Les conditions de savoir si vos données peuvent être récupérées ou non sont complexes à déterminer et vous devez partir du principe que des détails comme vos mots-de-passe peuvent être volés. Une réinitialisation à l’aveugle ne résoudrait rien si ce n’est que vous perdriez probablement ces détails. Notez que le bon moment pour réinitialiser vos mots de passe est certainement après qu’un fournisseur ait délivré un correctif.
Si vous êtes responsable IT, voici les étapes à suivre:
- Vérifiez l’ensemble de vos logiciels et trouvez ceux qui sont éventuellement vulnérables.
- Appliquez les correctifs recommandés par les éditeurs de logiciels.
- Créer un nouveau certificat ainsi qu’une nouvelle clé.
- Révoquez l’ancien certificat ainsi que l’ancienne clé. Ceci est important et ne doit pas être oublié.
- Redémarrez le service (ne pas garder les anciennes versions chargées).
- Validez la situation en vérifiant que vos logiciels ne sont plus vulnérables et ce, en utilisant les nombreux scripts disponibles sur le web.
- Vérifiez tous vos serveurs et services: pas seulement ce qui vous paraît le plus évident (serveurs de backup, de disponibilité et autres).
- Avertissez vos utilisateurs du changement des mots de passe.
Voici quelques règles de base:
- Evitez d’employer le même mot de passe sur plusieurs sites et services.
Ainsi, si les informations d’identification sont découvertes, les hackers ne pourront pas les utiliser ailleurs (ex. comptes Facebook, e-banking, etc.). - Choisissez un mot de passe qui n’est pas facile à deviner.
Les mots ayant une racine dictionnaire suivie par des chiffres sont devenus des modèles communs et prévisibles que les cybercriminels peuvent casser très rapidement. Ils doivent être longs, basés sur une phrase et équilibrés avec différents types de caractères: nombres, lettres minuscules, majuscules et idéalement quelques symboles. - Set up password change/reset mechanisms properly – not obviously.
La majorité des questions posées par les différents services en rapport avec la réinitialisation de mots de passe sont par exemple: "Où avez-vous suivi vos études ?" ou "En quelle année êtes-vous né ?". Les réponses à ces questions sont simples à trouver et peuvent être extraites des réseaux sociaux ou d’Internet. Pourquoi les hackers iraient-ils deviner vos mots de passe s’ils peuvent simplement trouver ces informations en interrogeant les systèmes en place ? Partez plutôt d’un schéma de réponses que vous n’oublierez pas (ou garderez de manière sûre) ou encore, si le service vous le permet, développez vos propres questions difficilement identifiables. - Le plus long le meilleur !
Quand les mots de passe sont volés depuis les fournisseurs, ils sont cryptés et apparaissent par exemple comme ceci: "5f4dcc3b5aa765d61d8327deb882cf99". Il s’agit d’une représentation d’un mot de passe "haché" de laquelle les cybercriminels peuvent, à l’aide de techniques intelligentes et de puissants calculs informatiques, retrouver l’original et ensuite accéder à votre compte. A partir de cette représentation volée, ce n’est qu’une question de temps et d’efforts jusqu’à ce que l’original soit révélé. Les mots de passe courts peuvent être devinés en quelques secondes/minutes ou heures (cela dépend de la mise en œuvre entreprise) alors que cela pourrait prendre des années de travail avec des mots de passe longs (et amener le hacker à abandonner et chercher une nouvelle cible). Aussi, en choisissant un mot de passe de 60 caractères, vous rendez la vie bien plus difficile aux cybercriminels qui arrivent à percer la sécurité d’un service comme Yahoo par exemple. - Utilisez une application de gestion des mots de passe.
Les gestionnaires de mots de passe génèrent des mots uniques pour chacun de vos services et les stockent dans une base de données cryptée que vous pouvez déverrouiller avec un seul mot de passe principal.
C’est un compromis raisonnable pour ceux qui n’ont pas une mémoire incroyable mais veulent néanmoins éviter l’écueil de l’utilisation de mots de passe similaires sur plusieurs sites.
