Sécurité informatique : quelle est la valeur de votre mot de passe ?
Évidemment votre mot de passe a une valeur puisqu'il vous permet d'accéder à votre PC, à votre page Facebook, à vos achats sur Amazon, à vos tweets et à une multitude de services fournis par le CERN. Mais vous êtes-vous déjà demandé quelle était sa valeur pour une personne malintentionnée ?
Grâce à votre mot de passe, je peux prendre le contrôle de votre PC. Je peux installer des logiciels de façon à mettre en route votre micro et écouter vos conversations et tout ce qui se passe autour de vous tant que votre PC est allumé. Je peux prendre des captures d'écran régulièrement et surveiller votre travail. À partir de là, je peux analyser vos habitudes de travail, votre comportement sur la toile, la façon dont vous écrivez vos mails... Très intéressant, notamment si j'ai l'intention de me faire passer pour vous (par exemple pour attaquer le CERN et les systèmes sur lesquels vous travaillez). En outre, en ayant accès à votre PC, je peux installer ce qu'on appelle un « keylogger » (enregistreur de frappe) et enregistrer tout ce que vous tapez au clavier. Cela inclut tous vos autres mots de passe : Amazon, Paypal, Facebook, Tweeter. Bien évidemment, grâce à ces mots de passe, je peux faire mon shopping à vos frais...
Alors, quelle est la valeur de votre mot de passe pour une personne malintentionnée ? Quelques euros ? Un peu plus ou un peu moins, selon le type de compte. Il existe même des pages web au marché noir sur lesquelles des malfaiteurs vendent et achètent des noms de compte avec les mots de passe associés. Pensez à ce qu'un pirate pourrait faire avec votre mot de passe CERN… Première ligne d'attaque : accéder à votre boîte mail pour envoyer des spams au monde entier. Cela rapporte de l'argent grâce aux personnes qui y répondent et grâce à l'envoi de mails d'hameçonnage qui permettent de récupérer d'autres mots de passe. Autre ligne d’attaque : l'accès aux bibliothèques de logiciels du CERN et à notre bibliothèque de revues numériques – leur téléchargement en masse et leur revente au marché noir est également source de revenus… aux frais du CERN !
L'accès à votre PC permet aussi de manipuler votre travail. Si vous travaillez dans la finance par exemple, un pirate peut voler de l'argent au CERN. Si vous avez accès à des ressources de calcul, les pirates pourraient les utiliser à leurs fins : faire chanter des sites web externes en les menaçant de rendre leurs pages web inaccessibles ou faire tourner des programmes de calcul de bitcoins ou de craquage de mots de passe. Si vous avez accès à des systèmes de contrôle, une attaque ciblée peut même détourner vos droits et stopper vos systèmes.
La question pourrait donc être : est-ce que votre mot de passe est déjà en vente ? Espérons que non. Vous n'avez qu'à suivre quelques étapes simples pour conserver votre mot de passe, chez vous et au CERN : assurez-vous de mettre à jour vos PC et portables et d’utiliser un antivirus. N'installez aucun logiciel téléchargé sur un site douteux. Surfez de façon responsable : prenez le temps de réfléchir avant de cliquer. Il existe des extensions et des plugins pour les navigateurs qui peuvent vous aider (par exemple « HTTPS Everywhere », « Ghostery » et « uBlock Origin »). Gardez votre mot de passe pour vous, ne le partagez pas, ne le tapez pas sur des pages web dont vous n'êtes pas sûrs. N'utilisez pas le même mot de passe sur des sites différents. Et choisissez un mot de passe complexe. Le titre et l'interprète d'une chanson que vous aimez (« Money4Nothing---DireStraits »), une formule mathématique (« DeltaX*DeltaP>=h/4pi »), ou un poème (« 3quarksforMusterMark! »). Si votre cerveau n'arrive plus à suivre, utilisez un gestionnaire de mots de passe comme KeePass ou LastPass. Rappelez-vous ce qui est en jeu : si vous perdez votre mot de passe, vous serez sans défense dans le monde numérique.
N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.
par Stefan Lueders, Computer Security Team
