En temps normal, l’utilisation d’un gestionnaire de mots de passe est un bon moyen de protéger ses comptes personnels et ses informations – et de s’en souvenir. En effet, il permet de stocker tous ses mots de passe, informations de paiement et informations de connexion essentielles dans une base de données ou un coffre-fort hautement chiffré. Mais de par les données sensibles qu’ils contiennent, les gestionnaires sont souvent visés par des tentatives de piratage et, quand elles réussissent, leurs conséquences sont désastreuses. On se souvient des intrusions successives chez LastPass en 2022, qui ont permis aux hackers de dérober les données personnelles des utilisateurs, les mots de passe cryptés et d’autres données stockées dans les coffres-forts des clients. Cette fois, c’est au tour de Norton, le “leader mondial de la cybersécurité grand public” comme il se présente sur son site, de faire les frais d’une intrusion.
Piratage Norton : du bourrage d’identifiants pour accéder à tous les mots de passe
Dans un message adressé à ses 6 450 clients concernés et rapporté par Techcrunch, Gen Digital, le nom de la nouvelle société qui possède désormais Norton LifeLock et ses produits, a révélé avoir été la cible d’une attaque de “credential stuffing” (“bourrage d’identifiants” en français). Cette technique consiste à réaliser, à l’aide de logiciels ou de façon manuelle, des tentatives d’authentification massives sur des sites et services Web[4] à partir de couples identifiants/mots de passe, qui ont généralement été dérobés sur d’autres sites et services Web[4] puis revendus sur le Dark Web. En effet, de nombreux – trop nombreux – utilisateurs ont recours à un même mot de passe[2] plusieurs fois. Aussi, lorsqu’il est compromis une fois, il l’est aussi sur les autres sites et plateformes où il est utilisé. C’est pour cela, généralement, que les internautes ont recours à un gestionnaire de mots de passe, qui centralise tous ses mots de passe – ils peuvent donc être uniques, complexes et aléatoires puisque l’utilisateur n’a pas à les retenir. L’outil est protégé par un mot de passe unique – le seul qu’il a besoin de retenir –, qui a ici été compromis, donnant accès aux comptes Norton et aux gestionnaires de mot de passe[2].
En effet, Gen Digital explique que le 12 décembre 2022, ses systèmes ont détecté un nombre anormalement élevé d’échecs de connexion. En enquêtant, l’entreprise a découvert que des tentatives d’effraction avaient lieu depuis le 1er décembre. “En accédant à votre compte avec votre nom d’utilisateur[1] et votre mot de passe[2], le tiers non autorisé peut avoir vu votre prénom, votre nom, votre numéro de téléphone et votre adresse postale”, écrit-elle. Mais ce n’est pas le pire, car la firme de sécurité révèle que “nous ne pouvons pas exclure que le tiers non autorisé ait également obtenu des détails stockés [dans le gestionnaire de mots de passe Norton Password Manager], en particulier si votre clé Password Manager est identique ou très similaire au mot de passe[2] de votre compte Norton.” Par “détails”, comprenez les mots de passe générés pour tous les services qu’utilise la victime, y compris les connexions d’entreprise, la banque en ligne, la déclaration d’impôts, les applications de messagerie, les sites de commerce électronique, les réseaux sociaux, etc. Autant dire que c’est le jackpot pour les pirates ! Si les gestionnaires de mots de passe restent recommandés par les experts en sécurité, il est primordial de le verrouiller avec un mot de passe[2] unique et complexe (au moins huit caractères, avec des chiffres, des majuscules, des minuscules et des caractères spéciaux) et d’activer[3] l’authentification à double facteur.
Dès que vous créerez un compte sur un site, par exemple sur facebook, ou quand vous créez une adresse mail chez Gmail, vous allez avoir un nom d’utilisateur unique (votre mail) et un mot de passe à garder secret.
A chaque compte que vous créerez en ligne (sur le site de votre banque, sur une boutique en ligne, pour lire vos mails…) vous aurez besoin de créer un mot de passe.
Ne mettez jamais votre date d’anniversaire, le nom de votre chien ou de votre fils. Cela est trop facile à deviner. Optez pour un mot de passe combinant des chiffres et des lettres, et essayez de ne pas avoir le même mot de passe pour chaque compte utilisateur.
Plus le mot de passe est fort, plus il sera difficile à deviner.
Quand vous tapez un mot de passe sur Internet, il ne sera pas affiché, pour chaque caractère tapé, des points seront affichés, afin de garantir la confidentialité de celui-ci.
Le nom d’utilisateur est affiché en clair, le mot de passe est caché
Activer’ un système informatique ou une fonctionnalité de ce système signifie « mettre en service ». Activer un appareil informatique revient à l’allumer et à effectuer les manipulations qui le rendront opérationnel. On peut activer un programme informatique sans que toutes ses fonctions possibles soient opérationnelles.
Le web est apparenté à Internet, cliquez ici pour voir la définition d’Internet.
De quoi j’ai besoin pour naviguer sur le web ?
Premièrement, vous devez souscrire un abonnement chez un fournisseur d’accès à Internet comme Orange ou Free, qui vous enverra ensuite une Box Internet pour vous connecter.
Pour naviguer sur le web depuis votre ordinateur, vous aurez besoin d’un navigateur Internet comme Firefox, Google Chrome ou Edge.
Vous pourrez ensuite consulter vos mails, lire les actualités, voir la météo, regarder des films et séries, communiquer avec vos proches sur les réseaux sociaux, et bien d’autres choses encore !
