Selon une récente étude menée par Google, il existe des centaines de milliers d’internautes qui n’ont vraisemblablement pas saisi les notions de « piratage » et de « sécurité informatique ». En effet, ceux-ci continuent d’utiliser leurs mots de passe après un piratage où en cas de risque important.
Pure négligence ou laxisme ?
Comme l’explique le géant américain dans un billet de blog publié le 15 août 2019, une extension de Google Chrome baptisée Password Checkup Chrome a été lancée cette année. Celle-ci a permis de scanner 21 millions de noms d’utilisateurs et de mots de passe. Or, pas moins de 316 000 noms d’utilisateurs et mots de passe ont été jugés dangereux. Selon Google, 1,5 % des connexions scannées par l’extension a déjà fait l’objet d’un piratage ou possède un niveau de sécurité est très faible.
Le fait est que les utilisateurs ont été prévenus du danger potentiel, et seulement 26 % d’entre eux se sont résolus à créer un nouveau mot de passe. Néanmoins, 94 % de ces nouveaux mots de passe n’avaient pas un niveau de sécurité plus élevé que l’ancien ! Or, le risque concerne des comptes sur des sites gouvernementaux, des comptes bancaires en ligne, des comptes de messagerie et surtout des comptes sur des sites d’achats en ligne.
Crédits Max Pixel
La nécessité d’un nouveau protocole
Le géant américain estime qu’il devrait être obligatoire de mettre en place un système d’alerte en cas d’atteinte à la sécurité des données. Ce « nouveau protocole de protection de la vie privée » permettrait à l’internaute de savoir si son nom d’utilisateur et son mot de passe apparaissent en cas de piratage.
L’extension Password Checkup fonctionne avec un protocole cryptographique inédit baptisé Private Set Intersection. Il s’agit ici de comparer les données cryptées de 4 milliards d’informations d’identification compromises. Ces mêmes informations dévoilées lors de précédents piratages sont consultables sans que les détails n’apparaissent.
En 2017, nous évoquions la plateforme Have I been pwned ? conçue par un expert en sécurité informatique travaillant pour Microsoft. Celle-ci invite l’utilisateur à taper son adresse e-mail afin de vérifier une éventuelle corruption via de nombreux sites. La plateforme dispose également d’un outil nommé Pwned Passwords destiné à consulter directement les mots de passe incriminés, et ce par le biais d’une simple recherche.
Articles liés :
