L'utilisation d'un mot de passe universel pour tous les comptes et services est pratique, mais aussi très risquée pour notre sécurité en ligne. Nous nous penchons sur le cas d'un jeune designer nommé Mark.
Mark est, en fait, un jeune homme parfaitement normal. Il possède des comptes de messagerie électronique, Facebook, Instagram, Amazon, eBay, Steam et Battle.net, ainsi que d'innombrables comptes sur des boutiques en ligne populaires et une adhésion à un forum consacré à son jeu vidéo préféré. Mark a lié tous ces comptes à son adresse électronique.
Même mot de passe, une clé pour les pirates pour accéder à tout
Un jour, la base de données clients d'une des boutiques en ligne où Mark a ouvert un compte subit une fuite de données (apparemment, la base de données était stockée en clair sur un serveur en libre accès). Bien qu'aucune information sur les cartes de crédit n'ait été volée, les adresses électroniques, les noms et les mots de passe des utilisateurs ont été volés. À première vue, il ne semble pas y avoir de raison de s'inquiéter. De telles fuites se produisent, et le magasin n'est qu'une petite boutique en ligne. À part cela, on ne peut pas reprocher à un modeste commerçant de ne pas connaître grand-chose à la cybersécurité, n'est-ce pas ?
Les cybercriminels qui ont pillé la base de données tentent bien sûr leur chance et espèrent que certains des utilisateurs compromis de leur liste utiliseront également le mot de passe de la boutique en ligne pour leur compte de messagerie. Et ils ont fait mouche : Mark utilise le même mot de passe pour tous ses comptes, donnant ainsi aux cybercriminels les données d'accès à son compte de messagerie sur un plateau d'argent. Les pilleurs y trouvent non seulement des photos que Mark a envoyées à Lucy, mais aussi des messages d'Amazon, d'eBay et d'autres entreprises. Mark a certainement été assez intelligent pour choisir un mot de passe différent pour tous ces services ... Néanmoins, les criminels essaient de se connecter au compte Amazon de Mark avec le mot de passe volé, et, qui l'aurait cru : ils font un autre coup de théâtre.
En parcourant le compte, les criminels tombent sur une carte de crédit liée au compte et ajoutent quelques iPhone X au panier en un rien de temps. Ensuite, c'est au tour de Mark sur Facebook. Ici, les agresseurs effrontés demandent de l'argent aux amis de Mark via un message : "Hé les gars, ce serait vraiment génial si vous pouviez me prêter de l'argent. J'aurai mon salaire demain, donc je vous rembourserai tout de suite, c'est promis". Certains des amis de Mark n'hésitent pas à lui transférer l'argent, ou à le transférer aux cybercriminels.
Piratage : l'affaire prend de nouvelles ampleurs
Ensuite, les intrus changent les mots de passe pour chaque compte auquel ils peuvent accéder ; dans le cas de Mark, malheureusement, il s'agit de tous les comptes.
Pendant ce temps, un des amis de Mark sur Facebook est devenu méfiant et appelle le jeune designer pour voir s'il a vraiment besoin d'une petite avance. Choqué, Mark tend la main à son ordinateur portable pour changer son mot de passe Facebook. Mais les cybercriminels ont déjà pris sa place, et Mark ne peut plus se connecter au réseau social. Il tente de récupérer le mot de passe et demande à Facebook de lui envoyer un courriel avec un lien pour réinitialiser le mot de passe. Mais il se voit également refuser l'accès à sa boîte aux lettres électronique.
Lentement mais sûrement, Mark se rend compte que presque tous ses comptes ont été piratés. Il appelle immédiatement sa banque pour faire bloquer toutes les cartes de crédit, puis tente désespérément de changer les mots de passe des quelques services qui ne sont pas encore tombés entre les mains des cybercriminels. Puis Mark appelle ses amis pour leur expliquer que ce n'est pas lui qui leur a demandé de l'argent.
Après ce malheureux faux pas, Mark s'engage à ne plus jamais utiliser le même mot de passe pour différents services et comptes et, si possible, à toujours activer l'authentification à deux facteurs afin de maximiser la sécurité de ses données en ligne.