Les sites internet sur lesquels vous vous inscrivez vous invitent à créer des mots de passe toujours plus complexes. Ils vous disent parfois d’en changer régulièrement, de ne jamais utiliser le même sur deux sites différents…
Et c’est franchement pénible, non ?
Surtout quand on n’a pas conscience du danger que représentent les fuites de données et les attaques de force brute. Alors voyons cela tranquillement.
Quels sont les risques ?
Si quelqu’un ou quelque chose découvre vos mots de passe, il peut donc s’identifier à votre place sur un site internet et se faire passer pour vous.
En accédant au contenu de votre adresse e-mail, il peut récupérer tous vos autres mots de passe, modifier tous vos comptes et faire ce qu’il veut de votre vie en ligne en moins de temps qu’il ne vous en faut pour remarquer que vous avez été piraté.
Sur un réseau social, il peut usurper votre identité, publier quelque chose qui pourrait vous nuire ou nuire à votre réputation ou bien tenter de de soutirer des informations ou de l’argent à vos contacts.
Sur le site de votre banque, il peut effectuer des mouvements de fonds. Ceux qui y parviennent (malgré les sécurités complémentaires mises en place par votre banque) le font généralement vers des banques étrangères où il n’est pas possible de récupérer l’argent déplacé ni de retrouver l’identité du fraudeur.
Sur un site marchand, il peut acheter des articles et les faire livrer n’importe où à vos frais. Là encore, il s’arrange pour ne pas être identifiable (et c’est plus facile qu’il n’y paraît).
Avec le mot de passe de votre téléphone, il peut prendre le contrôle de votre appareil, écouter ce qui se passe dans votre maison, connaître vos routines et vos habitudes pour préparer un cambriolage.
Et surtout, en ayant accès à vos comptes et données personnelles, il peut vous mettre en grand danger en faisant apparaître n’importe où des traces permettant de vous relier, par exemple, à une enquête policière dont vous n’aviez jamais entendu parler.
Pourquoi avoir un mot de passe différent à chaque fois ?
Lorsque vous vous inscrivez sur un site internet, celui-ci enregistre votre mot de passe et votre identifiant de connexion (et autres informations personnelles selon ses besoins).
Tout site internet sera un jour piraté. C’est inexorable. On ne sait pas quand, mais ça arrivera. Le travail des cyberdéfenseurs consiste à reculer la date fatidique, à anticiper les nouvelles formes d’attaque. Mais cela arrivera. Soit par une tactique permettant de déchiffrer le contenu sécurisé du site, soit en utilisant une « porte dérobée, » c’est à dire un accès non sécurisé qui est resté ouvert sans que l’on s’en aperçoive.
Lorsqu’un site internet sur lequel vous êtes inscrit est piraté, vos données sont « compromises. » Elles sont disponibles dans la nature. Certains pirates les revendent sur des sites obscurs et malveillants, d’autres les utilisent à leurs propres fins. Mais en général, toutes ces données finissent quelque part sur internet, à portée de clic. Donc tout le monde peut connaître votre identifiant et votre mot de passe. Les pirates ne tarderont pas à les tester sur d’autres sites. Et s’ils concordent là aussi, pourront accéder à d’autres comptes vous appartenant.
Il est donc indispensable d’avoir un mot de passe différent sur tous les sites internet sur lesquels vous êtes inscrits.
Pourquoi un mot de passe complexe ?
Il faut faire attention avec la notion de « complexité. » Ce qui est complexe pour vous ne l’est pas pour un ordinateur. Et c’est bien souvent là que l’on se fait avoir.
Prenons des mots de passe au hasard :
- brutus2017 : le nom et l’année de naissance de votre bon gros toutou <3
- enzo-manon : comme ça vous penserez à vos petits enfants en vous connectant
- Maman&P@pa! : je suis sûr que personne d’autre n’y avait pensé
- Inguiniel56240 : ville et code postal, une valeur immuable !
Hé bien si vous utilisez des mots de passe comme ceux-ci, empressez-vous de les changer ! Car ils font partie des premiers mots de passe qui seront testés (avec 1234, abcde et azerty).
