Les « Big Tech » et la réglementation ont été au premier plan des conversations politiques et sociétales, en particulier cette année avec les lois sur la protection des données personnelles des consommateurs et l'élection américaine de 2020 qui s'annonce.

Malheureusement, lorsque des entreprises comme Facebook et Google (qui occupent respectivement la 1ère et la 2ème place sur notre liste cette année) admettent que leurs pratiques en matière de mots de passe et de cybersécurité ne sont pas sécurisées, ce sont leurs utilisateurs qui en souffrent, notamment lorsque des informations d'identification sont divulguées en ligne. Cela provoque un effet papillon car un pirate qui a récupéré votre nom d'utilisateur ou votre adresse email et votre mot de passe, à partir d'une seule base de données compromise, peut utiliser cette information pour accéder à d'autres comptes.

Il n'y a pas que les entreprises qui commettent ces erreurs ; beaucoup de gens peuvent s'identifier à des personnes comme Lisa Kudrow, l’actrice qui interprète de Phoebe dans la série Friends, qui fait partie de notre classement car elle a posté une photo sur Instagram qui montrait son mot de passe sur Post-It.

Les données de Dashlane montrent qu’en moyenne, un internaute possède plus de 200 comptes en ligne, qui nécessitent chacun un mot de passe. Ce chiffre devrait doubler au cours des cinq prochaines années pour atteindre 400 comptes ! Comme une part de plus en plus importante de nos vies a migré en ligne, tout le monde a besoin d'un moyen plus facile pour naviguer sur le Web en toute sécurité et en toute transparence.

« La corvée des mots de passe, la création, la récupération des comptes et la peur de ce qu'il faut faire après une atteinte à la protection des données d'une grande entreprise sont des préoccupations légitimes pour tous ceux qui utilisent Internet », déclare Emmanuel Schalit, co-fondateur et CEO de Dashlane. « Notre classement des plus mauvais comportements en matière de mots de passe est là pour vous rappeler chaque année à quel point il est facile de faire un faux pas sur le Web, peu importe votre statut. L'utilisation d'un gestionnaire de mots de passe comme Dashlane peut vous aider à vous protéger contre les pirates tout en rendant tout ce que vous faites en ligne plus facile ».

Voilà le classement Dashlane 2019 des 10 plus mauvais comportements en matière de mots de passe, en commençant par le pire :

1. Facebook : Lors d'incidents répétés plus tôt cette année, Facebook a admis avoir à la fois divulgué des mots de passe appartenant à des centaines de millions d'utilisateurs et violé la vie privée des utilisateurs en demandant les mots de passe électroniques des nouveaux utilisateurs et en recueillant des contacts sans consentement. Le géant de la technologie s'est attiré d'énormes problèmes en stockant les mots de passe des comptes en texte clair dans ses systèmes de stockage de données internes pendant des années, violant ainsi les bonnes pratiques de sécurité suivies par la plupart des entreprises et services pour protéger les données de leurs utilisateurs des regards indiscrets. Pire encore, plus tard cette année, l'entreprise a également laissé un serveur non protégé sans mot de passe, exposant les numéros de téléphone et les dossiers de plus de 400 millions d'utilisateurs. Pour une entreprise qui fait l'objet d’une surveillance accrue quant à sa (mauvaise) gestion des données et de la sécurité de ses utilisateurs, elle a certainement besoin d'un « poke ».

2. Google : Pour ne pas être en reste face à l'échec de son confrère Facebook, Google a également avoué avoir accidentellement stocké les mots de passe d’une partie de ses utilisateurs G Suite en texte clair - depuis 2005. De tels « accidents » ont des implications majeures pour les plates-formes et leurs utilisateurs ; les brèches peuvent passer inaperçues pendant des années, de sorte qu'on ne sait jamais quand un compte peut avoir été exposé. Les mots de passe conservés en texte clair, ce qui veut dire non chiffrés, permettent aux cybercriminels d'accéder à de nombreux comptes d'utilisateurs et de faire des ravages dans leur vie numérique par la fraude par carte de crédit ou le vol d'identité.

