrait de nombreux obstacles dans la marche et il a été contraint d’utiliser la chaise roulante.

Grady travaillait dans le monde du cirque et c’est dans cette environnement qu’il a connu sa future épouse. N’ayant pas la possibilité d’utiliser la partie inférieure du corps, il développa une grande force dans la partie supérieure.  Malheureusement, cette force l’utilisa pour faire du mal aux membres de sa amille, y compris son futur gendre, cje Stiles tué la veille du mariage. En fin de compte, il a été tué par un voisin apparemment engagé par sa femme pour « résoudre le problème ».

L’homme le plus riche qui n’ait jamais existé

image: Gallica Digital Library/ Wikimedia

Mansa Musa Ier est devenu empereur du Mali en 1312. Grâce au commerce de l’or et du sel, il a accumulé une énorme fortune qui se traduit aujourd’hui à environ 400 milliards de dollars, bien plus que la richesse accumulée par Rockefeller!

Que faisait l’Empereur du Mali avec tout cet argent? Une grande partie de sa puissance économique a été investie dans la construction de mosquées (selon la légende, elle a ordonné la construction d’une nouvelle mosquée tous les vendredis).

Le docteur enfermé dans un asile pour avoir dit la vérité

image: Jenő Doby/ Wikimedia

Ignaz Semmelweis était médecin viennois et il remarqua un fait étrange: les femmes enceintes mourant de septicémie étaient cinq fois plus nombreuses dans les services médicaux que dans ceux dirigés par des sages-femmes. En réfléchissant, Semmelweis a compris que cela était dû à de mauvaises mesures d’hygiene: les médecins opéraient les femmes avec les mêmes outils que ceux utilisés pour les autopsies, sans stérilisation adéquate. En raison de sa critique sévère du système hospitalier, celui qui pronait la désinfection des instruments médicaux au chlore a été ridiculisé par ses collègues (qui se sont sentis attaqués) et conduit à la folie. Il est mort en asile, peut-être (ironie du sort) de septicémie!

La femme « insubmersible »

image: Boylo/ Wikimedia

On se souvient de Violet Jessop pour sa capacité à survivre aux catastrophes maritimes. Comme nous vous l’avons bien dit ici, en fait, cette infirmière a vécu entre 1887 et 1971 à bord de trois géants de la mer (olympiques, Titanic et HMHS Britannic) tous impliqués dans des accidents qui ont fait en tout plus de 1500 morts. Même si dans l’un d’eux, elle a été blessé à la tête, Violet a toujours réussi à monter à bord d’un canot de sauvetage!

http://www.regardecettevideo.fr/

Le risque de piratage de pacemaker se précise


Tout se pirate sur Internet, et malheureusement cela peut jouer sur la vie des gens. Ce que les cardiologues américains craints le plus c’est les rançongiciel sur les stimulateurs cardiaque. Pour le moment, ce n’est pas le cas, mais peut-être un jour des gens stupide vont jour avec le coeur malade de beaucoup de gens
Nuage

 

Le risque de piratage de pacemaker se précise

 

Le 2 avril 2018.

Cela fait des années que l’on en parle, mais le risque semble se préciser. D’après le collège des cardiologues américains, le risque que des patients, porteurs de pacemaker, puissent indirectement être  la cible de pirates informatiques, est de plus en plus concret.

Les pacemakers communiquent à distance 

Les dernières générations de stimulateurs cardiaques (pacemaker, en anglais), sont en effet dotées de nouvelles fonctionnalités sans fil. Jusqu’ici, ces appareils pouvaient être réglés à distance par le cardiologue, à l’aide d’un matériel spécifique. Mais le médecin devait se trouver à proximité du patient, dans la même pièce, afin que la communication sans fil entre l’ordinateur pilote et le pacemaker s’établisse.

Mais désormais, les pacemakers sont pour la plupart tout simplement reliés à Internet ! Ils permettent aux équipes médicales de suivre à distance les données transmises par les pacemakers de leurs patients, et de détecter en amont une éventuelle anomalie cardiaque, afin de pouvoir prévenir le patient en cas de problème.

Revers de la médaille, cette connectivité sans fil permanente crèe une vulnérabilité. De quel type ? Peu de risques que des pirates puissent dérégler des pacemakers à distance, répondent en coeur les spécialistes.

