Incroyable ! Les pirates peuvent exploiter un problème de sécurité pour s’emparer très simplement de votre compte Microsoft. Cet article vous apprendra tout ce que vous devez savoir et comment vous pouvez vous protéger.
Votre compte Microsoft personnel est votre carte d’entrée dans le monde de Microsoft : la plupart des utilisateurs de Windows 10 privilégient ce mode de connexion, qui est d’ailleurs celui que Microsoft recommande lors de la configuration de Windows 10. Et c’est un conseil justifié, car Windows 10 ne déploie son plein potentiel que lorsque vous utilisez un compte Microsoft plutôt qu’un compte local : seul un utilisateur connecté via un compte Microsoft peut par exemple télécharger des applications depuis Windows Store, bavarder sur Skype ou utiliser l’assistant vocal Cortana. La combinaison de l’adresse électronique et du mot de passe permet également d’accéder à vos e-mails sur Outlook.com ainsi qu’à vos documents et images personnels dans l’espace de stockage en ligne OneDrive. Vous devez donc veiller à ce que ces données de connexion ne parviennent pas dans de mauvaises mains. Les pirates peuvent toutefois exploiter une vulnérabilité pour mettre la main très aisément sur vos données de connexion.
Un test en ligne le montre : les pirates peuvent s’emparer très aisément de comptes Microsoft
Pour accéder à votre combinaison personnelle adresse électronique / mot de passe, il leur suffit que vous visitiez un site Internet spécialement préparé à cet effet ou que vous cliquiez de manière inconsidérée sur un lien dans un courrier électronique (du moins, si vous utilisez Outlook). Comment cela se fait-il ? C’est Windows 10 qui gère vos informations de connexion. Dès que vous vous connectez sur l’écran d’accueil, les programmes Microsoft tels que Edge, Internet Explorer ou Office relèvent automatiquement les données de connexion – sinon, vous devriez les saisir manuellement à chaque fois. Une faille de sécurité permet aux hackers de débusquer ces données. Vérifiez vous-même si votre compte Microsoft est concerné.
N’attendez pas, faites le test : vos données de connexion sont-elles sûres ?
- Démarrez le navigateur Edge ou Internet Explorer (le test NE FONCTIONNE PAS avec d’autres navigateurs, comme Firefox ou Chrome).
- Rendez-vous sur le site https://msleak.perfect-privacy.com. Cliquez sur « I understand, start the test ». Patientez une trentaine de secondes que le test se termine.
Remarque : certains scanners de virus bloquent ce test. C’est bon signe ! Si vous souhaitez malgré tout effectuer le test, désactivez provisoirement le scanner de virus. - Vérifiez le résultat : si votre compte Microsoft est exposé, des hackers peuvent accéder à vos données de connexion. Si tel est le cas, modifiez IMMÉDIATEMENT le mot de passe de votre compte Microsoft. La procédure vous est expliquée plus bas.
Le test peut donner les résultats suivants.
1re possibilité : vos données de connexion ne sont pas sûres
Le site affiche le message « Vulnerable, Microsoft Live Account Credentials Submitted! » ? C’est le pire cas de figure. Ce message signifie « Vulnérable, les données du compte Microsoft ont été transmises ». Preuve que vous devriez prendre cet avertissement au sérieux : le site Internet affiche le nom d’utilisateur (Username) et le mot de passe associé (Your Password is: XXXX). Vous devez donc renouveler votre mot de passe sans attendre !
2e possibilité : votre compte Microsoft est vulnérable, mais vous utilisez un mot de passe sûr
Dans ce cas, le site émet également l’avertissement « Vulnerable », et connaît également votre nom d’utilisateur. Il n’est cependant pas parvenu à déterminer votre mot de passe. C’est ce qu’indique le message « Your password could not be recovered in 30 Seconds ». Cela signifie que le test n’a pas réussi à forcer votre mot de passe dans un délai de 30 secondes en utilisant la méthode de la force brute. Celle-ci consiste à faire essayer des milliers de mots de passe en quelques secondes par des programmes spéciaux auxquels on fournit en entrée les mots de passe, expressions et combinaisons de chiffres les plus divers. Le test ne dure cependant, comme nous l’avons vu, qu’une demi-minute. Si les pirates investissent plus de temps et de puissance de calcul dans l’attaque, ils pourraient tout de même découvrir votre mot de passe. Vous devriez donc le modifier dans ce cas également.
