Vous avez forcément déjà lu et/ou entendu ce conseil, qui consiste à avoir un mot de passe différent pour chaque service sur lequel vous avez besoin de créer un compte. Le souci, c'est que de nos jours, ces services se sont vu démultipliés, ce qui ne facilite pas la mémorisation, et peut donc être très ennuyeux, même si les navigateurs web proposent de les enregistrer. Vos Post-it aussi d'ailleurs :
(http://www.f-secure.com/weblog/archives/passwords_on_a_post-it.jpg)
Du coup la plupart du temps vous utilisez le même sur de nombreux sites, aussi bien à caractère personnel léger (genre MerdeBook), que plus sérieux (site de vente en ligne). Mentez pas, je le sais, et d'ailleurs moi-même ne procède qu'à de légères variations sur le même thème, notamment parce que les caractères spéciaux passent plus ou moins bien suivant les sites.
Sauf que lorsque je me suis fait cambrioler, j'ai du changer le mot de passe de mon compte Microsoft, ma xbox ayant fait partie du lot remporté par les salopards. Et ma boite Yahoo aussi. Et Mon compte LDLC, PC INpact, Clubic, Partoche.com... Bref, partout où l'adresse mail et/ou le pseudo était associé au même mot de passe (ou ses variations). Pourquoi ? Eh bien, un exemple valant toutes les explications, je vais vous résumer ce qui est arrivé récemment à l'équipe de SMF, le moteur de forum que nous utilisons ici.
(http://media.simplemachinesweb.com/site/images/frontpage_logo.png)
Un des administrateurs a donc utilisé le même couple utilisateur/mot de passe sur plusieurs sites, dont l'administration du forum officiel de Simple Machines Forum. Un des sites qu'il utilisait s'est fait voler par un moyen qui sort du cadre de ce topic la base de données des membres, avec donc les utilisateurs/mots de passe. Et dans le tas se trouvait celui de notre administrateur. Une personne ayant eu accès aux données récupérées a donc pu s'identifier dans la partie administration du forum officiel, et à partir de là récupérer d'autres couples utilisateurs/mots de passe, la totalité des membres du forum. Génial pour un administrateur d'un forum qui se veut sécurisé. Aucune faille de sécurité utilisée sur le forum, et pourtant, ils se sont fait voler leur base de données (en fait elle a juste été copiée, mais frauduleusement--le vol impliquant normalement que le propriétaire n'en dispose plus, ce qui n'est pas le cas ici).
Bref, forcez vous à fortement varier vos mots de passe pour les sites qui vous demandent une identification, les outils permettant de ne pas forcément avoir besoin de tout retenir existent (gestionnaires de mots de passe dans les navigateurs web, trousseaux de clés sécurisés (tel que PyPass (http://pypass.org/wp/) le propose).
Et rappelez-vous : le maillon le plus faible se situe toujours entre la chaise et le clavier.
Source : Undernews (http://www.undernews.fr/hacking-hacktivisme/simple-machines-forum-lespace-officiel-pirate-la-base-de-donnees-complete-volee.html)