Une mise à jour informatique pour 500 000 pacemakers

En revanche, ils envisagent qu’une attaque de type « ransomware », ces programmes qui bloquent des ordinateurs et réclament le paiement d’une rançon, ciblent spécifiquement les machines chargées de surveiller les pacemakers de malades. La communication serait rompue, et la surveillance aussi.

Quant au risque que des pirates dérèglent des pacemakers à distance, il est pour l’instant qualifié de très faible. Même si l’été dernier, l’agence de sécurité sanitaire américaine a exigé que le logiciel de plus de 500 000 pacemakers déja implantés soit mis à jour. Celui-ci était vulnérable à des attaques extérieures….

Pour l’instant, en 2018, il n’a cependant pas été encore rapporté d’attaques de ce type.

Jean-Baptiste Giraud

https://www.passeportsante.net/fr

Ces 5 habitudes qui compromettent votre sécurité informatique


Naviguer sur Internet est facile, mais il faut être prudent pour éviter les pièges que pirates informatiques sèment un peu partout. Il y a certaines habitudes que nous devons prendre pour éviter de perdre gros
Nuage

 

Ces 5 habitudes qui compromettent votre sécurité informatique

 

 

© thinkstock.

Jeanne Poma.
Source: Vanity Fai

Maintenant que tout peut être réalisé via votre ordinateur, les esprits malveillants n’attendent qu’une chose: vous attaquer sur la toile.

La sécurité informatique fait beaucoup parler d’elle car les gens dépensent de plus en plus en ligne. Les attaques et les vols sur le net ont donc tendance à prendre de plus en plus d’importance. Ils sont pourtant souvent dus à de mauvaises habitudes de la part des utilisateurs. Voici les cinq principales mauvaises habitudes dont vous devriez vous débarrasser immédiatement.  Installer des applications ou des plugins inconnus

Les pirates peuvent trafiquer des applications et vous les présenter de manière à ce qu’elles vous paraissent inoffensives. Ces applications malveillantes peuvent voler des informations privées que le pirate pourra ensuite utiliser à ses propres fins. Avant d’installer une nouvelle application, prenez garde à vérifier les mises à jour et analysez le fichier grâce à un anti-virus avant d’exécuter le fichier. 

Surfer sur des sites malveillants

La navigation sur des sites inconnus, des sites issus de marques étranges ou qui vous présentent un aspect bizarre sont à éviter car ils peuvent vous causer de graves problèmes. Ils peuvent vous envoyer des virus ou voler vos codes d’accès. Vous ne remarquerez que ces programmes sont nuisibles qu’au moment où vous perdrez vos informations. Il existe maintenant de nouveaux chevaux de Troie, cachés dans des publicités, des pop-ups ou simplement les sites eux-mêmes. Mieux vaut s’en tenir à des sites qui ont une bonne réputation

Ignorer les mises à jour

Une mise à jour de vos logiciels prend du temps, surtout si vous avez un réseau Internet lent mais elle sécurise votre ordinateur. Les logiciels obsolètes sont souvent la cible d’attaques car les mises à jour qui auraient pu corriger les failles de sécurité n’ont pas été installées. Vous pouvez donc ignorer de temps en temps les mises à jour mais pas à chaque fois. 

Ne pas vérifier la connexion au Wi-Fi

Lorsque vous vous connectez à un Wi-Fi public pour regarder des vidéos en attendant votre avion, par exemple, cela peut être amusant. Mais les réseaux publics sont connus pour être un paradis pour les pirates. Ils peuvent y obtenir toutes les informations de votre ordinateur ou de votre téléphone. C’est pourquoi on recommande de ne jamais aller sur le site de sa banque lorsque l’on est connecté à un Wi-Fi public. 

Faire uniquement confiance à son logiciel anti-virus

Les logiciels anti-virus font du bon travail mais aucun logiciel n’est parfait. Le meilleur anti-virus est l’utilisateur lui-même. Les pirates ont généralement une longueur d’avance sur les logiciels anti-virus et le logiciel de protection ne peut éliminer que les logiciels malveillants et les virus présents dans la base de données. Les virus de la dernière génération causeront sûrement des dommages avant que le logiciel de protection puisse faire quoi que ce soit.

http://www.7sur7.be/

Sécurité informatique: la fin des mots de passe?


Les mots de passe, à chaque fois qu’on ouvre un compte, il faut mettre un mot de passe ingénieux et s’en rappeler. Il parait que la plupart des gens préfèrent grandement le gestionnaire de mot de passe. Moi, j’aimerais mieux la biométrie, moins compliqué et tout aussi sécuritaire. Cependant, rien n’est 100 % sécuritaire sur le Web
Nuage

 

Sécurité informatique: la fin des mots de passe?