Tout ce qui est simple et qui touche votre vie personnelle doit être proscrit de vos mots de passe. Trop facile à trouver.
Et les exemples ci-dessus sont faciles à trouver par un humain. Imaginez ce qu’un ordinateur est capable d’imaginer pour percer votre mot de passe. Car on parle d’un ordinateur qui aurait été entraîné avec vos données personnelles compromises sur un site lambda que vous aviez oublié mais qui existe toujours.
Même en écrivant Brutu$ €nzo et Man0n, l’ordinateur trouvera. Il est plus rapide que vous.
Un vrai mot de passe doit être composé de lettres, de chiffres et de symboles qui n’ont aucun sens. Votre chat devrait pouvoir vous aider si vous le posez sur le clavier. Et il doit être assez long pour qu’un ordinateur ne puisse pas le trouver par hasard.
Cette infographie date de 2023, elle est caduque car le développement des intelligences artificielles a permis d’accélérer le vol de mots de passe. Elle donne cependant une idée assez nette : si quelqu’un veut pirater votre compte, même avec un mot de passe 10 caractères mélangés, cela lui prendrait moins de deux semaines pour tester toutes les possibilités.
Quant aux mots de passe présentés là haut, s’ils présentent quand même une petite sécurité à la lecture du tableau, rappelez-vous que ce sont des mots communs qui seront testés en priorité. Donc 2 semaines pour tester toutes les combinaisons, mais en commençant par les plus évidentes, cela peut prendre moins de temps.
Cependant on est d’accord : aucun être humain n’a la capacité de retenir plusieurs suites de lettres, de chiffres et de symboles totalement aléatoires. Il va donc falloir trouver une parade !
Le carnet ? Oubliez.
Beaucoup notent les mots de passe dans un carnet.
C’est la pire idée à envisager. Si vous vous faites cambrioler, le voleur aura votre ordinateur et vos mots de passe d’un seul coup. Moins d’une heure après être revenu à son repère, il aura piraté tous vos comptes. Et vous n’aurez le temps de rien faire.
Le carnet, c’est donc le meilleur moyen de se faire pirater.
Il faut avoir conscience que certaines données informatiques valent plus que ce que vous mettriez dans votre coffre fort. Laisseriez-vous le code de votre coffre fort sur un post-it ? Non. Alors pareil pour les mots de passe.
Un mot de passe pour les retenir tous
La solution la plus convaincante, c’est d’arrêter de vouloir faire confiance à votre mémoire. Préférez les mots croisés et le sudoku pour continuer à stimuler votre cerveau. Pour les mots de passe, choisissez un mot de passe « maître » et ça sera le seul à retenir.
Il a intérêt d’être costaud.
D’ailleurs ça ne sera pas un mot de passe mais une phrase de passe.
Cas 1 : On vous oblige à mettre des majuscules, minuscules, caractères spéciaux…
Une pratique qui devrait disparaître mais en attendant il faut s’en accommoder. Ici construisez un « super mot de passe » bien compliqué et que vous seul pourrez retrouver. Prenez six ou sept mots sans rapport les uns aux autres. Assurez-vous de pouvoir vous en rappeler. Au besoin laissez des indices dans votre carnet duquel vous aurez pris soin d’effacer tous vos autres mots de passe.
Et à partir de ces quelques mots bien choisis, vous allez créer votre mot de passe maître.
Il n’y a pas de solution type, c’est à vous de la définir et de la mémoriser. Vous allez vous-mêmes chiffrer un message en vous assurant que vous serez le seul à pouvoir le déchiffrer. Mobilisez votre imagination, votre mémoire, vos raisonnements absurdes, les blagues que personne n’a jamais comprises, les souvenirs que vous ne partagez presque jamais…
Quelques exemples (c’est totalement fictif, hein) :
- Mon premier ordinateur : Un Thomson TO7
- Mon meilleur souvenir de vacances : la chute dans l’eau du gouffre de Padirac en 1997 (on en rigole encore)
- Si j’avais eu un fils, je l’aurais appelé Arthur mais j’ai eu que des filles
- J’aimerais bien aller au Japon
- J’ai eu mon diplôme d’état d’infirmier en 1989
Avec ceci, je peux composer une phrase de passe.
