Partager cet article

Votre compte en banque est moins sécurisé que votre boîte e-mail

Un homme retire de l'argent d'une guichet de La Banque Postale à Carquefou (Loire-Atlantique) le 10 septembre 2014. | Jean-Sebastien Evrard / AFP

Un homme retire de l'argent d'une guichet de La Banque Postale à Carquefou (Loire-Atlantique) le 10 septembre 2014. | Jean-Sebastien Evrard / AFP

C'est en tout cas la conclusion à laquelle est arrivé le site Quartz en s'intéressant aux mots de passe qu'il est possible d'utiliser dans plusieurs établissements bancaires.

Motdepasse123. Combien d'entre vous ont déjà été tentés par cette possibilité, facile à retenir? Le site Quartz s'est demandé si les banques américaines imposaient un cadre dans le choix des mots de passe de comptes bancaires en ligne. Ils ont examiné les prérequis de six établissements, et le résultat est impressionnant.

Si l'on en croit les règles étudiées par Quartz, les mots de passe tels que Azerty123, aaa111, ou encore abcd123 seraient acceptés par certaines de ces banques!

Parmi les prérequis, on note également qu'aucune n'impose l'utilisation des caractères spéciaux tels que &, %, #, * ou €. 

De quoi faciliter la tâche des hackers qui n'attaquent généralement pas un seul individu de manière ciblée, mais récupèrent plutôt des données en masse, comme lors de la fuite qui avait frappé la banque américaine JPMorgan en 2014. Ensuite, ils comparent les informations recueillies à une Rainbow Table, littéralement «table arc-en-ciel», une base de combinaisons assez simples qui permet de décrypter un mot de passe à partir de son empreinte. Du moins, s'il n'est pas trop complexe. Certains mots de passe compliquent tellement le travail des hackers que le temps passé à les décrypter ne vaut pas le coût. Pour ce, des générateurs de mot de passe existent. Il vous suffit de (dé)cocher vos prérequis. Nous avons essayé:

Capture d'écran du site générateurdemotdepasse.com

La validation en deux étapes

Scénario catastrophe? Le mot de passe utilisé pour votre compte en ligne est le même que pour votre e-mail. «Le pirate peut hacker le compte e-mail de l'utilisateur et s'en servir pour changer tous les mots de passe, y compris celui des comptes bancaires», explique à Quartz le chercheur en sécurité Marcus Ranum.

Heureusement, les boîtes e-mails sont en général plus sûres que les banques. Gmail ou Outlook proposent aux utilisateurs d'entrer leur numéro de téléphone portable. Un SMS avec un code leur est envoyé qu'ils doivent ensuite taper pour accéder à leur boîte de réception. Seules trois des banques américaines évoquées par Quartz pratiquent la double vérification de l'identité. En France, les banques telles que la Société Générale ou CIC ont mis en place cette technique lors des transactions en ligne.

Si vous ne l'avez pas déjà fait, vérifiez donc que vos mots de passe soient longs et difficilement décryptables. Évitez également d'utiliser le même mot de passe pour plusieurs sites.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte