{"id":8313,"date":"2025-06-22T03:16:56","date_gmt":"2025-06-22T01:16:56","guid":{"rendered":"https:\/\/vieassociative.be\/actualites\/cette-violation-de-donnees-massive-montre-pourquoi-nous-devons-tuer-le-mot-de-passe-une-fois-pour-toutes\/"},"modified":"2025-06-22T03:16:56","modified_gmt":"2025-06-22T01:16:56","slug":"cette-violation-de-donnees-massive-montre-pourquoi-nous-devons-tuer-le-mot-de-passe-une-fois-pour-toutes","status":"publish","type":"post","link":"https:\/\/vieassociative.be\/actualites\/cette-violation-de-donnees-massive-montre-pourquoi-nous-devons-tuer-le-mot-de-passe-une-fois-pour-toutes\/","title":{"rendered":"Cette violation de donn\u00e9es massive montre pourquoi nous devons tuer le mot de passe une fois pour toutes"},"content":{"rendered":"
16 milliards de mots de passe ont \u00e9t\u00e9 divulgu\u00e9s. Oui, milliards.<\/div>\n

<\/p>\n

Les mots de passe sont un aliment de base \u00e0 la fois sur Internet et l’informatique en g\u00e9n\u00e9ral. M\u00eame si de nouveaux protocoles d’authentification ont \u00e9merg\u00e9 – des cl\u00e9s Pass \u00e0 la biom\u00e9trie – la plupart d’entre nous utilisent des mots de passe pour se connecter \u00e0 nos comptes et sites Web quotidiens en utilisant un code compos\u00e9 de lettres, de chiffres et de symboles.<\/p>\n

Le probl\u00e8me est que le mot de passe \u00e9tait vraiment un produit de son temps et n’appartient pas vraiment \u00e0 l’\u00e8re num\u00e9rique moderne. Les menaces de cybers\u00e9curit\u00e9 ont \u00e9volu\u00e9 jusqu’\u00e0 pr\u00e9sent au-del\u00e0 de la capacit\u00e9 d’un mot de passe pour les prot\u00e9ger qu’ils sont devenus un passif, m\u00eame lorsque vous suivez les meilleures pratiques pour les cr\u00e9er et les garder en s\u00e9curit\u00e9. Exemple: nouvelle de la derni\u00e8re violation de donn\u00e9es, l’une des plus grandes de tous les temps, dans lesquelles les chercheurs ont d\u00e9couvert pas des millions, mais milliards<\/em> de mots de passe flottant sur le Web. <\/p>\n

Seize milliards de mots de passe divulgu\u00e9s sur Internet<\/h2>\n

CyberNews a rompu l’histoire vendredi: cette ann\u00e9e, les chercheurs du point de vente ont trouv\u00e9 30 ensembles de donn\u00e9es expos\u00e9s sur Internet, chacun contenant de \u00ab\u00a0des dizaines de millions \u00e0 plus de 3,5 milliards de dossiers\u00a0\u00bb. Selon les chercheurs, ils ont trouv\u00e9 16 milliards de mots de passe collectifs divulgu\u00e9s sur le Web.<\/p>\n

De plus, ces mots de passe sont tous nouvellement divulgu\u00e9s. Aucun d’entre eux n’a \u00e9t\u00e9 signal\u00e9 dans les violations de donn\u00e9es pr\u00e9c\u00e9dentes, \u00e0 l’exception d’environ 180 millions de mots de passe trouv\u00e9s dans une base de donn\u00e9es non prot\u00e9g\u00e9e en mai. Les chercheurs disent qu’ils continuent de trouver de nouveaux ensembles de donn\u00e9es \u00ab\u00a0massifs\u00a0\u00bb toutes les quelques semaines, donc les d\u00e9couvertes ne montrent aucun signe de ralentissement. <\/p>\n

Selon les chercheurs, la fa\u00e7on dont les donn\u00e9es ont \u00e9t\u00e9 structur\u00e9es sugg\u00e8rent fortement les informations d’identification divulgu\u00e9es ont \u00e9t\u00e9 vol\u00e9es via des infostelleurs, un type de malware qui gratte vos appareils pour ce type d’informations. Les mauvais acteurs ont pu obtenir les d\u00e9tails de connexion pour les principaux comptes, notamment Apple, Google, Github, Facebook, Telegram et les services gouvernementaux. Comme CyberNews le montre clairement, cela ne signifie pas que ces entreprises ont elles-m\u00eames subi des violations de donn\u00e9es; Au contraire, la base de donn\u00e9es contenait des URL de connexion pour les pages de connexion de ces soci\u00e9t\u00e9s qui ont \u00e9t\u00e9 gratt\u00e9es des appareils individuels, probablement en utilisant des logiciels malveillants. <\/p>\n

