Profitez du bug Twitter pour revoir la gestion de vos mots de passe
Twitter a invité ses 330 millions d’utilisateurs à modifier leur mot de passe suite à un bug compromettant la sécurité de leur compte. Pourquoi ne pas profiter de cette annonce (ironiquement faite le jour du World Password Day) pour reconsidérer la façon dont nous gérons la multitude de passwords utilisés sur internet?
Ce jeudi 3 mai, Twitter a demandé à tous ses utilisateurs de changer de mot de passe. En cause un «bug» qui stockait les passwords dans un registre interne avant qu’ils soient cryptés explique le CTO de l’entreprise dans un billet de blog.
Le communiqué indique que le problème est désormais résolu et insiste sur le fait qu’il n’y ait «aucune raison de croire que les informations concernant ces mots de passe aient quitté le systèmes de Twitter». La plateforme de microblogging a tout de même invité ses 330 millions d’utilisateurs à modifier leur password a travers ce pop-up:
Malheureux hasard du calendrier, ce 3 mai était aussi le World Password Day, une journée de communication lancée par un consortium d’entreprises derrière Intel pour sensibiliser à l’importance de mots de passes et pousser tout à chacun à utiliser des systèmes d’authentification forte pour éviter les vols d’identité.
En quelques heures, cette faille de Twitter a été plus que largement commenté, notamment par les fournisseurs de sécurité et les éditeurs de gestionnaires de mots de passe. Le britannique Sophos pointe l’amateurisme de l’entreprise de Jack Dorsey arguant que ne jamais écrire de mots de passe bruts dans un fichier, même temporaire, est la règle numéro 1.
Un cahier, plus sûr qu'un cerveau
De son côté, Keeper, entreprise américaine proposant des logiciels de gestion de mots de passe et de coffre-fort numérique, a profité du World Password Day pour rappeler quelques bonnes pratiques:
Utiliser des mots de passes complexes (longs, alternant majuscules, minuscules, chiffres et caractères spéciaux). Et remplacer un “I” par un “1” est une fausse bonne idée, l’astuce est trop évidente précise l’éditeur.
Utiliser des mots de passe uniques. «60% des mots de passe sont utilisés plus d'une fois, et c'est un comportement qu'il faut éviter à tout prix. Un mot de passe fort qui est utilisé pour plusieurs comptes est rendu inutile si un seul de ces comptes est exposé à une atteinte à la protection des données», souligne Keeper.
Utiliser un gestionnaire de mots de passe, l’un de ces outils qui permettent de conserver, à un seul endroit, l’ensemble des mots de passe utilisés sur Internet. Ceux-ci peuvent ainsi être beaucoup plus complexes que si vous deviez faire appel à votre mémoire pour les retrouver.
Évidemment, Keeper prêche ici pour sa paroisse. Mais selon Troy Hunt, le créateur de Have I been pwned? (site web sur lequel les internautes peuvent vérifier si leur adresse a été compromise à travers l’exploitation d’une faille), même un cahier sur lequel vous notez vos mots de passe (uniques pour chaque service) avant de le ranger dans un tiroir est bien plus sécurisé que de les stocker dans votre cerveau. Le risque qu’une personne mal intentionnée ait accès à ce tiroir est nettement inférieur à celui qu’un hacker ne devine le mot de passe suffisamment simple pour être retenu de tête et que vous utilisez partout pour ne pas avoir à en apprendre des dizaines écrit le blogueur.
Enfin, tous les professionnels s’exprimant sur le sujet conseillent également de passer au système d’identification à deux facteurs, sur Twitter comme sur tous les services qui le proposent. Celle-ci fait reposer l’identification à la fois sur une chose sue (le mot de passe) et une chose possédée (téléphone, empreinte digitale,...).
