Rechercher

#Tuto Je ne rigole plus avec mes mots de passe

Il est probable que tu aies déjà lu tout un tas d’articles sur l’importance d’avoir de solides mots de passe ou même eu des discussions avec des personnes calées qui t’ont bien expliqué les risques d’une politique de passwords laxiste ; et que tu n’aies pour autant pas changé tes mauvaises habitudes…

Cela ne va pas t’absoudre, mais si tel est le cas, sache que tu es loin d’être seul : 74% des utilisateurs utilisent un mot de passe unique d’après UFC Que Choisir. ?? 

Et perso cela ne m’étonne pas. Je croise au quotidien des personnes, parfois à hautes responsabilités, qui utilisent le même mot de passe partout. Et quand il faut 4 chiffres, zou, le code de carte bleue…? Pourtant, ils connaissent les risques… alors pourquoi ? Il me semble que c’est un mauvais calcul qui les amènent à estimer que la faible probabilité qu’ils se fassent hacker ne mérite pas le phénoménal enquiquinement (pour rester polie…) généré par le choix, la mémorisation et l’utilisation d’une quantité énorme de mots de passe.
Est-ce aussi ton cas ? Si ça ne l’est pas, je t’invite à me l’indiquer en commentaire afin que je puisse tenter de trouver d’autres moyens de t’aider, ainsi que tous ceux dans le même contexte. Et si au contraire c’est le cas, je t’invite à lire ce qui va suivre…

Tout d’abord, replaçons le contexte : si toi aussi tu te dis que le risque de te faire pirater un de tes comptes n’est quand même pas bien grand et que tu ne vas pas arrêter de prendre l’avion sous prétexte qu’il puisse s’écraser (et autres théories de même acabit), je commencerais par t’inviter à un tout petit peu moins de légèreté ? et à regarder la réalité de la situation…

Dans le monde professionnel, on estime que 80 % des fuites de données en entreprise sont causées par des mots de passe faibles ou volés. Selon une étude d’IBM citée dans le livre blanc Kaspersky[1], l’erreur humaine est impliquée dans plus de 90 % des incidents de sécurité (clic sur un lien de phishing, consultation d’un site Web suspect, activation de virus ou autres menaces persistantes avancées) et les mots de passe arrivent en tête des causes de problèmes. On peut donc comprendre que beaucoup d’entreprises ne se sentent pas correctement protégées contre les menaces que font courir la naïveté ou l’ignorance de leurs propres salariés. Pourquoi crois-tu qu’ils essayent de faire de plus en plus de sensibilisation à la sécurité informatique ? Beaucoup de spécialistes disent que le plus gros facteur de risque informatique est « l’interface chaise clavier »… ou pour le dire de manière politiquement correcte, le facteur humain est un enjeu majeur de cybersécurité, en entreprise et partout ailleurs !

Car dans l’univers personnel, les risques de piratage existent également. Et s’ils peuvent être bénins, ils peuvent aussi conduire à des situations dra-ma-tiques, de l’envoi de malwares à vos contacts, au vol d’argent et même d’identité… Rien qu’en France, 200 000 personnes sont victimes d’usurpation d’identité personnelle[2] en ligne chaque année…

Les techniques de cassage de mot de passe sont multiples (l’attaque par force brute, par dictionnaire et l’attaque arc-en-ciel sont les 3 principales[3]) et il existe de nombreux outils pour aider ces malfaiteurs (Brutus, Rainbowcrak, Wfuz, Ophcrack…[4]). On peut même trouver sur le darkweb des vendeurs de mots de passe qui pour quelques centaines d’euros, fournissent des sésames permettant à leurs possesseurs d’en obtenir bien plus encore… ?

Donc maintenant que tu ne doutes plus des risques réels, il ne te manque plus qu’une technique te permettant de créer de manière really easy des mots de passe uniques dont tu te rappelleras sans souci.

Et c’est ce que nous allons voir maintenant !

Étape 1 : Grille de correspondance

Se souvenir d’un grand nombre de mots de passe différents est limite impossible si on ne commence pas par se créer en amont une grille de lecture ou de correspondance, c’est-à-dire un outil qui permettra de se rappeler les éléments qui ont permis les créations respectives des-dits mots de passe. Il existe tout un tas de techniques. Ici, je vais te présenter celle que j’utilise personnellement.

