Comment sécuriser son mot de passe

Le mot de passe idéal existe-t-il ?

Qui ne s’est pas retrouvé un jour devant une demande d’authentification sans pouvoir se souvenir du mot de passe ? Probablement peu de personnes (si c’est votre cas, n’hésitez pas à commenter et à partager votre expérience).

Il est effectivement difficile de sécuriser convenablement ses mots de passe et de les retrouver facilement sans faire appel au bouton « j’ai oublié mon mot de passe » régulièrement.

Pourquoi ? Tout simplement parce qu’un bon mot de passe (entendez par là robuste) nécessite quelques règles de base qui sont bien souvent incompatibles avec nos capacités de mémorisation.

Qu’est ce qu’un mot bon mot de passe ?

Un bon mot de passe doit évidemment répondre à certains critères de robustesse :

  • Longueur minimale de 8 caractères (personnellement j’aurais tendance à privilégier 10 voire 12 caractères minimum),
  • Utiliser tous les types de caractères : alphanumériques, numériques, majuscules, minuscules, caractères spéciaux,
  • Ne pas avoir de signification (sauf peut-être pour vous),
  • Etre unique afin que sa compromission ne compromette pas plusieurs identités ou comptes,
  • Etre changé régulièrement.

Par exemple « :A.zvnZ’fn »S;waxIKWz9H{ek39SPwo3 » est un excellent mot de passe mais impossible à mémoriser !

Les erreurs à ne pas faire…

Vous avez probablement des dizaines d’identités ou de comptes sur le Web, dans votre entreprise, sur les réseaux sociaux ou même votre Box, …

En faisant le décompte, vous serez probablement surpris par le nombre élevé d’informations à retenir et vous vous rendrez compte que nombre d’entre eux utilisent un mot de passe commun.

A titre personnel, j’ai décompté 147 identités actuellement (en constante augmentation).

Dans le meilleur des cas, vous aurez quelques mots de passe de complexité différentes en fonction de l’importance des informations à protéger : un pour la banque, un pour vos comptes de messagerie, un pour les réseaux sociaux, …

D’une manière générale vous aurez souvent tendance à utiliser des moyens mnémotechniques pour mémoriser vos mots de passe :

  • Prénom des enfants ou du conjoint,
  • Date de naissance,
  • Nom de l’animal de compagnie,
  • Ne jamais les modifier.

Bref, un mot de passe facile à retenir qui sera également facile à pirater.

Plus une personne vous connaîtra, plus elle sera à même de deviner votre ou vos mots de passe (ou de tenter de le faire).

Démonstration par l’exemple

Pensez à votre compte bancaire bien souvent protégé par un mot de passe numérique à 6 ou 8 chiffres. Vous conviendrez d’ailleurs que ce type de mot de passe est une grossière erreur car il est beaucoup trop simple par rapport aux informations qu’il protège. Vous serez probablement tenté d’utiliser une date d’anniversaire.

Un relevé bancaire anodin à vos yeux peut devenir une vraie menace : il révèlerait le nom de votre banque (et donc le site Web où tenter l’intrusion) ainsi que votre numéro de compte et de client (l’un des 2 sera très probablement votre identifiant). Quelques tentatives seront bien souvent suffisantes pour réussir l’intrusion, pensez-y et n’utiliser JAMAIS de date de naissance en guise de mot de passe.

Si vous n’avez pas le choix (comme c’est malheureusement souvent le cas avec certains organismes bancaires), privilégiez une succession de chiffres sans signification particulière. Il faudra bien le retenir et le noter sur un papier ou dans un fichier non-chiffré, vous vous en doutez, n’est pas la solution recommandée.

Dans un autre registre, voici le TOP 25 des mots de passe les plus utilisés sur Internet (source http://splashdata.com/) :

123456
password
12345
12345678
qwerty
123456789
1234
baseball
dragon
football
1234567
monkey
letmein
abc123
111111
mustang
access
shadow
master
michael
superman
696969
123123
batman
trustno1

Ces mots de passe seront évidemment les premiers essayés lors de tentatives d’attaque par dictionnaire (liste de mots de passe les plus fréquemment utilisés).

Gardez à l’esprit qu’un mot de passe de moins de 10 caractères alphanumérique (sans caractères spéciaux, sans chiffres) sera trouvé en quelques minutes tout au plus avec un ordinateur récent. Des logiciels spécialisés existent et sont capables de trouver les mots de passe les plus simples en quelques secondes (la puissance des processeurs actuels n’y est pas tout à fait étrangère). Ils combinent bien souvent des attaques par dictionnaire et des attaques par force brute.

