Nous allons parler ici de la notion de mot de passe fort. En effet je vois encore trop de gens négliger leurs mots de passe. Ainsi les mots de passe sont perçus comme des contraintes inutiles ou exagérées. Si bien que la plupart des mots de passe sont très faibles et presque inutiles. Y compris en entreprise et malgré les campagnes de prévention sur le sujet. Alors qu’en réalité si vous avez un ordinateur, il est très probable que vous ayez des données intéressantes pour un escroc.
Je vais faire un petit tour d’horizon sur le sujet des mots de passe. En expliquant pourquoi ils sont importants et comment mettre en place une stratégie de mots de passe forts facilement.
Je parle ici des mots de passe dans la vie quotidienne. Il existe des systèmes beaucoup plus sécurisés pour protéger des données extrêmement sensibles.
Pourquoi utiliser un mot de passe
Le mot de passe est une sorte de clé qui permet d’accéder à une ressource. Et celui qui détient cette clé est supposé être autorisé à accéder à cette ressource. Cette ressource peut-être une caverne, un repère secret, un ordinateur, un compte Amazon etc.
La première limitation du mot de passe en tant que sécurité saute aux yeux : un mot de passe DOIT rester secret ! Sinon il est inefficace.
Un mot de passe ne doit donc être transmis à personne et être écrit nulle part où il serait facilement visible (post-it, SMS, email, etc.). De même, idéalement personne ne devrait jamais vous demander un mot de passe pour réaliser son travail (votre banque, service informatique etc.).
Pourquoi protéger ses données
Vous l’aurez compris je ne vais pas parler ici de la protection de l’accès à la caverne d’Ali-Baba mais de l’accès à vos données informatiques. En effet si vous avez si ce n’est qu’un ordinateur vous avez certainement des données à protéger. Aussi ces données doivent être protégées pour préserver votre vie privée et pour éviter les escroqueries et actes malveillants en tout genre.
Protéger sa vie privée
En ce qui concerne la vie privée, voici un aperçu des données que vous souhaiteriez légitiment ne pas divulguer à n’importe qui :
- Vos photos / vidéos
- Les sites Internet que vous visitez
- Les produits que vous achetez
- Les messages que vous échangez avec vos proches
- Vos projets (placements, professionnels, etc.)
- Vos documents (de santé, financiers etc.)
- Etc.
Ce ne sont que des exemples, c’est à vous de voir les données que vous tenez à garder privées.
Se protéger contre les escroqueries
En ce qui concerne les données intéressantes pour les escrocs figurent tout ce qui peut leur permettre :
- d’usurper votre identité
- de se faire passer pour quelqu’un de confiance à vos yeux, votre banque, votre fournisseur d’électricité etc.
- Vos données personnelles : pour usurper votre identité, gagner votre confiance, vous manipuler etc.
- Vos fournisseurs (banque, opérateur de téléphonie, fournisseur d’énergie etc.)
- Les boutiques en ligne sur lesquelles vous achetez
- Les informations de connexions à vos espaces client
- Etc.
Notez que la plupart de ces informations se trouvent probablement dans votre messagerie. Celle-ci est-elle protégée par mot de passe ?
Les données de l'entreprise
Si les points précédents évoquaient les éléments personnels relatifs à l’individu, il ne faut pas oublier que le même genre d’enjeux ont cours dans l’entreprise. En effet selon votre poste dans l’entreprise votre ordinateur permet d’accéder à des informations qui ne doivent pas être divulguées :
- Données personnelles des salariés
- Liste des clients
- Offres commerciales
- Contrats
- Etc.
Pourquoi ne pas utiliser un mot de passe unique
Il est extrêmement courant d’utiliser le même mot de passe pour tous ses comptes. Or cette approche est absolument déconseillée quelque soit votre mot de passe. En effet il suffit ainsi d’obtenir une fois votre mot de passe pour potentiellement accéder à tous vos comptes. Ainsi à chaque fois que votre mot de passe est donné ou volé, vous devrez changer les mots de passe de tous vos comptes. Car oui il arrive en effet que vous deviez confier votre mot de passe volontairement, à un prestataire par exemple. Il est d’ailleurs conseillé de changer ce mot de passe une fois le travail du prestataire terminé.