Pour ce faire, il faut que tu commences par déterminer plusieurs éléments que tu peux déterminer sans aucune difficulté lors de la consultation du site ou de l’outil qui te demande un mot de passe : le nom de l’outil ou du site sur lequel tu te trouves, si tu y vas pour des motifs personnels ou professionnels, pour toi ou une autre personne, toujours depuis ton mobile ou pas, etc. Trouve 5 ou 6 éléments comme ceux-ci qui te sont propres. Attention, pas de date de mariage ou de ville de naissance : on parle de données relatives au service que tu es en train d’utiliser. De plus, il ne faut aucune donnée personnelle qui puisse être recueillie par ailleurs.

Et pour chaque élément, détermine un mot, un nombre, un caractère spécial (!%§) correspondant. N’hésite pas à choisir des mots longs ou composés, car la longueur des mots de passe est, avec la variété des caractères utilisés (chiffres, lettres, minuscules et majuscules, caractères) la meilleure manière de se protéger[5].

Concernant le nom du site, tu peux par exemple te servir des lettres qui le composent ou que ces lettres t’inspirent des mots (ex : les 3 dernières lettre du site en majuscules + 1 mot inspiré de sa 1ère lettre en minuscules). Tu vas ainsi te retrouver avec 5 ou 6 bouts de code, qui te sont uniques et que tu n’auras plus qu’à regrouper dans un ordre logique pour avoir une phrase de passe costaude. Effet bonus : à une époque où on fait de moins en moins fonctionner sa caboche, c’est très bon pour stimuler la mémoire ! ?

Étape 2 : Les écrits restent

Pour s’éviter tout stress inutile (jamais bon), trouve-toi un petit carnet répertoire format a6 à l’ancienne (que tu n’emmèneras jamais en promenade avec toi et que tu cacheras dans un lieu sûr) dans lequel tu noteras au crayon à papier les mots de passe de chaque site. Cela permettra, en cas de problème, de pouvoir consulter le mot de passe du site en question, plutôt que de devoir faire une demande de mot de passe oublié et trouver un nouveau mot de passe qui ne respectera plus tes règles (vu que de nombreux sites empêchent d’utiliser un code secret déjà utilisé par le passé).

Étape 3 : Renouvellement

Change régulièrement les mots de passe de tes comptes reliés à des données bancaires et des présences sociales (oui, c’est pour ça que je t’ai recommandé d’y aller au crayon papier !). Au moins 1 fois par an ; ainsi que lorsque tu apprends le piratage d’un service que tu utilises. Pas besoin de changer de technique, modifie uniquement les correspondances. Si tu as environ 20 comptes sensibles, te connecter à chacun pour modifier les mots de passe (quand tu as la liste sous le coude comme ici) te prendra moins d’une heure. 1h de travail par an ou même par semestre pour être plus en sécurité, ce n’est vraiment pas cher payé !

J’espère que ce tuto t’inspirera et te donnera envie de l’utiliser ou de trouver ta technique sur-mesure, mais qu’en tout cas, tu arrêteras de prendre des risques inconsidérés. Et que si tu ne te sens pas de mettre en place un tel système, tu ne t’enfouiras pas pour autant la tête dans la sable et que tu trouveras une autre solution.

Je ne peux pas, en toute bonne conscience, te recommander de les enregistrer via ton navigateur (tu sais, quand il te demande de lui-même si tu souhaites enregistrer le mot de passe) car les risques ne sont pas nuls. Et je ne parle pas de la possibilité qu’un GAFAM (Google, Apple, Facebook, Amazon, Microsoft) les utilise, ce qui peut déjà être inquiétant quand on sait le nombre d’informations qu’ils possèdent, jusqu’à notre numéro de CB pour le store ; mais bien qu’un autre humain y accède… est-ce que c’est quelque chose que tu utilises, l’enregistrement automatique de mot de passe ?

?On va faire un petit test : va dans ton navigateur, clique sur « Paramètres » puis « Paramètres avancés » ou « saisie automatique » selon les options proposées. Dans la section relative aux mots de passe, regarde tes mots de passe enregistrés : ils sont tous consultables et de manière non brouillée ! ?
Tu comprends que « côté secure », c’est un peu limite…

La seule autre alternative sérieuse que je connaisse aux phrases de passe élaborées est le gestionnaire de mot de passe. Si tu ne connais pas le concept (ou seulement de nom), c’est une sorte de coffre-fort renfermant tous tes mots de passe, s’en rappelant pour toi, qui va les chiffrer et en générer d’autres. On parle de SSO (acronyme de Single Sign-On > système d’authentification unique) car tu n’as qu’une seule authentification à faire, un seul « mot de passe général » à saisir, pour accéder à tous les autres services dont il a les passwords en mémoire.

