Même après un piratage informatique, les utilisateurs continuent d’utiliser les mêmes mots de passe
Selon une étude en récente (dénommé « How Do People Change Their Passwords After a Breach ? » littéralement traduit en français par « Comment les gens changent-ils leurs mots de passe après une intrusion ? »), dont le résultat a été présenté au début du mois de juin, lors de l’atelier IEEE édition 2020 portant sur la technologie et la protection des consommateurs, il a été démontré par les chercheurs de l’Institut de la sécurité de la vie privée, CyLab, de l’université Carnegie Mellon, que plus de les 2 tiers des utilisateurs des services numériques, même après avoir été victimes d’un incident de sécurité, telle qu’une violation de données, continuent d’utiliser le même mot de passe. C’est qui c’est en tant que seulement un tiers respecter les mesures de sécurité et pense à les modifier.
Cet article va aussi vous intéresser : 9 techniques de piratage de mots de passe
Ce résultat n’a été fourni suite à une enquête menée près des consommateurs, mais plutôt sur une étude en partant sur le trafic des utilisateurs sur internet. Ils ont tout simplement étudier des données de trafic web de plus d’une centaines d’utilisateurs, récoltées par un groupe de l’université, spécialisé dans la recherche active appelée opt-in ( qui consiste à encourager les utilisateurs à s’inscrire et à partager leur historiques, à des fins de recherche universitaire.). Ce groupe de recherche se dénomme Security Behavior Observatory en abrégé SBO. Précisément 249 participants ont vu leurs données de navigation collectée en vue de réaliser la recherche. La collecte s’est effectuée entre le mois de janvier 2017 à celui de décembre 2018, soit 2 ans durant. Les informations collectées comprennent non seulement les informations liées au trafic Web, mais aussi les mots de passe qui furent utilisés lors de connexion aux différents comptes en ligne, sans oublier ce qui ont été stockés dans le navigateur.
Après avoir analysé minutieusement toutes les informations recueillies, les chercheurs ont observé que sur les 249 utilisateurs inscrits, seulement 63 d’entre eux possédaient des comptes en ligne, sur des domaines qui au moins une fois ont fait des déclarations publiques concernant des violations de données qu’ils auraient subi durant les 2 ans qu’ont duré la collecte des données. Seuls 21 parmi les 63, soit 23% ont par la suite changer leur mot de passe sur le compte des sites web qui été touchés par une de données. 15 parmi les 21 ont procédé au changement seulement 3 mois après la déclaration de la violation.
L’équipe de recherche ne s’est pas simplement contenté d’analyser ce seul point, en effet, grâce aux données produit par les OSB, portant sur les mots de passe, il a été possible de déterminer la teneur de la composition des nouveaux mots de passe. Malheureusement seulement 9 des 21 utilisateurs ont réussi à composer une nouvelle fois des mots de passe solides. Les autres, avait composé leurs mots de passe de quelle sorte qu’ils étaient facilement piratables. Il a été constaté que les 12 autres ont en partie utilisé pratiquement les mêmes séquences, ce qui peut être facilement anticiper par les hackers, ou utiliser des mots de passe de certains de leurs comptes toujours actifs, qui souvent étaient stockés sur le navigateur.
En outre, une chose que cette étude a démontré, c’est que jusqu’à présent, une bonne partie des utilisateurs, ne sont pas suffisamment formées, quant à la gestion des mots de passe, leur formulation et leur modification. Car si un conseil a été plusieurs fois répété par les spécialistes de la sécurité informatique, c’est qu’il est très important voire nécessaire, d’utiliser pour chaque compte, un mot de passe unique. Ceux qui continuent malheureusement de toujours faire défaut. Même si dans un certain sens, la faute incombe aussi au entreprises piratées, qui « ne disent presque jamais aux gens de réinitialiser leurs mots de passe similaires sur d’autres comptes ». Notait les chercheurs du CyLab
En définitive, notons que si l’étude a été menée sur des utilisateurs en nombre restreint, il n’en demeure pas moins qu’elle reflète réellement les pratiques le plus courantes et les comportements peu recommandables des utilisateurs, car contrairement aux enquêtes classiques, elle se base sur des faits concrets, et non des réponses données lors d’interrogatoire qui souvent peuvent-être dépeints de beaucoup de subjectivité.
Accédez maintenant à un nombre illimité de mot de passe :