Le bon choix des mots de passe

/ 28 juin 2013

Je vous propose aujourd’hui quelques conseils et remarques sur le casse-tête qu’est souvent le choix des mots de passe : comment choisir un bon mot de passe, quel mot de passe mettre à quel endroit, comment avoir un mot de passe différent par site sans avoir à cliquer sur le lien « j’ai oublié mon mot de passe » tous les 15 jours, bref, comment faire en sorte que personne ne vienne voir chez vous … sauf vous !

Pas de mot de passe évident !

Parlons tout d’abord d’une évidence, mais qui est pourtant très souvent foulée du pied : ne JAMAIS JAMAIS mettre le nom de quelqu’un qui vous est cher : votre copine, votre fils, une séquence de chiffres facile à retenir, un proche récemment décédé, votre héros préféré de série du moment, un buzz, etc. Il y a 50 manière de prouver son admiration ou son affection pour quelqu’un, mais pas celle la. JAMAIS. On va donc éviter dans le désordre : GangnamStyle, RedWedding, 123456, etc.

Les cordonniers numériques pas forcément les mieux chaussés

Dans mon jeune temps d’étudiant ou j’étais encore à l’EPITA, nous avions un exposé à faire, sujet libre. Avec mon binôme, nous avions choisi « Le Hacking ». En l’espace de quelques jours, nous avions récupéré la liste des mots de passe de nos camarades de classe comme « Travaux Pratiques ». Bien que la méthode ait été tout ce qu’il y a de plus basique et ne recourait à aucune sorcellerie vaudoo (il s’agissait d’imiter la fenetre de connexion de leurs ordinateurs pour récupérer le mot de passe), le résultat était tout à fait édifiant : La moitié d’entre eux avaient choisi comme mot de passe leur copine, leur chien, le département d’ou ils venaient, etc. et on parle bien la d’étudiants dans une école d’informatique réputée pour ses étudiants proches de la « sécurité informatique » …

Laissez votre orgueil dans votre poche, vous pouvez être le meilleur informaticien du monde, si vous pensez être à l’abri parce que vous avez une connaissance complète du sujet et que par conséquent, ca ne vous arrivera pas, c’est que quelqu’un est probablement déjà sur un de vos comptes. Si vous avez été piraté d’une manière ou d’une autre, ou si vous avez eu vent d’un piratage sur un site que vous utilisez, prenez quelques minutes pour changer votre mot de passe partout où celui-ci est utilisé, et jetez le à la poubelle, définitivement.

Les raisons d’être victime d’un piratage de mot de passe

Les méthodes des pirates d’aujourd’hui – qui ne datent en fait pas d’hier – sont principalement divisées en deux catégories :

  • La « force brute » :
    (alias C’est de votre faute !)Des programmes spécialisés (qu’on appelle des robots) parcourent le net en essayant un grand nombre de combinaisons de noms d’utilisateurs et de mot de passes, tirés de « dictionnaires » qui vont contenir ceux les plus utilisés. Des système de captcha (vous savez, ces petits bouts de graphiques qui vous demandent de taper des lettres distordues pour vérifier que vous êtes humain et pas un robot) fleurissent depuis plusieurs années pour contrer ce type de fraude, mais ça n’est pas encore généralisé, et ça ne vous protège pas à 100%.
  • L’intrusion sur un site d’une manière ou d’une autre :
    (alias C’est de la faute du site où vous êtes inscrit!)Injection SQL, exploitation d’une faille de sécurité d’une application ayant une porte d’ouverture sur le système, « Man in the midddle », etc. D’une manière ou d’une autre, votre mot de passe est en transit entre chez vous et le site auquel vous accédez, ou bien stocké de manière peu orthodoxe sur le site du client, et quelqu’un de mal intentionné est en train de le récupérer. Certains sites ont bien évidemment votre mot de passe encrypté, mais pas tous. Ayant travaillé dans bon nombre de sociétés d’informatique, j’ai pu voir des choses aberrantes niveau sécurité : ce n’est pas parce qu’une société est réputée bonne dans son domaine que la qualité de la sauvegarde de vos informations personnelles suit… Il y a une foultitude de raisons pour que le mot de passe n’ait pas été brouillé sur site : flemme du développeur, pas l’habitude de faire comme ça, pressurisation de la part de la société qui préfère que le développeur passe son temps à de la production immédiatement rentable, etc. Ne faites jamais confiance à un site quelconque pour sécuriser vos mots de passe, quelque soit ce site.D’une manière générale, posez vous la question suivante, lorsque vous avez perdu votre mot de passe et que vous cliquez sur le lien qui va bien pour le récupérer :

    Est ce que le site me propose de me renvoyer mon mot de passe par email, ou est-ce qu’il me propose de le réinitialiser en vérifiant mon identité d’une manière ou d’une autre ?

    Dans le premier cas, s’il vous propose de renvoyer votre mot de passe, c’est bien qu’il le connait et qu’il l’a stocké quelque part en clair ou presque. Et s’il est capable de le récupérer, alors une personne mal intentionnée en sera tout autant capable – je grossis le trait, mais globalement, ça revient à ça. Dans le second cas, si le site ne vous propose pas de vous le renvoyer mais de le réinitialiser, on peut parier qu’il en est incapable; donc que la méthode est bien plus consciencieuse, que que votre mot de passe n’a pas été stocké sous une forme lisible ou réversible …CQFD

Les Keyloggers

On va évoquer un troisième type de récupération de mots de passe, indépendants de votre choix de mot de passe et des sites où vous avez des comptes : les keyloggers. En francais « capture des touches ». Ce sont des programmes apparentés à des virus – chevaux de Troie ou équivalent – qui vont profiter d’une faille de sécurité dans votre email, dans votre navigateur, etc pour s’installer tranquillement sur votre ordinateur. Leur principe : ils vont regarder tout ce que vous tapez au clavier et l’envoyer sur Internet, chez le méchant pirate qui va éplucher les données reçues et tenter de repérer où vous auriez pu saisir un nom d’utilisateur et un mot de passe.