To7baignade@Padirac97arthur?KyotoIDE89
Il faut un peu plus de six siècles à un ordinateur pour trouver ce mot de passe en effectuant 10 tests au hasard chaque seconde. Un mot de plus, un autre caractère spécial quelque part, ça ça se transformera en millénaires.
Si c’est trop difficile à retenir, vous pouvez noter un mémo sur votre calepin avec des indices pour retrouver chacun des mots. Par exemple avec :
- Premier ordi
- sujet de rigolade arobace Vacances année
- fils
- ?
- Ancienne capitale
- Métier DIPLÔME année
Ce type de mémo n’engage que cet exemple, mais dans l’idée, les majuscules et les minuscules sont un indice pour me souvenir d’où j’en ai mis et la quantité d’information sur chaque ligne n’a aucun rapport avec la longueur du mot à retrouver. A priori, même quelqu’un de particulièrement proche ne pourrait trouver cette suite illogique : elle est purement personnelle. On pourrait même mettre des mots en anglais, en breton, en gallo. L’essentiel est de pouvoir se rappeler si besoin est.
Cas 2 : Vous pouvez mettre autant de caractères que vous voulez, dont des espaces
La solution du futur. Celle qui va se déployer. Celle qui DOIT se déployer. S’il vous est possible de créer une vraie phrase de passe, n’hésitez pas !
Choisissez la bien. Allez chercher dans les tréfonds de votre mémoire, vos souvenirs heureux, personnels, les paroles d’une chanson qui vous a touché. Si éventuellement la phrase peut être un poil tordue, absurde, ou comportant un nom propre ou un mot étranger qui n’a rien à faire là, c’est parfait ! Ca ne rendra la chose que plus difficile à deviner.
Quelques exemples de phrases de passe :
- Quand il était petit, Arthur disait fa au lieu de chat
- Si j’énerve, j’va dans mon potager, ça me calme
- J’aurais voulu être à Woodstock
- s’il vous plaît monsieur dessine moi un mouton
Voilà ce qui devrait vous être demandé pour vous authentifier afin de retrouver vos mots de passe complexes que personne ne peut retenir.
Une phrase de passe n’est pas impossible à mémoriser et c’est tout sont intérêt.
Prenez des idées plus complexes et beaucoup plus personnelles que celles-ci et maintenant que vous avez votre mot/phrase de passe maître que vous seul êtes en mesure de retrouver, passons à l’étape suivante !
Un vrai bon coffre fort inviolable
Avec votre phrase de passe bien complexe, vous allez pouvoir protéger un coffre-fort numérique qui contiendra vos données essentielles. Et même d’autres informations si besoin. De toute façon personne n’y aura accès si vous gardez ce mot de passe pour vous.
Certaines entreprises proposent des coffre-forts. C’est le cas de Google, Apple, Microsoft ou encore Mozilla Firefox.
Concernant les 3 premiers, il est bon de rappeler qu’ils font partie des grosses entreprises de la Silicon Valley et que c’est la revente de vos données qui leur rapporte le plus d’argent. Le côté positif, c’est qu’ils sont plutôt en avance sur les questions de sécurité et qu’il n’y a, à ma connaissance, aucune raison de penser que vos mots de passe pourraient être compromis si vous utilisez leur solution.
L’ennui c’est que le fait de leur confier ce type de donnée contribue à exposer encore notre vie privée. En utilisant les applications d’authentification de ces trois-là, ils sauront sur quels sites vous vous inscrivez, à quelle fréquence vous vous y rendez. Ce sont des informations en or qu’ils peuvent revendre à tous les publicitaires désireux de vous harceler pour vous faire acheter leurs panneaux solaires thermostatiques connectés.