3. Lisa Kudrow : L'actrice s'en est tirée avec l’aide de ses « Friends » après avoir posté une photo sur Instagram de son écran d'ordinateur, qui contenait un article sur un rôle à venir, avec un Post-It et son mot de passe. Ses followers avisés ont immédiatement signalé l'erreur, incitant Lisa Kudrow à supprimer la photo et à partager une nouvelle version avec un autre Post-It en se moquant de son mauvais comportement en matière de mot de passe. Les célébrités ne sont pas les seules à devoir faire attention à ce qu'elles publient sur les réseaux sociaux ; prenez un moment avant de cliquer sur « publier » pour vous assurer de ne pas partager par inadvertance des informations sensibles ou personnellement identifiables dans un message.

4. Le député Lance Gooden : Apparemment, le membre du Congrès Lance Gooden n’a pas tiré de leçons des erreurs de Kanye West, le n°1 de notre classement de l’an dernier, qui a déverrouillé son iPhone avec le mot de passe « 00000000 » lors de sa fameuse réunion à la Maison Blanche. Cette année, lors du témoignage télévisé de Mark Zuckerberg devant le Comité des services financiers de la Chambre, le représentant républicain du Texas a été filmé en utilisant « 77777777 » comme mot de passe. Il n’est pas la seule personne en politique à avoir commis, au fil des ans, des infractions passées liées aux mots de passe, dont beaucoup remettent en question la compréhension fondamentale de la sécurité par leurs représentants, élus ou nommés. En effet, il a été rapporté cette année qu’après que Rudy Guiliani ait été nommé conseiller en cybersécurité en 2017, il s’est rendu dans un Apple Store pour obtenir de l’aide pour déverrouiller son iPhone après avoir entré le mauvais mot de passe plus de 10 fois.

5. WeWork : Alors que le débat fait rage sur la question de savoir si WeWork est, ou non, une entreprise de technologie, une chose est sûre : une entreprise tech ne devrait pas utiliser le même mot de passe non sécurisé pour l'ensemble de son réseau Wi-Fi au niveau mondial. Une histoire de Fast Company s'est ajoutée à la bonne part de controverses de WeWork cette année, soulignant à quel point leur mot de passe réseau est facile à deviner et à quel point il met les membres en danger.

6. Elsevier : La maison d'édition à l'origine d'un grand nombre de revues scientifiques, techniques et médicales est un autre exemple de la tendance malheureuse de l'exposition des mots de passe en clair parmi les plus mauvais comportements de 2019. Elsevier a laissé un serveur ouvert au public en ligne, exposant les adresses électroniques et les mots de passe des utilisateurs des établissements d'enseignement et des universités du monde entier. Le serveur ouvert permettait également l'accès aux liens pour la réinitialisation de mot de passe, qui sont générés lorsque les utilisateurs demandent de changer leurs identifiants de connexion. Ces infractions d’Elsevier sont d’autant plus graves en raison de la question omniprésente de la réutilisation des mots de passe.

7. Virgin Media UK : Ce que vous ne devriez pas faire après que l'on découvre que votre entreprise n'a pas stocké les mots de passe en toute sécurité ? Tweeter votre raisonnement très erroné. Après qu'un hacker éthique au Royaume-Uni ait oublié le login de son compte Virgin Media et ait demandé une réinitialisation de son mot de passe, il a reçu son mot de passe précédent par mail - un signe clair que l'entreprise ne chiffrait pas les mots de passe de ses utilisateurs. Le pirate s’est emparé de Twitter pour interpeler Virgin Media, qui a répondu : "Vous l'envoyer est sécurisé, car c'est illégal d'ouvrir le courrier de quelqu'un d'autre." Matthew Hughes, journaliste à The Next Web, a alors répondu : "Oui, parce que les criminels n'enfreignent pas les lois, n'est-ce pas ? Selon cette logique, pourquoi devrais-je verrouiller ma porte d'entrée ? Après tout, le cambriolage est illégal. Et peut-être que, par extension, nous devrions nous débarrasser de la police, car c'est illégal d'enfreindre la loi."

