Sécurité informatique : les commandements du bon mot de passe

Le mot de passe est un des éléments les plus cruciaux et les plus utilisés dans le champ de la sécurité informatique. C’est aussi, souvent, le seul rempart entre vos données personnelles, votre identité et le monde extérieur. Il est donc absolument fondamental de savoir comment créer un bon mot de passe.

Au-delà de l’anonymat, qu’il protège parce qu’il empêche de croiser des comptes, des données, des identités en morcelant, avoir un bon mot de passe protège contre bien des mauvaises surprises.

Le mot de passe est, à peu de chose près, la seule protection accessible au grand public en matière de sécurité informatique. Le problème, c’est que le niveau de sécurité qu’il procure est assez faible. Les innovations techniques sont innombrables et leur vulnérabilité sans cesse rappelée. Aujourd’hui, les articles dans la presse se multiplient et prouvent que les mots de passe n’ont jamais été aussi faibles. Plusieurs raisons à cela, et notamment les nombreuses fuites de mots de passe permettent aux pirates de connaître très précisément la manière dont les utilisateurs les créent et les utilisent. Ces gigantesques listes sont incorporées aux logiciels utilisés par les pirates pour davantage d’efficacité.

Les progrès technologiques jouent aussi une part importante : un nouveau processeur capable de briser des mots de passe Windows standard en moins de six heures a été récemment mis sur le marché.

Pour s’assurer un mot de passe résistant, il faut lui appliquer quelques règles. Les spécialistes n’hésitent pas à qualifier ces règles de véritable « hygiène ». Voici quelques principes :

• Il faut privilégier la longueur à la complexité. Vous entendrez souvent qu’il faut que votre mot de passe comporte des chiffres, des caractères spéciaux et autres signes cabalistiques. C’est vrai. Mais cela peut se faire au détriment de la facilité de mémorisation. De plus, un mot de passe avec un faible nombre de caractères, même rempli de signes obscurs, est très facile à casser pour une machine. Il faut donc trouver un juste milieu. De fait, motdepasse1400contenantunerepliquedefilm1990 est plus sûr que [y9Çu%*||3}, par exemple. Les mots de passe les plus sûrs sont des phrases de passe (voir le chapitre 6). On peut ainsi utiliser des phrases de chansons, de livres, des citations, des langues différentes (si ces derniers ne sont pas connus).

• Un bon moyen de complexifier ses mots de passe tout en les rendant facilement mémorisables consiste à établir une routine de mot de passe. Par exemple, tous les mots de passe peuvent répondre au schéma : nom d’animal + quatre chiffres toujours les mêmes + mot lié au site sur lequel vous vous inscrivez. Sur un forum de discussion sur Star Wars, ce pourrait être serval1977etoilenoire. Vous avez à la fois un mot de passe relativement solide et facilement mémorisable.

• Ne pas le noter, sur quelque support que ce soit. Évitez le grand classique du post-it derrière le clavier ou la photo du bureau.

• Il ne faut évidemment le communiquer à personne. Et surtout pas sur Internet.

• Il ne doit pas comporter de mentions personnelles. Oubliez le nom de votre mari, de votre chien, ou votre chanson préférée. La plupart des pirates ont recours à l’ingénierie sociale (fracturer les systèmes d’information sans utiliser une seule ligne de code), et ce genre d’information n’est jamais difficile à trouver (vous avez bien dû écrire le nom de votre chien sur un réseau social). Il est même préférable de ne pas utiliser de véritable mot existant dans le dictionnaire.

• Choisissez un mot de passe unique. Autrement dit : il vous faut un mot de passe différent pour chaque service utilisé ! C’est difficile, mais souvent le point le plus vulnérable. Si un intrus arrive par exemple à trouver votre mot de passe sur une plate-forme grâce à une faille de sécurité et que vous utilisez ce dernier partout, c’est très dangereux. Et si certains sites sont convenablement protégés contre des fuites de mots de passe d'utilisateurs (banques, grands réseaux sociaux) d’autres le sont moins (start-ups par exemple). On estime que le principal danger d’une fuite de mots de passe n’est pas l’accès à la plate-forme piratée elle-même, mais à toutes les autres sur lesquelles les utilisateurs utilisent le même nom d’utilisateur et le même mot de passe !

• Certains mots de passe sont plus précieux que d’autres : celui qui vous donne accès à votre compte sur un obscur forum de discussion est moins sensible que celui qui ouvre votre boîte e-mail (dans laquelle arrivent tous les messages lorsque vous demandez une réinitialisation des mots de passe utilisés sur les autres services).

• Il faut en changer régulièrement (tous les 90 jours est un bon rythme pour les mots de passe les plus sensibles, un an pour les plus inoffensifs).

• Débat : n’utiliser qu’un seul mot de passe pour tous ses services ? Pour la plupart des utilisateurs, un seul mot de passe les protège en dernier recours du pire : celui de leur boîte e-mail, puisqu’il faut avoir accès à la boîte e-mail pour réinitialiser un mot de passe d’un compte ouvert sur un service ou un site. Si un attaquant dispose du mot de passe de la boîte e-mail, il peut ensuite réinitialiser un par un les mots de passe de tous les comptes du véritable propriétaire. Partant de ce principe, on peut imaginer n’utiliser qu’un seul et unique mot de passe, celui de sa boîte e-mail. À chaque fois que l’on veut se connecter sur un service ou un site, on demande la réinitialisation du mot de passe, qui est envoyé, renouvelé à chaque fois, dans sa boîte e-mail. Même si cela a le mérite de limiter le nombre de mots de passe à retenir, encore faut-il que le service qui réinitialise le mot de passe crée un nouveau mot de passe suffisamment sécurisé (une alternative consiste à générer un mot de passe très complexe dont on ne fait même pas l’effort de se souvenir). De plus, cela rend la connexion à un site ou un service beaucoup plus longue.

Extrait de "Anonymat sur l'internet - Comprendre pour protéger sa vie privée", Martin Untersinger et Benjamin Bayart, (Eyrolles éditions), 2013. Pour acheter ce livre, cliquez ici.