La solution de Mozilla Firefox est moins centrée sur la revente de données (bien qu’ils effectuent eux aussi des analyses). Par contre elle a pour défaut d’être trop facilement utilisable. Par exemple, il suffit de démarrer votre ordinateur et d’ouvrir Firefox pour récupérer vos mots de passe. Je peux même vous le faire en moins de 5 minutes en utilisant une clé d’installation Linux et en copiant votre répertoire personnel Windows (qui n’est pas sécurisé). Il manque quelques niveaux de sécurité, ce qui n’est pas pleinement satisfaisant. Ces niveaux de sécurité sont paramétrables. Sous Linux. Pas sous Windows.
Si cela ne vous satisfait pas, il existe deux alternatives qui font école : KeePassXC (qui nécessite un peu de bidouille et un cloud) et Biwarden (qui est payant). Mais une fois en place, vous pouvez proposer le service à vos proches (j’espère que Mamie peut avoir confiance en vous !).
A titre personnel et professionnel, j’utilise KeePassXC pour sauvegarder les mots de passe de mes proches et de certains clients.
Et maintenant, l’authentification multifactorielle !
Quand je vous dis de protéger votre coffre fort, ce n’est pas anodin. Même avec une phrase de passe de 47 mots, avec un coup de pas de chance, votre mot de passe peut être trouvé « par hasard. » Et en matière de sécurité, on ne laisse pas de place au hasard.
Loi de Murphy : ce qui peut se produire se produira un jour.
Alors ajoutez au moins une sécurité supplémentaire à votre coffre fort avec l’authentification à deux facteurs.
On compte généralement 4 facteurs différents, dont 3 sont particulièrement utilisés :
- quelque chose que vous connaissez (mot de passe, code pin…)
- quelque chose que vous possédez (téléphone, carte de crédit, puce RFID…)
- quelque chose que vous êtes (visage, iris, empreinte digitale…)
- quelque part où vous êtes
Lorsque vous retirez de l’argent à un distributeur, vous utilisez trois facteurs : vous êtes à un endroit précis, vous possédez une carte et vous connaissez le code.
L’authentification multifactorielle est donc quelque chose que vous pratiquez déjà.
Pour sécuriser votre coffre fort, le plus simple est d’ajouter un facteur permettant d’attester que vous possédez un appareil spécifique. Votre ordiphone fera l’affaire. Téléchargez une application comme Aegis Authentificator, configurez-la bien (et surtout programmez des sauvegardes) et demandez-lui de vous fournir un code temporaire lorsque vous devez déverrouiller votre coffre fort.
Phrase de passe + obligation de posséder votre ordiphone (lui-même sécurisé) : voici qui devrait vous permettre de garder tous vos secrets.
En bref…
Prenez le temps de sécuriser tous vos accès. Si vous avez eu la chance de ne jamais avoir été piraté jusqu’à présent, retenez bien que cela arrivera forcément un jour. Vous pouvez jouer la montre et compter sur votre bonne étoile, mais lorsque vous aurez perdu face à un pirate informatique mille fois plus rapide que vous, cela pourra se compter en milliers d’euros, en heures de travail, en réputation…
Donc je vous rappelle :
- Sécurisez du mieux que vous pouvez les adresses e-mail rattachées à vos comptes
- Utilisez un coffre fort fermé par une phrase de passe et un second facteur d’authentification pour retenir des mots de passe forts différents sur chaque site internet.
Si cela vous semble complexe, n’ayez crainte : toute la documentation et toute la littérature nécessaires sont disponibles gratuitement sur internet. Les logiciels libres peuvent vous aider, ils ont été conçus pour ça et uniquement pour ça. A défaut de pouvoir le faire seul, faites appel à quelqu’un de confiance.
Et si votre mémoire vous joue des tours, il existe des services payants pouvant être rendus par des professionnels afin de conserver vos mots de passe les plus importants.
Mais plus que jamais : si vous pouvez retenir vos mots de passe de tête, alors n’importe quel hacker pourra accéder à tous vos compte. Souhaitez qu’il soit pourvu de bonnes intentions.