Concrètement, il s’agit d’un logiciel à installer sur ton ordinateur et/ou une app sur ton mobile via le store (App Store ou Google play Store, selon ta chapelle). Ensuite, il faut importer tes mots de passe déjà existants dedans (automatiquement ou manuellement en les saisissant, selon les logiciels et les options). Et quand tu créés par la suite un nouveau compte sur un nouveau site web (et donc qu’il te faut un nouveau mot de passe), il t’aidera à en créer un bien costaud grâce à un générateur puis il le rajoutera aux autres dans le coffre-fort.

Ta seule obligation est de te rappeler im-pé-ra-ti-ve-ment de ton mot de passe unique (aussi appelé mot de passe maître) pour ce gestionnaire[6]. Sur mobile, certains te permettent de remplacer ce sésame par une identification biométrique type empreinte ou reconnaissance faciale. Là, c’est plus simple : peu de risque de ne pas emmener ta tête ou tes doigts avec toi ?

On peut donc dire que ces outils sont bien faits et forts pratiques. Seuls bémols (au-delà du fait que le risque zéro n’existe pas et que si ces boîtes ferment, ce qui est peu probable certes, mais… tu serais quand même dans une “sacré galère” #AlerteEuphémisme), ils peuvent être parfois un peu compliqués à paramétrer quand on n’est pas à l’aise informatiquement et/ou en anglais (tous ne se sont pas donné la peine de tout traduire, confère les aides et les conditions générales d’utilisation). Mais cela reste l’alternative la plus secure.

Il existe des gestionnaires gratuits, des freemiums (base gratuite+options payantes) et d’autres totalement payants. En général, les payants proposent plus de fonctions (partage de mot de passe temporaire ou non, désignation d’une personne de confiance, espace de stockage en ligne sécurisé supplémentaire…), mais même avec une solution gratuite, ce n’est pas la sécurité qui est au rabais et les mots de passe sont bien protégés.

Je ne vais pas rentrer ici dans le détail de tous les outils existants – d’autant que je t’ai mis des liens vers des études comparatives (Frandroid et de l’UFC que Choisir) en bas de page [7], mais juste pour te nommer quelques acteurs parmi les principaux, on peut citer :

Dashlane : application très complète (générateur de mots de passe complexes, répertoire sécurisé pour documents, contacts de confiance, VPN…), compatible windows, mac et iOs, android et linux, elle est gratuite jusqu’à 50 mots de passe, 39.99€/an pour être illimité et 48€/an pour la classe business qui propose d’autres services encore ;

1Password : ancien gestionnaire de mots de passe Apple, il est désormais multiplateformes et itinérant, donc accessible aussi sur pc et mobile android. Payant (5 tarifs, le premier à partir 2,99€ par mois) il offre des services supplémentaires fort pratiques, comme l’apparition d’un clavier de saisie pour les applis non compatibles et qui exigent malgré tout un mot de passe, 1 “travel mode” pour supprimer les données sensibles des tes appareils si tu les emmènes hors de France et un espace de stockage d’1Go sécurisé ;

Bitwarden, le coup de coeur du classement Frandroid (en bas dans les notes) : gratuit, libre, open source et bien chiffré, il sauvegarde mots de passe, cartes de crédit et notes personnelles tout en restant assez simple d’utilisation ;

J’aurais aussi pu parler des antivirus type Kaspersky qui proposent parallèlement des coffres-forts.

Idem, je ne suis pas rentrée dans les fonctions plus poussées auxquelles on peut accéder depuis un PC ou un Mac, car elles ne dispensent pas d’avoir de bons mots de passe en amont. Sauf… sauf peut-être une des fonctions de la marque à la pomme que je ne connaissais pas, enfin que de nom, n’étant pas utilisatrice. C’est le trousseau de MacOS, Keychain. Apparemment, il n’a pas d’équivalent standard sur PC. 

Comme je ne savais pas si c’était vraiment du solide (ouiiii je sais, les macs ont la réput’ d’être infaillible, inviolable, “invirusable”, mais bon dans les faits… voilà quoi!), je me suis rapprochée du geek en chef de la room de #bonjourPPC, @massiotgeek, pour être sûre que je pouvais te le recommander sans boulette. Et il m’en appris beaucoup plus sur la bêête ! 