 

On se creuse la tête pour les créer. On s'arrache les cheveux quand on les... (Illustration La Presse)

ALEXANDRE VIGNEAULT
La Presse

On se creuse la tête pour les créer. On s’arrache les cheveux quand on les perd. Les mots de passe, c’est un paquet de troubles! Et ils ne garantissent même pas notre sécurité. En serons-nous libérés par la reconnaissance faciale ou par empreinte digitale?

Des casse-têtes essentiels

«Les gens ne réalisent pas l’importance des mots de passe», estime Benoît Gagnon.

L’expert en sécurité informatique ne parle pas seulement de monsieur ou madame Tout-le-Monde qui utilise le nom de son chien pour bloquer l’accès à son ordinateur personnel.

«J’ai vu des bases de données très sensibles protégées avec [le mot de passe] 12345, dit le vice-président technologie de l’information et service-conseil au Corps des commissionnaires du Québec. J’ai vu des choses à faire dresser les cheveux sur la tête…»

Utiliser «12345» comme mot de passe n’a rien d’exceptionnel. Cette suite de chiffres figure même en très bonne position dans la liste des mots de passe les plus utilisés en 2017, selon une compilation effectuée par Splash Data. Benoît Gagnon ne croit pas que ce soit par paresse ou par naïveté qu’on opte pour des mots de passe simplets. On le fait parce qu’on est pressé.

«Les gens se disent qu’ils vont revenir le changer plus tard, dit-il. Et ils ne le changent pas…»

Mission impossible

«Ce qu’on nous demande, c’est un effort surhumain: se faire 50 mots de passe indéchiffrables pour 50 services différents et s’en souvenir, c’est pratiquement impossible», constate pour sa part Stéphane Leman-Langlois, professeur à l’École de travail social et de criminologie de l’Université Laval.

De nos jours, le moindre site internet demande de s’enregistrer et d’établir un mot de passe.

«On en a tellement que ça devient impossible de faire le ménage là-dedans.»

Sur combien de sites et à combien de services ou d’applications êtes-vous enregistré? Une dizaine? Une centaine? Difficile à savoir. En comptant seulement les services bancaires, les médias sociaux, les courriels, les accès nécessaires pour le boulot, les sites de magasinage ou de divertissement et les services publics, on arrive facilement à plusieurs dizaines. Sans compter tous ceux qu’on n’utilise plus et qu’on a déjà oubliés… Stéphane Leman-Langlois évoque des études qui estimaient que l’utilisateur moyen avait jusqu’à 100-150 comptes enregistrés!

 

Réutiliser, c’est risqué

Choisir des mots de passe faciles est une façon de prévenir les oublis et de limiter les dégâts. L’autre stratégie utilisée par quantité de gens est de réutiliser les mêmes sur plusieurs sites. Ou, du moins, des variations des mêmes mots de passe. Environ 40 % des internautes américains le font, selon le Pew Research Center.

«Lorsqu’un utilisateur se fait pirater un compte, son mot de passe se trouve peut-être sur une quinzaine d’autres», signale toutefois Benoît Gagnon.

L’expert en sécurité informatique avance que bon nombre de gens ont quelques mots de passe principaux (entre six et neuf, selon lui) qu’ils utilisent (et réutilisent) en fonction du degré de protection jugé nécessaire: les plus complexes seraient ainsi réservés aux données sensibles comme les comptes bancaires. Sachez que percer un compte qui utilise l’un des 100 mots de passe les plus communs – la liste est facilement accessible sur l’internet – est un jeu d’enfant pour un logiciel d’attaque.

Au doigt et bientôt à l’oeil?

L’identification à deux facteurs est l’une des façons de se protéger contre le piratage de données. Pour prouver votre identité, vous devez savoir quelque chose (un mot de passe, par exemple) et posséder quelque chose (une clé USB, par exemple). L’envoi d’un code directement à l’appareil que vous utilisez est aussi une façon de prouver que vous l’avez en main. Compliqué? Non. Pratique? Non plus…

«La sécurité, très souvent, va réduire la facilité d’utilisation», indique Benoît Gagnon, expert en sécurité informatique.