8. Les traqueurs GPS par Shenzhen i365 Tech : Les traqueurs GPS conçus pour aider les parents à suivre leurs enfants les exposent au risque de voir leurs données de localisation en temps réel exposées à des étrangers, lorsque plus d'un demi-million d'utilisateurs se sont vus attribuer un mot de passe par défaut facile à pirater, « 123456 », pour leurs appareils. Un certain nombre de modèles de trackers présentaient des vulnérabilités qui permettaient à des tiers de falsifier l'emplacement d'un utilisateur ou d'accéder au microphone pour l'espionnage. Voilà pour le contrôle parental.

9. Ellen DeGeneres : Bien que la réaction de l'animatrice américaine appréciée de talk-show à l'annonce d'une mauvaise blague sur le mot de passe à ses followers n'ait pas reçu le même tollé que lorsqu’elle avait assisté à un match de football avec un ancien président, elle invite tout de même à un rappel. N'utilisez pas ‘mot de passe’ comme mot de passe ! Après que l'Instagram d'Ellen DeGeneres ait été brièvement piraté pour offrir des cadeaux à ses followers, elle a partagé ses excuses dans un tweet en revenant sur cette mauvais pratique - ce qui n'est pas une blague : « Mon compte Instagram a été piraté hier soir (malgré mon mot de passe intelligent ‘mot de passe’) ».

10. Ashleys : Une liste publiée par le National Cyber Security Centre du Royaume-Uni a révélé que le nom Ashley était le mot de passe le plus piraté, ce qui fait de quiconque l'utilisant devient le numéro 10 de cette année. N'utilisez jamais de mots de passe faciles à deviner ou qui contiennent des noms, des noms propres ou des choses que les gens peuvent facilement rechercher à votre sujet. Tous vos mots de passe doivent avoir plus de huit caractères et comprendre des lettres, des chiffres et des symboles aléatoires. Mieux encore, utilisez un générateur de mots de passe pour les créer pour vous.

Ne devenez pas un mauvais exemple, apprenez des erreurs de cette année :

• Utilisez des mots de passe différents pour chaque compte : la réutilisation des mots de passe est une épidémie. Reprendre le même mot de passe pour tous vos comptes, c'est un peu comme utiliser la même clé pour votre maison et votre voiture. Si quelqu'un met la main sur ces clés, il a maintenant accès à tout ce que vous voulez garder en sécurité. Les pirates informatiques peuvent utiliser les mots de passe de comptes compromis pour accéder facilement à d'autres comptes. Le seul moyen de s’en prémunir est d'avoir un mot de passe différent pour chaque compte.

• Activer l'authentification à deux facteurs (2FA) : le 2FA est une fonction qui ajoute un « facteur » supplémentaire à votre procédure de connexion normale pour vérifier votre identité. L'authentification à deux facteurs ajoute un niveau de sécurité supplémentaire en vérifiant votre identité à l'aide de deux des trois identificateurs possibles : quelque chose que vous connaissez (votre mot de passe, votre code PIN, votre code postal, etc.), quelque chose que vous êtes (par reconnaissance faciale, vos empreintes digitales, vos scans rétiniens, etc.) ou quelque chose que vous possédez (une clé USB, une carte intelligente, votre smartphone, etc.). La plupart des applications ou des sites Web effectueront cette vérification par email ou par SMS envoyé sur votre téléphone.

• Installer un gestionnaire de mots de passe. Dès maintenant. Abandonnez le carnet de notes, la grille Excel, le Post-It ou toute autre « méthode » brevetée de gestion des mots de passe que vous utilisez actuellement. Un gestionnaire de mots de passe est littéralement le seul moyen de gérer de manière sûre et pratique des mots de passe uniques et complexes pour un nombre illimité de comptes, tout en fournissant des connexions automatiques et un remplissage automatique sécurisé des informations personnelles et de paiement.