Des majuscules, des minuscules, des symboles, des chiffres et au moins 15 caractères : voilà ce que devraient contenir vos mots de passe, selon un rapport de l’entreprise américaine de sécurité informatique Home Security Heroes (HSH) publié en avril.

C’est la meilleure façon de se protéger contre les outils dopés à l’intelligence artificielle (IA) dont disposent désormais les pirates informatiques. En une seule minute, l’un de ces outils, PassGAN, a pu déchiffrer la moitié des 15 millions de mots de passe qui lui avaient été soumis, a montré HSH lors d’une simulation. Après une journée, 71 % d’entre eux avaient été découverts.

Voilà pourquoi HSH recommande les longs mots de passe comme rA12kd$aK35Pw!2, impossibles à retenir, mais surtout impossibles à deviner. Vous trouvez ça compliqué ? Ne vous en faites pas trop, car l’ère des mots de passe arrive à sa fin, selon Tony Anscombe, ambassadeur en matière de sécurité informatique de l’entreprise slovaque de sécurité Internet ESET.

PassGAN tente de découvrir vos mots de passe en analysant ceux dévoilés lors de fuites passées, explique l’informaticien. « Il essaie de deviner quelles autres variations vous auriez pu imaginer », résume Tony Anscombe. Si un commerce A, où vous avez déjà fait une transaction, s’est fait pirater et que votre mot de passe y était SesameCanadiens, l’outil pourrait essayer SesameNordiques ou SesameBruins lorsque des fraudeurs l’utiliseront pour tenter d’usurper votre compte dans un commerce B, par exemple.

À lire aussi Les voleurs d’identité

PassGAN ne réinvente pas la roue, mais l’IA le rend plus rapide que les logiciels utilisés par les fraudeurs jusqu’à maintenant.

Pour contrer le perfectionnement des outils de piratage, de nouvelles façons d’accéder à vos comptes émergent, et elles sont plus sécuritaires que de taper un mot de passe. Comme ouvrir une notification envoyée sur votre téléphone, par exemple ; pour réussir à pirater votre compte, il faudrait que les fraudeurs accèdent à votre appareil. Dans certains cas, ces notifications sont également protégées par vos données biométriques (votre visage ou vos empreintes digitales), reconnues par votre téléphone. Ces « clés d’accès » ont récemment été adoptées par Apple et Google, et sont appelées à gagner en popularité.

« De plus en plus d’entreprises analysent aussi différentes informations pour s’assurer que la personne est bien qui elle prétend être », ajoute Merritt Baer, architecte en sécurité au bureau du chef de la sécurité informatique d’AWS, le bras infonuagique d’Amazon. Si quelqu’un tente de se connecter à votre compte à l’autre bout du monde alors que vous étiez à la maison à peine une heure plus tôt, un système informatique doté de dispositifs de sécurité robustes détectera que cette demande ne vient pas de vous.

À lire aussi Des iPhone et des Mac mieux sécurisés

Plus les répercussions du piratage d’un site risquent de mettre ses utilisateurs dans l’embarras, plus une entreprise a intérêt à y imposer des « couches » de sécurité, poursuit Merritt Baer. Pareil pour les actions lourdes de conséquences que l’utilisateur fait lui-même. Pour fermer définitivement votre compte Gmail, par exemple, vous devez vous identifier avec une adresse courriel différente, comme celle de votre vieux compte Hotmail.

Malheureusement, les sites que vous visitez ne suivent pas tous les plus récentes approches en matière de sécurité. Et les mots de passe sont toujours bien présents en 2023… Les gestionnaires de mots de passe (ces logiciels permettant d’enregistrer de longs mots de passe indéchiffrables) ont encore de beaux jours devant eux.

Cet article a été publié dans le numéro de septembre 2023 de L’actualité, sous le titre « Ad13U!!* ».