Les mots de passe sont un aliment de base à la fois sur Internet et l’informatique en général. Même si de nouveaux protocoles d’authentification ont émergé – des clés Pass à la biométrie – la plupart d’entre nous utilisent des mots de passe pour se connecter à nos comptes et sites Web quotidiens en utilisant un code composé de lettres, de chiffres et de symboles.
Le problème est que le mot de passe était vraiment un produit de son temps et n’appartient pas vraiment à l’ère numérique moderne. Les menaces de cybersécurité ont évolué jusqu’à présent au-delà de la capacité d’un mot de passe pour les protéger qu’ils sont devenus un passif, même lorsque vous suivez les meilleures pratiques pour les créer et les garder en sécurité. Exemple: nouvelle de la dernière violation de données, l’une des plus grandes de tous les temps, dans lesquelles les chercheurs ont découvert pas des millions, mais milliards de mots de passe flottant sur le Web.
Seize milliards de mots de passe divulgués sur Internet
CyberNews a rompu l’histoire vendredi: cette année, les chercheurs du point de vente ont trouvé 30 ensembles de données exposés sur Internet, chacun contenant de « des dizaines de millions à plus de 3,5 milliards de dossiers ». Selon les chercheurs, ils ont trouvé 16 milliards de mots de passe collectifs divulgués sur le Web.
De plus, ces mots de passe sont tous nouvellement divulgués. Aucun d’entre eux n’a été signalé dans les violations de données précédentes, à l’exception d’environ 180 millions de mots de passe trouvés dans une base de données non protégée en mai. Les chercheurs disent qu’ils continuent de trouver de nouveaux ensembles de données « massifs » toutes les quelques semaines, donc les découvertes ne montrent aucun signe de ralentissement.
Selon les chercheurs, la façon dont les données ont été structurées suggèrent fortement les informations d’identification divulguées ont été volées via des infostelleurs, un type de malware qui gratte vos appareils pour ce type d’informations. Les mauvais acteurs ont pu obtenir les détails de connexion pour les principaux comptes, notamment Apple, Google, Github, Facebook, Telegram et les services gouvernementaux. Comme CyberNews le montre clairement, cela ne signifie pas que ces entreprises ont elles-mêmes subi des violations de données; Au contraire, la base de données contenait des URL de connexion pour les pages de connexion de ces sociétés qui ont été grattées des appareils individuels, probablement en utilisant des logiciels malveillants.
Certaines informations d’identification contenaient également des données supplémentaires en dehors des noms d’utilisateur et des mots de passe, y compris les cookies et les jetons de session. Cela signifie qu’il est possible que ces informations puissent être utilisées pour contourner l’authentification à deux facteurs (2FA) pour certains comptes, en particulier ceux qui ne réinitialisent pas les cookies après avoir modifié votre mot de passe.
S’il y a une doublure argentée dans cette histoire, c’est le fait que les 16 milliards de mots de passe divulgués ne représentent pas 16 milliards d’enregistrements individuels; Il y a un certain chevauchement, bien qu’il ne soit pas clair dans quelle mesure: bien qu’il soit sûr de dire que moins de 16 milliards de comptes individuels ont été affectés par ces violations, il est également difficile de connaître le nombre exact.
Que peuvent faire de mauvais acteurs avec ces données?
D’abord et avant tout, si vos comptes ne sont protégés que par un mot de passe et que vous n’avez pas modifié votre mot de passe récemment, un mauvais acteur pourrait utiliser cette base de données de mot de passe divulguée pour accéder à votre compte.
Mais les implications vont au-delà de cela. Comme indiqué précédemment, des cookies divulgués et des jetons de session pourraient être utilisés pour se rompre avec des comptes avec le 2FA plus faible. Si votre compte ne réinitialise pas les cookies après avoir modifié votre mot de passe, il pourrait être en mesure de tromper le système 2FA en pensant qu’il a fourni le code 2FA approprié ou les informations d’identification. Ils peuvent également utiliser ces informations dans des schémas de phishing: les pirates peuvent utiliser votre mot de passe pour déclencher une génération de code 2FA. Lorsque le code arrive de votre côté, il peut essayer de vous inciter à le remettre, se faisant passer pour la société derrière le compte en question. Si et quand vous envoyez le code, ils accéderont à votre compte.
