Depuis environ un mois, c’est la panique. Des centaines de millions de vieux comptes LinkeDin , MySpace et Tumblr, hackés en 2012-2013, se vendent dans les tréfonds du dark Web.
Dans la foulée, Mark Zuckerberg en personne s’est fait pirater ses comptes Twitter et Pinterest. Il aurait dû être plus avisé, avant d’utiliser « dadada » sur LinkedIn, mais aussi Twitter et Pinterest.
Selon Gérome Billois, expert en cybersécurité chez Solucom la situation ne ferait qu’empirer dans l’avenir.
Il détaille à ce propos: »Il y a plusieurs sources pour ces données, soit des vols massifs des bases chez les fournisseurs, soit des vols petit à petit en utilisant des virus déployés sur les PC du public, qui vont voler les mots de passe quand les utilisateurs se connectent. »
« On est clairement sur la fin du cycle de vie des mots de passe volés », analyse Billois. » Ces bases sont aujourd’hui vendues à des faibles coûts sur des plateformes assez accessibles (…) Quand les données viennent tout juste d’être volées, elles valent beaucoup plus cher et se vendent à l’unité ou par petits groupes. Elles sont fiables et les fournisseurs de services n’ont pas entamé les campagnes de remise à zéro des mots de passe des utilisateurs. »
À note que si vous utilisez encore votre vieux mot de passe LinkedIn de 2012 sur votre Gmail et Facebook, arrêtez tout de suite la lecture de cet article et changez-le immédiatement. « Il n’y a malheureusement pas de solution magique aujourd’hui », soupire Billois. Qui conseille cependant plusieurs « bonnes pratiques » :
- Dissocier les mots de passe des services basiques (forums, site Web lambda…) des plus sensibles (banque en ligne, paiements, email, Facebook).
- Pour son compte Facebook ou Gmail, choisir un mot de passe long et unique, par exemple une phrase de trois mots simples commençant une majuscule, liés par un caractère spécial, comme « Victor+Hugo=1Poete » ou «Zlatan@PSG=152Buts »
- Activer l’authentification à deux facteurs (par exemple un code reçu par SMS) pour les services critiques.