Service privé d’analyse stratégique américain, Stratfor a été victime en ce mois de décembre 2011 d’un hacking aussi massif qu’embarrassant pour une firme travaillant dans le domaine de la sécurité (à moins qu’il ne s’agisse d’une intervention malveillante au sein de l’entreprise, comme le suggèrent certains). Les hackers ont eu accès aux données de milliers de clients, y compris leurs cartes de crédit et leurs mots de passe. Des cartes de crédit ont été utilisées pour faire des dons à des organismes humanitaires (auxquels cela va en réalité coûter de l’argent, en raison des nombreuses oppositions de paiement). Les adresses électroniques et mots de passe de clients sont publiés en ligne. Il faut savoir que Stratfor ne s’adresse pas seulement à des entreprises: tout particulier qui le désire peut s’abonner à des services de Stratfor, avec des niveaux et coûts d’abonnement différents selon les produits désirés.
Il ne faut que quelques minutes pour trouver en ligne les listes rendues publiques. J’ai eu la curiosité de les parcourir, pas seulement pour voir lesquelles de mes connaissances figurent sur ces listes. Je me suis intéressé au choix des mots de passe.
Certaines personnes optent apparemment pour un mot de passe qui sera le même pour toutes les listes ou sites qui en demandent un. Par exemple ces utilisateurs qui associent un prénom et une date (pas nécessairement le leur, mais celui de leur épouse), ou le nom d’un philosophe célèbre, comme l’a fait un abonné que j’ai reconnu grâce à son adresse électronique. Certains de ces mots de passe peuvent être relativement solides: mais c’est une grosse erreur que de choisir le même pour de nombreux sites. En effet, si ce mot de passe est compromis, comme c’est le cas ici, il faut le changer pour tous les services et sites que l’on utilise.
Le plus étonnant est le nombre de personnes qui choisissent comme mot de passe tout simplement… le nom du site! Des centaines de clients de Stratfor ont adopté “strafor” comme mot de passe. Probablement font-ils de même sur chaque site qui demande un mot de passe. Un certain nombre ont cru malin d’ajouter le chiffre “1”: “stratfor1”. Si j’étais hacker, je retiendrais la leçon: la première chose à entreprendre pour percer les mots de passe de clients d’un site est d’essayer le nom de ce site, le cas échéant complété d’un chiffre, comme mot de passe. Sur une liste de clients, cela produira à coup sûr une belle moisson!
Bonne occasion de rappeler quelques principes en la matière. Tout d’abord, utilisez des mots de passe qui ne sont pas des mots du dictionnaire et qui combinent des chiffres et des lettres (il est possible de créer des combinaisons aisément mémorisables pour des mots de passe d’usage courant). Ensuite, n’utilisez pas le même mot de passe pour chaque site ou service, mais des mots de passe différents pour chacun. Enfin, conservez la liste de vos mots de passe dans un fichier crypté ou un logiciel de gestion des mots de passe lui-même protégé par mot de passe (en faisant de temps en temps un copie sur papier conservée en lieu sûr, sous clef ou de préférence dans un coffre). Si une mésaventure survient, les dégâts resteront ainsi circonscrits.