En fait, tu n’as pas le choix de l’utiliser ou non sur mac. La fonction de base est obligatoire et plein d’autres services que tu utilises s’appuient dessus. Il semblerait que beaucoup d’utilisateurs Apple ne savent même pas que ce service existe, ce qui s’expliquerait par son utilisation invisible si tu ne vas pas tripatouiller les fonctions avancées. Ça gère les mots de passe, mais aussi les clés privées, les certificats et les notes sécurisées. 

Après, y a des fonctions avancées qui elles, sont optionnelles, comme l’outil d’assistance générateur de mot de passe que @massiotgeek m’a présenté. Il en a même fait une petite vidéo pour que tu puisses facilement y accéder, la voilà !

nb1 : pour arriver jusque-là, il faut ouvrir “Préférence Système”, puis “Utilisateurs et Groupes”, “Modifier mot de passe”. Dans la fenêtre après mot de passe sur la droite, tu cliques sur l’icône en forme de clé.
nb2 : le dernier type de mot de passe proposé, FIPS-181, correspond à un mot de passe d’un certain niveau de sécurité, à savoir celui conforme à la norme de sécurité du standard américain (Federal Information Processing Standards)

J’espère (et on espère!) que ces infos t’auront permis d’y voir un plus clair et t’aider dans ta nouvelle stratégie mot de passe ninja ! Adios les 123456, azerty et autres dates de naissance !! Quoi que tu décides, protège-toi bien ? et si tu connais ou que tu découvres de bonnes astuces pour compléter tout ce que je viens d’écrire, indique-les-nous ci-dessous, qu’on partage !

@crédit image : Gerd Altmann, Karolina Grabowska et StartupStockPhotos de Pixabay


[1] Lien vers le livre blanc “La sensibilisation des collaborateurs à la sécurité informatique” https://go.kaspersky.com/rs/802-IJN-240/images/Livre-blanc-sensibilisation-a-la-securite-informatique.pdf Et je ne saurai trop vous recommander de le feuilleter, il est vraiment très intéressant

[2] Le premier réflexe lorsque lors d’une usurpation d’identité est de porter plainte au commissariat de police ou à la brigade de gendarmerie le plus proche de chez vous (voire de faire une pré-plainte sur pre-plainte-en-ligne.gouv.fr)

[3] Plus d’infos sur les types d’attaques existantes > article Numerama/Dashlane : https://www.numerama.com/tech/511984-comment-les-hackeurs-volent-ils-les-mots-de-passe.html

[4] Plus d’infos (notamment sur les outils de cassage de code) dans Le hacking pour les Nuls https://www.pourlesnuls.fr/livres/informatique/le-hacking-pour-les-nuls-grand-format-9782412039595

[5] Il est recommandé d’utiliser des phrases de passe longue et de varier les types de caractères. Selon une source citée dans le JDNet, il faudrait 52 secondes à un pirate pour usurper un mot de passe de 8 caractères même aléatoires, contre 11 minutes pour un mot de passe qui inclut des chiffres.https://www.journaldunet.com/solutions/expert/71511/52-secondes–le-temps-necessaire-pour-pirater-le-mot-de-passe-d-un-employe-et-entrer-dans-le-reseau-de-son-entreprise.shtml

[6] Et à vraiment bien t’en rappeler et à le noter en prime, car avec la meilleure volonté du monde, personne chez le prestataire ne pourrait te communiquer ton mot de passe oublié vu qu’ils n’y ont pas accès. Pas de bêtise donc…

[7] Classements des gestionnaires de mot de passe, de Frandroid https://www.frandroid.com/culture-tech/securite-applications/393575_notre-selection-des-meilleurs-gestionnaires-dapplications-lastpass-dashlane-keepass et d’UFC Que Choisir quechoisir.org/guide-d-achat-gestionnaires-de-mots-de-passe-n55345/

Proposé par
Alice Desjardins

Depuis 2013, je suis chez MOUAH et propose du conseil marketing aux entreprises et du « coaching digital » à leurs équipes dirigeantes. En parallèle, je donne des cours de communication à AMOS et participe à de belles aventures associatives (MONEPI, SEL...) ainsi qu'à cette rédac' room.
Au plaisir d'échanger !

Joindre la discussion
3 commentaires

A lire dans cette thématique

La Playlist du DJ

La newsletter