Apple et Microsoft ont aussi mis en place l’identification par données biométriques: il est possible d’accéder à son ordinateur ou à son téléphone grâce à la reconnaissance faciale ou d’empreintes digitales. Benoît Gagnon estime que ce genre d’outil soulève des enjeux de vie privée, et il n’est pas du tout certain que la majorité des utilisateurs soient prêts à fournir ces informations à n’importe qui.

«Le côté pratique est là. C’est plus sécuritaire que d’avoir le même mot de passe partout ou « abc123 », juge Stéphane Leman-Langlois, qui y voit un développement positif. Par contre, il ne faut pas s’imaginer que personne n’arrivera jamais à exploiter ça et qu’il n’y aura jamais de moment où l’empreinte digitale ne fonctionnera pas ou que notre visage ne sera pas reconnu.»

Il faut donc avoir des plans B et C.

Un allié méconnu

Les deux spécialistes en sécurité informatique estiment que le commun des mortels néglige un dispositif fort pratique et sécuritaire: le gestionnaire de mots de passe.

«Je ne sais pas comment les gens font pour vivre sans», dit carrément Benoît Gagnon.

Cet outil crée des mots de passe compliqués que l’utilisateur n’a même pas besoin de retenir. En fait, il lui suffit de retenir celui qui donne accès à l’application. Retenir un seul mot de passe compliqué, ça, c’est du domaine du possible.

Stéphane Leman-Langlois affirme que si on lui offre le choix entre biométrie et gestionnaire de mots de passe, il choisit le second sans hésiter. Seuls 12 % des Américains utilisent un tel outil, selon le Pew Research Center.

«Quand on dit aux gens qu’ils devront apprendre une nouvelle affaire en informatique, ils lèvent les yeux au plafond, constate Stéphane Leman-Langlois. Même la soi-disant génération internet.»

Des gestionnaires de mots de passe sont offerts gratuitement ou par abonnement (de 2 $ à 3 $ par mois, par exemple). Les versions gratuites ne sont pas moins sécuritaires, selon les experts, seulement moins flexibles.

Les pires mots de passe

Splash Data a fait la liste des 100 mots de passe les plus utilisés en 2017… et qui seraient décryptés quasi instantanément par un logiciel de piratage. En voici 10.

Top 5

123456

password

12345678

qwerty

12345

Aussi dans le top 100 

letmein (7e)

iloveyou (10e)

starwars (16e)

trustno1 (25e)

1q2w3e (89e)

Construire un mot de passe sécuritaire Il n’est pas toujours nécessaire de se casser la tête pour trouver un mot de passe difficile à décrypter. Il suffit de tenir compte de quelques règles de base. Mode d’emploi.

sesame

Ce mot de sept lettres est jugé très faible, même s’il ne figure pas sur la liste des 100 mots les plus utilisés. Ses défauts? Il est trop court, contient une suite de lettres couramment utilisées et ressemble à un mot du dictionnaire. Il serait découvert en 13 secondes maximum par un logiciel d’attaque*.

*Les estimations du temps nécessaire pour décrypter les mots de passe et les commentaires généraux découlent de tests effectués sur les sites passwordmeter.com, howsecureismypassword.net et password.kapersky.com.

sesameouvretoi

Plus un mot de passe est long, plus il est sécuritaire. Certains sites les limitent néanmoins à six ou huit caractères.

«C’est une indication [que ces entreprises] ne sont peut-être pas à la page en matière de sécurité», estime Stéphane Leman-Langlois, de l’Université Laval.

Il faudrait tout de même entre 51 et 84 ans pour le décrypter.

ses4me0uvret0i

Stéphane Leman-Langlois explique qu’un mélange aléatoire de chiffres et de lettres peut faire un bon mot de passe. Un truc facile comme tout consiste à mettre des chiffres à la place de certaines lettres et faire en sorte que la combinaison ait l’air aléatoire tout en étant facile à retenir. Changer le A pour un 4 et le O pour un 0 est une pratique peu originale, mais qui fait son effet: il faudrait maintenant entre 200 et 5000 ans pour le décrypter!

Ses4me0uvret0i!

Il faudrait entre 3400 ans et… 18 milliards d’années pour trouver celui-ci. Deux détails font la différence: une majuscule (même placée au début) et un point d’exclamation (même placé à la fin).

À signaler: ce truc – très souvent conseillé par les experts – ne fonctionne que parce que le mot de passe est assez long.

Ses4me! tout court serait décrypté en environ 20 minutes.

http://www.lapresse.ca/