Encore une fois, plus votre mot de passe sera complexe, plus le nombre de combinaisons sera important et plus il faudra de la puissance pour trouver le mot de passe.

Comment gérer ses multiples identités ?

Le maître mot de la bonne gestion des mots de passe est l’unicité : chacun de vos comptes doit posséder son propre mot de passe. En cas de compromission, seul un compte sera ainsi affecté et les conséquences pour vous seront plus acceptables : pas de changement en masse de l’ensemble de vos mots de passe, pas de crainte que votre compte Amazon (avec votre CB enregistrée) soit également compromis !

Seulement voilà, si vous voulez un mot de passe unique pour chaque identité ou compte que vous possédez sur Internet, vous ne pourrez pas tous les mémoriser, il vous faudra une solution à laquelle vous devrez accorder votre confiance qui puisse mémoriser les mots de passe à votre place.

Pour une utilisation quotidienne, 2 logiciels semblent parfaitement adaptés au bureau ou à titre personnel :

Ces 2 solutions sont finalement relativement similaires puisqu’elles permettent toutes les deux de stocker vos identités et vos mots de passe de manière chiffrée.

Dans un cas comme dans l’autre, le principe repose sur l’utilisation d’un mot de passe maître qui permettra de chiffrer un fichier contenant l’ensemble de vos mots de passe (attention à bien respecter les critères de complexité pour celui-ci).

Avec LastPass, vous aurez une solution clés en main avec des applications pour smartphone ou tablette et un stockage en ligne (chiffré en AES-256). LastPass est gratuit pour une utilisation sur PC ou MAc mais il vous faudra débourser environ 12$ par an pour une utilisation sur périphérique mobile. L’utilisation est conviviale et pratique pour les néophytes (pas de paramétrage complexe).

Avec KeepPass, vous aurez un outil de chiffrement OpenSource qu’il vous faudra adapter à vos besoins pour synchroniser votre fichier chiffré entre vos différents périphériques (ordinateur, Smartphone, tablette). Des extensions pour les principaux navigateurs du marché existent et permettent de ne plus avoir à vous souvenir de vos mots de passe (tout comme LastPass). La solution est gratuite (car OpenSource) mais pas clés en main et son paramétrage initial nécessite quelques compétences techniques.

Les 2 solutions présentent chacune des avantages et des inconvénients. On pourra noter que LastPass a fait l’objet d’une intrusion en juin 2015 mais les mots de passe n’ont à priori pas été compromis (il sont chiffrés par votre ordinateur, et vous seul possédez la clé de chiffrement/déchiffrement). C’est toutefois une vitrine tentante pour les pirates.

A contrario, KeePass sera probablement moins tentant car son utilisation est moins visible : chaque utilisateur pourra synchroniser son fichier entre ses différents périphériques sans passer par un cloud public ce qui représente à mon sens la meilleure solution car la plus flexible.

D’autres gestionnaires de mots de passe existent, il est même possible d’enregistrer vos mots de passe dans les principaux navigateurs. Il faudra simplement accorder votre confiance à cet outil stocker les clés de vos identités numériques.

Quelques questions clés permettent de se faire une idée rapidement :

  • Les données sont-elles chiffrées ? Si oui, quel est l’algorithme utilisé ? Si non, passez votre chemin,
  • Où sont chiffrées les données ? Localement sur votre ordinateur ou à distance ? Dans ce dernier cas, passez votre chemin, cela signifie qu’elle pourraient être déchiffrées suite à une intrusion et à un vol de clé
  • Où sont physiquement hébergées vos données ?
  • L’entreprise qui héberge vos données a-t-elle des engagements de transparence avec des états (Patriot Act aux Etats-Unis ou plus simplement loi sur le renseignement en France) ?
  • Que se passe-t-il en cas de perte ou de vol de votre ordinateur/smartphone/tablette ? Vos mots de passe sont-ils inaccessibles, vous demande-t-on le mot de passe maître systématiquement ?

Double authentification

La double authentification permet de renforcer le processus d’authentification par un mot de passe temporaire (ou OTP pour One Time Password). Certaines entreprises utilisent des périphériques de type SecurID que vous avez probablement déjà aperçus :

SecurID

Vous pouvez aujourd’hui reproduire ce mécanisme sous Androïd ou IOS avec des applications comme Google Authenticator par exemple. Les principaux acteurs du Net proposent aujourd’hui des solutions de double authentification : Google, Yahoo, Microsoft, dropbox, Apple ou autres Amazon (outre-atlantique et même en France en utilisant une astuce).