Pourquoi il est temps d’arrêter d’utiliser complètement les mots de passe
Ce niveau de violation de données sophistiquée (et de routine) n’était tout simplement pas une chose lorsque le mot de passe est devenu populaire comme principal outil de sécurité numérique. Pendant des années, les experts de la technologie et de la cybersécurité ont prêché l’importance d’utiliser une combinaison de mots de passe forts et uniques, d’outils de gestion de mots de passe et de 2FA pour assurer la sécurité de vos comptes. Ceux-ci sont tous encore importants aujourd’hui, mais lorsque des logiciels malveillants existent qui peuvent gratter vos informations d’identification directement de vos appareils, ces tactiques ne semblent plus aussi à l’épreuve des balles.
Le fait est qu’un système de sécurité qui s’appuie sur quelque chose qui peut être volé n’est pas un système sécurisé en 2025. Les choses doivent changer – et heureusement, elles le sont.
Les clés de pass sont beaucoup plus sécurisées
À l’avenir, il est temps de prendre les touches de pass beaucoup plus au sérieux. Passkeys, contrairement aux mots de passe, ne risque pas de vol, et les mauvais acteurs ne peuvent pas vous inciter à leur envoyer votre touche passante. La technologie est liée à un appareil que vous possédez personnellement, comme un smartphone, et verrouillé derrière une forte authentification. Sans scan de visage, scan d’empreinte digitale ou entrée de broche sur ledit appareil personnel, personne ne monte dans votre compte.
Que pensez-vous jusqu’à présent?
PassKeys se combine avec les meilleures parties des deux mots de passe et 2FA: ils sont pratiques, car vous vous authentifiez rapidement avec votre smartphone (comme le automatique avec un gestionnaire de mots de passe), mais ils nécessitent également que cet appareil personnel soit dans votre possession pour accéder au compte, similaire à la façon dont vous avez besoin d’une méthode d’authentification secondaire pour vous connecter avec 2FA.
De plus en plus d’entreprises commencent à adopter Passkeys comme une forme d’authentification, notamment Apple, Google, Facebook, Microsoft et X. Si l’un de vos comptes prend en charge Passkeys, je vous suggère fortement de les configurer. De cette façon, lorsque la prochaine violation de données inévitable se produit, vous serez protégé.
Que faire pour les comptes qui n’acceptent pas les clés Pass
Bien sûr, tous les comptes ne peuvent pas utiliser Passkeys en ce moment. Dans ces cas, vous devrez consolider la sécurité de votre mot de passe du mieux que vous le pouvez.
Tout d’abord, assurez-vous que chacun de vos comptes a un mot de passe solide et unique. Cela signifie quelque chose qui ne peut pas être facilement deviné par un humain ou un ordinateur, ainsi que quelque chose que vous n’avez pas utilisé pour aucun autre compte auparavant. Bien que vous n’ayez pas besoin de modifier vos mots de passe aussi souvent que les conseils de sécurité traditionnels l’ont suggéré, étant donné les nouvelles, vous voudrez peut-être actualiser vos mots de passe, au cas où.
Il est impossible de se souvenir de tous ces mots de passe forts et uniques, où se trouvent un bon gestionnaire de mots de passe. Certains de ces services sont également livrés avec d’autres outils, comme la génération de code Authenticator, donc ils valent bien l’investissement. PCMAG dispose d’une liste des meilleurs gestionnaires de mots de passe pour 2025, si vous recherchez des recommandations testées à la main.
En parlant d’authentificateurs, configurez 2FA pour chaque compte qui le prend en charge – qui, pour le moment, devrait être la plupart d’entre eux. Bien que PassKeys soit la forme d’authentification la plus forte, 2FA renforce toujours votre sécurité en cas de fuite de votre mot de passe. Sans le code ou un outil d’authentificateur, comme une clé de sécurité, les mauvais acteurs ne pourront pas accéder à votre compte, même avec votre mot de passe en main.
Enfin, avec plus de sites Web et de sociétés ajoutant un support pour Passkeys tout le temps (y compris, plus tôt cette semaine, Facebook), continuez à regarder vos comptes pour l’option et effectuez le changement dès que vous le pouvez. Restez en sécurité là-bas.
