Le nouveau rapport d’Hive Systems démontre que les hackers mettent de moins en moins de temps à pirater un mot de passe.

Le 5 mai journée mondiale du mot de passe et pour fêter l'événement, Apple, Google et Microsoft lancent un "effort conjoint" pour tuer le mot de passe. Les principaux fournisseurs de systèmes d'exploitation veulent "étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium". Cette norme est appelée "crédential FIDO multi-dispositifs" ou simplement "passkey". Au lieu d'une longue chaîne de caractères, ce nouveau système prévoit que l'application ou le site Web auquel vous vous connectez envoie une demande d'authentification à votre téléphone. À partir de là, vous devrez déverrouiller le téléphone, vous authentifier à l'aide d'un code PIN ou d'un identifiant biométrique, puis vous pourrez continuer. L'objectif est de mettre en place une authentification multiplateforme cohérente et facile à gérer pour les logiciels et les sites Web, sans avoir à se souvenir des mots de passe.

Apple, Google et Microsoft ont publié conjointement hier, journée mondiale du mot de passe, un communiqué affichant leur volonté d’en finir avec les mots de passe. Objectif, se débarrasser d’une mesure de protection considérée comme le maillon faible de la sécurité aujourd’hui, et promouvoir une authentification plus forte.

Mauvaise nouvelle si vos mots de passe sont faibles: des hackers pourraient les cracker plus facilement que jamais grâce à une nouvelle alliée de poids, la RTX 3090, la carte graphique la plus puissante de Nvidia, conçue pour le gaming, mais dont les téraflops pourront servir bien d'autres desseins.

Des chercheurs de l’université de Princeton se sont penchés sur des scripts capables d’extraire des identifiants depuis les formulaires d’authentification à travers les gestionnaires de mots de passe intégrés aux navigateurs. L'une des entreprises concernées, Adthink, nous a répondu à ce sujet.

Des experts américains de la confidentialité Web ont identifié deux scripts de cibleurs publicitaires capables de détourner les outils de gestion des mots de passe de sites Web proposés par les navigateurs.

"Nous continuons notre exploration des gestionnaires de mot de passe avec un outil qui, s’il est plus âpre au quotidien, permet de pousser plus loin la sécurité : KeePass. Open source, mis en avant par la CNIL et ayant les faveurs de l’ANSSI, il se destine à un public plus averti."

"Terminé, le mot de passe que vous utilisez pour tous les sites, ou celui trop compliqué que vous ne retenez jamais. Quartz livre le secret du sésame idéal, pour votre sécurité comme pour votre mémoire..."

"Microsoft a équipé son nouveau navigateur web d'un gestionnaire de mots de passe. Se voulant facile d'utilisation, il a une option pour synchroniser les identifiants et les mots de passe avec ses autres appareils... à condition d'accepter que ces données soient transférées sur les serveurs de Microsoft."

"Microsoft et Yahoo! viennent d'annoncer des alternatives aux mots de passe, jugés trop contraignants et peu sécurisés. Une tendance qui tend à s'imposer dans l'industrie numérique."

Tester le niveau de sécurité de son mot de passe

"De plus en plus de sites et de services ont corrigé la faille Heartbleed, qui rendait vulnérables de nombreuses informations personnelles, notamment les mots de passe des utilisateurs."

"Nous l'avons appris à nos dépens : même au sein d'une équipe sensibilisée aux problèmes de sécurité informatique, une erreur est toujours possible, et peut suffire à ouvrir la porte à des individus malveillants. Si le pire a pu être évité, cela a aussi été l'occasion, pour tous les salariés du Monde, de faire une piqûre de rappel concernant les bonnes pratiques. Nous vous partageons ici quelques règles et conseils que nous tentons d'appliquer au maximum dans notre travail quotidien... et qui auraient pu nous éviter d'être piratés si nous les avions toutes appliquées."

"«Chewy123». C’est la preuve que même un grand cybercriminel peut avoir un mot de passe très facile à casser. Il s’agit en effet de celui qui codait l’ordinateur crypté de Jeremy Hammond, responsable du piratage de la société de renseignements Stratfor en 2012. Et c’est aussi le nom de son chat, rapporte The Independent."

"A première vue, le risque pour les utilisateurs de DropBox est limité, car la société américaine a fait savoir qu’elle surveillait étroitement les connexions sur ses serveurs, et qu’en cas « d’activité suspecte » sur un compte elle en changeait automatiquement le mot de passe. Elle a aussi déclaré aux médias américains que de toute façon les informations publiées sur PasteBin étaient obsolètes."

"Cet épisode vient nous rappeler que notre identité numérique est vulnérable."

"En utilisant le navigateur Google Chrome et en vous connectant à votre compte Google avec Chrome (« Menu » / « Se connecter à Chrome… »), Google synchronise par défaut les données du navigateur avec son cloud.

Cela comprend les favoris, l’historique et l’ensemble des mots de passe mémorisés localement. C’est utile pour récupérer ou partager ses préférence entre plusieurs appareil mais pourquoi donc cela est-il fait sans chiffrement, de telle sorte que Google, et tous les services qui en demandent l’accès NSA, etc.. aient un accès tout trouvé à vos secrets, accès et historique de navigation?"

"Le saviez-vous ? Lorsque vous vous connectez à Chrome avec votre compte Google, le navigateur envoie par défaut l'ensemble de vos mots de passe des sites tiers sur les serveurs de Google, pour vous permettre de les retrouver. Un risque considérable pour la sécurité, que la firme documente très mal."

"Après une enquête interne, Apple est formel : ses services n'ont pas été piratés par celui à l'origine de la diffusion illicite des photos et vidéos privées de célébrités. L'entreprise suggère que l'assaillant a utilisé une méthode qui n'a pas exploité une vulnérabilité logicielle. Cependant, Apple n'a rien dit sur une faille découverte en début de semaine."

"iCloud, le bouquet de services dans le nuage d’Apple, n’est pour rien dans la fuite de dizaines de photos de vedettes dénudées qui occupe la chronique depuis quelques jours. Avec Jennifer Lawrence et quelques autres célébrités en tenue d’Eve (et même plus), il était évident que l’affaire allait connaître un gros buzz."