Certaines informations d’identification contenaient \u00e9galement des donn\u00e9es suppl\u00e9mentaires en dehors des noms d’utilisateur et des mots de passe, y compris les cookies et les jetons de session. Cela signifie qu’il est possible que ces informations puissent \u00eatre utilis\u00e9es pour contourner l’authentification \u00e0 deux facteurs (2FA) pour certains comptes, en particulier ceux qui ne r\u00e9initialisent pas les cookies apr\u00e8s avoir modifi\u00e9 votre mot de passe. <\/p>\n

S’il y a une doublure argent\u00e9e dans cette histoire, c’est le fait que les 16 milliards de mots de passe divulgu\u00e9s ne repr\u00e9sentent pas 16 milliards d’enregistrements individuels; Il y a un certain chevauchement, bien qu’il ne soit pas clair dans quelle mesure: bien qu’il soit s\u00fbr de dire que moins de 16 milliards de comptes individuels ont \u00e9t\u00e9 affect\u00e9s par ces violations, il est \u00e9galement difficile de conna\u00eetre le nombre exact.<\/p>\n

Que peuvent faire de mauvais acteurs avec ces donn\u00e9es?<\/h2>\n

D’abord et avant tout, si vos comptes ne sont prot\u00e9g\u00e9s que par un mot de passe et que vous n’avez pas modifi\u00e9 votre mot de passe r\u00e9cemment, un mauvais acteur pourrait utiliser cette base de donn\u00e9es de mot de passe divulgu\u00e9e pour acc\u00e9der \u00e0 votre compte. <\/p>\n

Mais les implications vont au-del\u00e0 de cela. Comme indiqu\u00e9 pr\u00e9c\u00e9demment, des cookies divulgu\u00e9s et des jetons de session pourraient \u00eatre utilis\u00e9s pour se rompre avec des comptes avec le 2FA plus faible. Si votre compte ne r\u00e9initialise pas les cookies apr\u00e8s avoir modifi\u00e9 votre mot de passe, il pourrait \u00eatre en mesure de tromper le syst\u00e8me 2FA en pensant qu’il a fourni le code 2FA appropri\u00e9 ou les informations d’identification. Ils peuvent \u00e9galement utiliser ces informations dans des sch\u00e9mas de phishing: les pirates peuvent utiliser votre mot de passe pour d\u00e9clencher une g\u00e9n\u00e9ration de code 2FA. Lorsque le code arrive de votre c\u00f4t\u00e9, il peut essayer de vous inciter \u00e0 le remettre, se faisant passer pour la soci\u00e9t\u00e9 derri\u00e8re le compte en question. Si et quand vous envoyez le code, ils acc\u00e9deront \u00e0 votre compte. <\/p>\n

Pourquoi il est temps d’arr\u00eater d’utiliser compl\u00e8tement les mots de passe<\/h2>\n

Ce niveau de violation de donn\u00e9es sophistiqu\u00e9e (et de routine) n’\u00e9tait tout simplement pas une chose lorsque le mot de passe est devenu populaire comme principal outil de s\u00e9curit\u00e9 num\u00e9rique. Pendant des ann\u00e9es, les experts de la technologie et de la cybers\u00e9curit\u00e9 ont pr\u00each\u00e9 l’importance d’utiliser une combinaison de mots de passe forts et uniques, d’outils de gestion de mots de passe et de 2FA pour assurer la s\u00e9curit\u00e9 de vos comptes. Ceux-ci sont tous encore importants aujourd’hui, mais lorsque des logiciels malveillants existent qui peuvent gratter vos informations d’identification directement de vos appareils, ces tactiques ne semblent plus aussi \u00e0 l’\u00e9preuve des balles. <\/p>\n

Le fait est qu’un syst\u00e8me de s\u00e9curit\u00e9 qui s’appuie sur quelque chose qui peut \u00eatre vol\u00e9 n’est pas un syst\u00e8me s\u00e9curis\u00e9 en 2025. Les choses doivent changer – et heureusement, elles le sont. <\/p>\n

Les cl\u00e9s de pass sont beaucoup plus s\u00e9curis\u00e9es<\/h3>\n

\u00c0 l’avenir, il est temps de prendre les touches de pass beaucoup plus au s\u00e9rieux. Passkeys, contrairement aux mots de passe, ne risque pas de vol, et les mauvais acteurs ne peuvent pas vous inciter \u00e0 leur envoyer votre touche passante. La technologie est li\u00e9e \u00e0 un appareil que vous poss\u00e9dez personnellement, comme un smartphone, et verrouill\u00e9 derri\u00e8re une forte authentification. Sans scan de visage, scan d’empreinte digitale ou entr\u00e9e de broche sur ledit appareil personnel, personne ne monte dans votre compte.<\/p>\n

<\/p>\n