De même des équipements permettent également de mettre en place ces mécanismes (Synology le propose sur ses NAS depuis 2 ans).

L’objectif : que la compromission d’un mot de passe n’entraîne pas la compromission des données qu’il protège.

Ainsi, lors d’une connexion à un service protégé avec une double authentification, on vous demandera ce mot de passe temporaire (en plus de votre mot de passe habituel). Le simple fait de connaître votre mot de passe n’est donc pas suffisant pour vous connecter. La plupart des services permettent de définir un appareil comme fiable, vous n’aurez donc pas besoin d’entrer systématiquement votre OTP (heureusement !).

Lors de l’activation de la double authentification, n’oubliez pas de générer des codes de secours ou de définir un autre moyen de vous envoyer un code (par SMS le plus souvent) car en cas de perte de votre téléphone, cela pourrait devenir problématique.

Sur vos périphériques mobiles

Le sujet est évidemment à aborder sous un angle différent pour les tablettes ou smartphones puisque vous aurez besoin de vous connecter régulièrement sur un clavier probablement restreint et que vous n’aurez pas envie de passer trop longtemps à saisir vos mots de passe.

Pour autant, les informations stockées sur vos périphériques mobiles sont souvent importantes : identités, mails pro et/ou personnels (permettant la réinitialisation de mots de passe), probablement connexion à des sites contenant des informations personnelles, …

Il est donc important de protéger votre périphérique essentiellement face à la perte ou au vol.

Plusieurs options sont disponibles mais l’apparition depuis plusieurs mois de capteurs d’empreintes digitales permet de mettre en place une sécurisation efficace. Quoiqu’en disent certains sites spécialisés, il reste probablement plus difficile de reproduire une empreinte digitale que de capturer un mot de passe souvent simple ou un motif qui laisse des traces sur un écran non nettoyé …

L’empreinte digitale permet donc d’assurer une certaine sécurité tout en permettant une saisie simple et ergonomique, c’est la solution recommandée pour vos périphériques mobiles. La démocratisation de cette technologie ayant un effet bénéfique sur les prix, ces capteurs se retrouvent dans de nombreux produits du marché, cela pourrait donc être un critère de choix pour votre prochain mobile.

En quelques mots

Vous utilisez aujourd’hui plusieurs dizaines de mots de passe ou d’identités tous les jours. Ils protègent des informations de votre vie privée ou d’entreprise. Vous devez donc les sécuriser contre les tentatives de piratage.

Pour cela, il faut :

  1. qu’ils respectent des critères de complexité,
  2. qu’ils soient uniques,
  3. qu’ils soient changés régulièrement (et très différents des précédents).

Actuellement, la seule solution fiable pour cela est d’utiliser un gestionnaire de mots de passe. Vous pouvez également utiliser un algorithme cryptographique sur Papyrus mais l’utilisation sera plus complexe.

Pensez aussi à sécuriser vos périphériques mobiles qui contiennent souvent des informations sensibles ou tout au moins que vous ne souhaiteriez pas voir tomber entre des mauvaises mains.

Et dans l’entreprise ?

Ce sujet fera l’objet d’un autre article. Revenez voir régulièrement sur notre site.

3 commentaires sur “Comment sécuriser son mot de passe”

  1. Salut. Article tres complet. Et tres instructif. J’utilise personnellement un autre service nomme Dashlane conservant les données chiffrés. J’en suis très satisfait.

    1. Effectivement c’est un concurrent direct de Lastpass. Pour un comparatif entre les différents logiciels et leurs fonctionnalités, c’est par ici (en Anglais) : http://www.technorms.com/34943/battle-password-managers-keepass-vs-dashlane-vs-lastpass
      Cette comparaison étant un peu ancienne, de nouvelles fonctionnalités ont été ajoutées à Dashlane et notamment une sauvegarde chiffrée dans le cloud (avec la version premium) ce qui en fait une réelle alternative à LastPass. En revanche le prix est plus élevé (39.99 € par an tout de même pour la version premium).
      La version gratuite, tout comme LastPass, est limitée à 1 appareil (ordinateur, mobile ou tablette).

Les commentaires sont fermés.