Comment un pirate trouve-t-il mon mot de passe
La manière la plus simple d’obtenir votre mot de passe est de vous le demander. En général en se faisant passer pour quelqu’un légitime à vous demander ce mot de passe (service informatique, service client, supérieur hiérarchique etc.). Donc ne donnez jamais votre mot de passe à moins d’être sûr de savoir à qui vous le donner.
Ensuite la manière la plus simple est d’utiliser une négligence (de votre part ou de votre employeur). Par exemple, vous avez écrit votre mot de passe sur un post-it, vous utilisez le même mot de passe partout, tous les membres de l’équipe utilisent le même mot de passe etc.
Enfin la dernière manière est de deviner votre mot de passe. Soit manuellement soit en utilisant des logiciels. Les deux méthodes consistent à tester des mots de passe probables. Probables d’une manière générale ou spécifiquement pour vous (termes souvent utilisés ou/et en rapport avec vous). Nous sommes alors dans le cas d’un mot de passe faible. Commence alors à de dessiner l’idée d’un mot de passe fort.
Qu'est qu'un mot de passe faible ?
Il vous a surement été demandé plusieurs fois, lors de la création d’un compte, de saisir un mot de passe composé de lettres majuscules, lettres minuscules, chiffres et caractères spéciaux d’au moins 6 caractères. Ceci étant supposé généré un mot de passe fort.
En supposant que le surnom de mon fils soit Loulou et que Loulou est né en 2020. Je pourrais choisir comme mot de passe « Loulou2020. ». Est-ce un mot de passe fort pour autant ?
Un autre exemple classique en entreprise. On vous crée un compte avec un mot de passe issu de vos données personnelles « SebDen1975! »… Votre entreprise vous impose de changer votre mot de passe régulièrement. Pour ne pas avoir à en retenir un nouveau, vous ajoutez un suffixe numérique « SebDen1975!02 », « SebDen1975!03 ». Tous vos collègues utilisent et connaissent la même « politique » de mot de passe, y compris ceux qui ne font plus partie des effectifs.
En réalité un mot de passe est faible s’il est facile de le deviner. Et tout l’enjeu d’un mot de passe fort est d’être difficile à deviner.
Qu'est-ce qu'un mot de passe fort ?
Nous pouvons définir un mot de passe fort comme l’inverse d’un mot de passe faible. A savoir un mot de passe difficile à deviner pour être humain ou un logiciel. L’idée est alors d’utiliser une chaîne de caractères tout à fait improbable. Cette improbabilité va être assurée par deux facteurs.
Le premier facteur va être d’ordre « technique » et s’appuyer sur la taille du texte utilisé et les caractères le constituant. C’est pour cette raison qu’il vous est demandé d’utiliser au moins un caractère de chacune des catégories suivantes :
- Lettres majuscules
- Lettres minuscules
- Chiffres
- Caractères spéciaux ex: !, $, %, & etc.
De plus, plus le mot de passe sera long plus il sera difficile à deviner. En effet en supposant que vous ayez au total 68 caractères possibles (26 majuscules, 26 minuscules, 10 chiffres et 6 caractères spéciaux), cela fait 6820 combinaisons, soit des milliards de milliards de combinaisons pour un mot de passe de 20 caractères.
Le deuxième facteur va résider dans le contenu du mot de passe. En effet comme nous avons pu le voir dans le paragraphe précédent, un texte peut contenir tous les caractères listés ci-dessus sans pour autant être réellement un mot de passe fort. Donc l’idée est ici d’utiliser un texte qui n’a aucun sens ou est au moins très improbable. Ex : « J’aime la compote aux 7 tournevis », « J’ai fait 3 fois le tour de Mars en rollers », etc. De plus ce texte ne devrait pas contenir d’information relative à votre personne (prénoms, âge, ville de naissance etc.). Nous allons voir dans le prochain paragraphe quelques méthodes pour générer de tels mots de passe.
Quelques méthodes pour générer un mot de passe fort
La phrase improbable
Nous avons déjà évoqué cette méthode. Il s’agit d’écrire une phrase qui n’a aucun sens et dont on peut difficilement trouver un lien avec vous.
Ainsi si vous avez 3 chiens, la phrase « J’aime mes 3 chiens » est une très mauvaise idée. La phrase « Je mange une soupe de brouettes 3 fois par jour » est meilleure. Il est très improbable que la deuxième phrase soit proposée, même par un logiciel.
