Vous ne devriez pas utiliser plusieurs fois le même mot de passe

10 Déc 2018

C’est utile d’avoir toujours le même mot de passe, mais cette pratique est vraiment dangereuse. Nous analysons le cas de Mark, un jeune créateur.

Mark est un homme normal. Il a une adresse e-mail, un compte Facebook, Instagram, Amazon, eBay, Steam et Battle.net, sans oublier tous ceux qu’il a créés pour des dizaines de boutiques en ligne, et un forum consacré à son jeu vidéo préféré.

Un jour, la base de données client d’une des boutiques en ligne que Mark utilise, a divulgué des informations apparemment non chiffrées, et gardées sur un serveur libre d’accès. Les pirates informatiques n’ont obtenu que les adresses e-mail, noms, et mots de passe des utilisateurs, pas les informations relatives à leur carte bancaire. À première vue, il n’y a pas de quoi s’inquiéter. Les fuites d’informations ne sont pas rares, et il s’agit d’une petite boutique en ligne ; peut-on en vouloir à un humble commerçant de ne pas être un expert en cybersécurité ?

Les cybercriminels qui ont pillé la base de données ont décidé de tenter leur chance ; peut-être qu’une des personnes qui figure sur la liste utilise le même mot de passe pour son adresse e-mail ? Bingo : Mark utilise toujours le même mot de passe, ce qui permet aux cybercriminels d’accéder facilement à son adresse e-mail. Ils y trouvent les photos que Mark a passées à Lucy, mais aussi les messages envoyés par Amazon, eBay, et d’autres entreprises. Mark utilise sûrement un mot de passe différents pour ses autres comptes, n’est-ce pas ? Ils essaient alors de se connecter à son compte Amazon, et là encore il a utilisé le même mot de passe.

Une carte bancaire est déjà associée au compte Amazon, et les cybercriminels en profitent pour acheter plusieurs iPhone X. La prochaine étape est Facebook, où les escrocs demandent de l’argent aux amis de Mark : « J’ai vraiment besoin d’argent. Je touche mon salaire demain, donc je vais te rembourser très vite, sans faute. » Certains destinataires de ces messages sont de vrais amis, et envoient de l’argent sur le compte des cybercriminels, bien évidemment.

Mais ils n’en ont pas fini. Les intrus modifient maintenant tous les mots de passe des comptes auxquels ils ont accès, et dans le cas de Mark, il s’agit de tous ses comptes.

Un de ses amis Facebook a des doutes, et décide de l’appeler pour vérifier qu’il est bien à l’origine de cette demande de prêt d’argent. Terrifié, Mark se précipite sur son ordinateur pour changer son mot de passe Facebook. Mais il a déjà été modifié par les cybercriminels, et Mark n’a aucune issue. Il essaie de récupérer le mot de passe, et demande à Facebook de lui envoyer un lien pour réinitialiser son mot de passe. Cependant, il ne peut pas non plus accéder à son e-mail pour la même raison.

Mark réalise alors qu’il a bel et bien été victime d’un piratage informatique. Il appelle sa banque, bloque toutes ses cartes de crédit, essaie désespérément de modifier les mots de passes des quelques services qui n’ont pas encore été piratés, et appelle ses amis pour leur expliquer qu’il ne leur a pas demandé d’envoyer de l’argent. Il s’excuse auprès des personnes qui ont déjà réalisé un virement aux escrocs, et leur promet de les rembourser.

Enfin, Mark jure solennellement qu’il n’utilisera plus jamais le même mot de passe pour plusieurs services, et va activer l’authentification à deux facteurs autant que possible.