3e possibilité : votre compte Microsoft est considéré comme bien protégé
Idéalement, le site Internet affiche le message « Not vulnerable ». Dans ce cas, tout dépend de la connexion Internet. Si la connexion transite, comme sur de nombreux réseaux d’entreprise, par un serveur proxy, ce dernier bloque la transmission des paquets de données décisifs. Ce résultat peut également s’expliquer par certains réglages de Windows qui empêchent l’ordinateur de réagir au test. Cela ne signifie PAS que votre Windows est d’une manière générale à l’abri de telles attaques. Conseil : vérifiez toujours la sûreté de votre mot de passe Windows, par exemple à l’aide du site https://howsecureismypassword.net/.
Aucune solution : fermer votre compte Microsoft
Les concepteurs du test recommandent de ne plus utiliser de logiciel Microsoft susceptible de recourir au partage réseau via Internet. Cela concerne notamment les navigateurs Edge et Internet Explorer, le logiciel de messagerie Outlook et le programme de chat Skype. Ils déconseillent plus généralement l’utilisation des comptes Microsoft pour se connecter à Windows 10. Il s’agirait là d’une mesure radicale, car les possibilités de Windows 10 s’en trouveraient nettement réduites. En effet, un utilisateur qui se connecte sur un compte local ne peut pas télécharger de programmes à partir de Windows Store, ne peut utiliser les applications fournies que de manière restreinte et ne peut pas accéder à OneDrive par l’intermédiaire de Windows Explorer, pour ne citer que quelques exemples. Notre recommandation : définissez plutôt un mot de passe quasiment inviolable !
5 minutes : c’est le temps qu’il faut pour créer un mot de passe Windows inviolable
Vous laissez en permanence votre porte d’entrée ouverte ? Probablement pas. Si vous avez deux sous de bon sens, vous protégez votre chez-vous avec la serrure la plus sécurisée possible. Et c’est aussi comme ça que vous devriez choisir vos mots de passe, qui, contrairement aux serrures, sont même disponibles gratuitement avec un haut niveau de sécurité. Et ce n’est pas la seule raison pour laquelle il est indispensable de disposer d’un mot de passe Microsoft sûr. En effet, si quelqu’un connaît votre mot de passe Microsoft, il peut fouiller comme il lui chante dans votre espace de stockage en ligne, et rechercher dans vos e-mails des mots de passe supplémentaires.
- Ouvrez le site Internet « login.live.com ». Connectez-vous avec vos données de connexion Microsoft. Cliquez ensuite à gauche sous la photo de profil, sur « Afficher le compte Microsoft », puis sur « Autres actions » et sur « Modifier le mot de passe ». Suivez les instructions.
- Vous devez d’abord saisir votre ancien mot de passe et en définir un nouveau. Important : le nouveau mot de passe doit comprendre au moins dix caractères, davantage si possible. Sont à proscrire les suites de chiffres évidentes, les schémas de touches et les mots bateau, les noms de proches, de connaissances, d’animaux domestiques, de personnalités ainsi que votre propre adresse. Pour obtenir un mot de passe à la fois facile à retenir et sûr, utilisez des phrases mnémotechniques ; par exemple, pour votre compte Microsoft : « J’ai besoin de ce mot de passe pour me connecter à Windows 10 ». Ce qui donne les initiales : « JbdcmdppmcàW10 ». Les mots de passe de ce type sont presque impossibles à deviner pour les hackers, à condition que vous utilisiez un bon scanner de virus pour protéger votre ordinateur des logiciels malveillants. Si ce n’est pas le cas, un enregistreur de frappe pourrait relever ce que vous saisissez. Le meilleur mot de passe ne vous serait alors d’aucun secours.
Cet article est également disponible en: AnglaisAllemandItalien