La règle de transformation
Cette méthode consiste à partir d’une phrase (improbable de préférence) et lui appliquer une règle de transformation. L’idée est ici de partir d’une phrase claire que vous pouvez retenir et la transformer en quelque chose de complexe.
Par exemple la règle pourrait être :
- Supprimer les voyelles
- Fait commencer les noms par des majuscules et les autres mots par des minuscules
- Supprimer les espaces
- Ajouter des caractères spéciaux « &~#{ » à la fin. Ce sont les caractères spéciaux de mes touches 1, 2, 3 et 4 sur mon ordinateur portable.
Ainsi cette règle appliquée à la phrase « Je mange une soupe de brouettes 3 fois par jour » donnerait « jmngnSpdBrtts3fsprJ&~#{« . Vous obtenez ainsi un beau mot de passe fort de 23 caractères.
Cette technique est très intéressante pour les mots de passe que vous devez absolument retenir : ordinateur et messagerie notamment. Sachant que si vous utilisez ce mot de passe tous les jours vous le connaîtrez vite par cœur.
Le texte aléatoire
La Rolls-Royce des mots de passe est une chaîne d’au moins 20 caractères, générée aléatoirement et contenant les catégories de caractères déjà citées (majuscules, minuscules, chiffres et caractères spéciaux). Puisqu’ici les caractères sont choisis aléatoirement il est impossible de partir de mots connus comme le ferait un logiciel ou un être humain. Pour trouver votre mot de passe il n’y aura pas d’autres choix que de tester toutes les combinaisons de caractères possibles.
Cette méthode est très efficace mais soulève un gros problème : comment retenir de tels mots de passe ? C’est l’objet du paragraphe suivant.
COMMENT gérer mes 250 mots de passe fort
Nous avons vu que le meilleur mot de passe doit être aléatoire et long. La difficulté est alors de retenir ces mots de passe. En effet nous avons tous des dizaines de comptes, il est donc très improbable que nous soyons capables de retenir autant de mots de passe aussi complexes.
Heureusement des outils existent pour cela. Vous les trouverez sous les dénominations de « Gestionnaire de mots de passe », « Coffre-fort de mots de passe » etc. Ces outils permettent de gérer vos mots de passe en :
- les stockant dans un fichier crypté
- les générant selon vos règles
- en les organisant pour les retrouver facilement
- etc.
Evidemment l’accès sera protégé par un mot de passe fort qu’il faudra retenir.
Ces outils proposent de nombreuses fonctionnalités. Certains sont gratuits, payants ou les deux selon les options choisies.
Personnellement j’ai un faible pour Keepass. En effet cet outil est gratuit. Ensuite il propose une version installable sur une clé USB ainsi qu’une version pour smartphone. Et il est assez facile à prendre en main.
Quelque soit l’outil que vous utilisez, il est évidement recommandé de sauvegarder votre fichier de mots de passe. Ainsi vous n’aurez qu’à resaturer celui-ci si vous perdez votre PC, tablette ou smartphone.
Accessoirement l’usage d’un tel outils vous permettra de limiter les oublis d’information de connexion à vos comptes.
Les mots de passe à connaître par cœur
Le gestionnaire de mots de passe est donc un bon moyen de concilier l’usage de mots de passe forts et la praticité. En revanche il y a quelques mots de passe que vous devriez connaître par cœur :
- Votre ordinateur
- Votre messagerie
- Votre gestionnaire de mots de passe
- Votre système de sauvegarde (Drive)
- Etc.
Conclusion
Vous savez maintenant pourquoi et comment utiliser des mots de passe forts.
Si l’utilisation d’un nouvel outils pour gérer vos mots de passe peut paraître embêtant de prime abord, pensez aux bénéfices que vous allez en tirer :
- plus d’oubli de login / mot de passe
- plus de recherche interminable dans votre messagerie, calpins et autres pour retrouver vos informations de connexion
Par contre n’oubliez pas de :
- Mémoriser le mot de passe du gestionnaire de mots de passe
- Sauvegarder le fichier du gestionnaire de mot de passe (surtout pour des raisons pratiques)
- Mémoriser les mots de passe essentiels
Pour aller plus loin sur le sujet de la sécurité informatique vous pouvez consulter les préconisations délivrées par ANSSI (Agence nationale de la sécurité des systèmes d’information).