Ce sont en même temps les plus mesquins – la difficulté d’un robot à trouver votre mot de passe ne vous sauvera pas, ni les armées d’ingénieurs systèmes et réseau consciencieux chargés de la sécurité des sites web où vous traînez – et en même temps les plus faciles à s’en prémunir : ayez toujours un antivirus installé et à jour – il en existe de très bons gratuits – et faites bien les mises à jour de sécurité de votre système d’exploitation et de vos applications.

Le choix du mot de passe

Donc, comment choisir son mot de passe de manière à :

  • Ce qu’il ne soit pas trouvable facilement
  • Faire en sorte que même s’il devait être trouvé, les autres sites sur lesquels vous avez des comptes ne soient pas impactés

Tout d’abord, évitons que votre mot de passe soit trouvé par un robot :
Un mot de passe introuvable par un robot, c’est un mot de passe qui n’apparaîtra pas dans un dictionnaire de mots de passe : complètement aléatoire, formé de lettres minuscules et majuscules, de chiffres, de signes de ponctuation, etc. Il y a des tas de sites qui vont vous proposer des générateurs aléatoires de mots de passe : Par ici !
Avec ça, vous serez déjà prémuni d’avoir un mot de passe facile à trouver. Faites le, ca ne vous prend pas longtemps à créer, et ça ne vous prendra au pire que quelques jours à mémoriser. Évitez de le noter où que ce soit, en particulier en milieu professionnel : *éventuellement* dans un fichier planqué au fin-fond de votre ordinateur tant que vous ne l’avez pas mémorisé, et effacez le dès que c’est fait.

Une alternative possible, si vous n’avez vraiment pas de mémoire : Certains sites vous proposent de rentrer des mots de passe jusqu’à 20 ou 32 caractères. Profitez en pour rentrer une petite phrase facile à retenir accompagnée d’un signe de ponctuation, d’un chiffre, etc. Par exemple : « 9.Tourte_Salée_Sucrée ». Le principe des robots utilisant la « force brute » est qu’ils vont utiliser un dictionnaire ou essayer des combinaisons de lettres en commençant par des mots de passe de petite taille. Ce genre de mot de passe ne sera à peu près jamais détecté car beaucoup trop long, et sera beaucoup plus sécurisant.

Concernant les mots de passe qui seraient récupérés à l’insu de votre plein gré sur des sites grand public ou autres (par exemple les données utilisateur du Playstation Network qui avait été pompées jusqu’à la moelle (cf l’entrée de Wikipedia correspondante ici), vous pouvez également faire quelque chose : avoir un mot de passe différent sur chaque site.

La technique du mot de passe différent par site

Vous voulez avoir un mot de passe différent par site, mais vous voulez une astuce pour vous  souvenir de chaque mot de passe…

Pas si compliqué, il suffit que vous ayez une racine commune, mettons r5oAcD.2 . (Bien sur reprenez en une différente, ne récupérez pas la mienne :) )
Et vous décidez que le 2ème caractère et le 6ème caractère seront changés systématiquement en fonction du site, toujours de la même manière :
En minuscule pour le 2ème caractère, en majuscule pour le second. Par exemple,
- Playstation : pS => rpoAcS.2
- Microsoft : mS => rmOAcS.2
- EBay : eB => reOAcB.2
etc.

De cette manière, même si votre mot de passe devait être récupéré d’une manière ou d’une autre, il ne serait pas compromis ailleurs.

Trop compliqué d’avoir un mot de passe différent pour chaque site ?

Si vous ne voulez pas avoir à retenir ce genre de recette, le minimum est d’avoir différent mots de passes en fonction de l’importance du site sur lequel vous êtes :
- Un mot de passe *unique* pour votre banque (intégrité financière)
- Un mot de passe *unique* pour vos accès aux services de l’état (intégrité administrative)
- Un mot de passe *unique* également pour votre boite mail – histoire qu’on ne vous récupère pas vos autres mots de passe par ce biais.
- Un mot de passe, éventuellement commun, pour les différents réseaux sociaux. A ne pas négliger, sa propre identité numérique et le fait qu’on ne puisse pas poster des choses en votre nom est quelque chose de plus en plus important, en particulier si des recruteurs, des clients, des fournisseurs, etc. veulent avoir des informations sur vous et votre personnalité.
- Un mot de passe pour les forums, sites divers, etc, bref, tout ce qui a une importance moindre, susceptible d’être piraté plus facilement.

Cela vous fait 5 mots de passe à retenir. 5 mots de passes qui retenus en quelques jours vous permettront d’avoir une tranquillité d’esprit relative par rapport aux gros moches qui traînent à tous les coins de routeurs de la planète.

Quelques liens sur les mots de passe les plus utilisés, en francais et en anglais.

(fr) Les 25 mots de passe les plus souvents utilisés
(en) La liste des 10 000 pires mots de passe

Articles en rapport

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Image CAPTCHA

*

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>