A l’occasion du World Password Day, faut-il encore rappeler l’importance d’un solide mot de passe? Oui. Mais nous aimerions vous expliquer aussi comment vous y retrouver dans un méli-mélo de combinaisons uniques et comment passer d’une ‘bonne protection’ à une ‘sécurité quasi impénétrable’.
Qu’est-ce qu’un solide mot de passe?
Un solide mot de passe doit être surtout difficile à deviner tant pour vos proches que pour des inconnus. Il doit par conséquent être idéalement long (12 signes, mais de préférence plus encore) et complexe: une combinaison de lettres capitales, de minuscules, de chiffres et de signes bizarres tels $€#@{µ le rendent d’autant plus compliqué.
Ces signes bizarres ont leur importance. Outre les gens qui tentent de deviner votre mot de passe, il y a des pirates qui recourent à des systèmes qui expérimentent massivement le plus de combinaisons possible de mots ou de lettres. Si vous n’utilisez que des lettres, ces systèmes n’auront le choix que de combiner les 26 lettres de l’alphabet. En ajoutant des chiffres, des majuscules et des signes bizarres, vous en augmentez nettement la complexité.
Pourquoi faut-il utiliser un autre mot de passe pour chaque service?
Si vous utilisez le mot de passe ‘Datanews1’ pour LinkedIn, Instagram, Twitter, Gmail et votre compte Microsoft et que, disons, LinkedIn est piraté, il y a de fortes chances pour que le pirate expérimente aussi ce mot de passe sur d’autres services. C’est comparable à la perte d’une clé. Cela ne pose pas trop de problème si elle n’ouvre que votre abri de jardin, mais si elle ouvre aussi votre porte d’entrée, cela peut avoir de fâcheuses conséquences.
Je passe inaperçu. Les pirates ne s’intéressent donc pas à moi.
Chaque personne est importante. En outre, chacun de nous est une cible intéressante. Peut-être pas pour votre compte en banque, votre employeur ou vos clavardages intimes, mais le fait est qu’un compte en ligne représente aussi une identité. Pour les hackers, il est dès lors très intéressant de pirater un compte qui semble parfaitement normal, pour ensuite lui envoyer du spam ou pour escroquer ou pirater d’autres personnes.
Autrement dit, on sait bien qu’un mail provenant d’un prince nigérian est probablement une escroquerie. Mais un message de chat d’un ancien condisciple (piraté) qui invite à cliquer rapidement quelque part, suscite déjà nettement moins de méfiance.
Quelle est l’utilité d’un gestionnaire de mots de passe?
Il n’est pas commode de retenir un mot de passe complexe différent pour chaque service utilisé. Voilà pourquoi un gestionnaire de mots de passe est fortement recommandé. Il s’agit d’une appli, d’un programme sur votre PC ou d’un module dans le navigateur qui conserve tous vos mots de passe et noms d’utilisateur dans un ‘coffre-fort’, afin que vous ne deviez rien retenir par coeur.
Beaucoup de gestionnaires de mots de passe génèrent aussi des mots de passe qui sont aussi longs et complexes que vous le souhaitez. Avec certains, vous pouvez indiquer de générer un mot de passe facile à prononcer, tout en n’en étant pas moins complexe.
Parmi les gestionnaires de mots de passe connus et fiables, citons Lastpass, 1Password, KeePass, Bitwarden, Dashlane et Truekey.
Nous n’allons pas ici donner un avis sur ces gestionnaires, mais sachez qu’il existe aussi d’autres applis qui fonctionnent probablement aussi bien, l’une offrant davantage de possibilités que l’autre. Mais toutes n’ont qu’un seul but: vous assurer une bonne protection. Cela signifie aussi que si ce genre de service venait à être piraté, vos mots de passe seraient aussitôt cryptés, afin qu’ils ne puissent pas être facilement utilisés.
Certains navigateurs, dont Firefox et Chrome, intègrent eux-mêmes un gestionnaire de mots de passe et peuvent retenir pour vous des données de login. Firefox va bientôt aussi fournir activement des notifications au cas où un service que vous utilisez, venait à être piraté. Nous sommes cependant un peu méfiants vis-à-vis de cette approche. Si vos mots de passe sont automatiquement saisis par votre navigateur, quelqu’un qui utilise un tant soit peu votre PC ou smartphone, pourra aussi en faire usage.
Comment se souvenir du mot de passe du gestionnaire de mots de passe?
Avec un gestionnaire de mots de passe, il ne faut plus que retenir un seul mot de passe, celui de ce gestionnaire. Inutile d’insister donc sur le fait qu’il faut choisir un mot de passe particulièrement long et très difficile à deviner.
Cela signifie aussi que vous devrez vous entraîner durant quelques jours. Certaines applis vous permettent de vous connecter avec votre empreinte digitale, ce qui vous permet de gagner du temps. Mais efforcez-vous surtout au début de saisir entièrement le mot de passe tant sur votre téléphone que sur votre PC, histoire que vous le connaissiez sur le bout des doigts.
Qu’est-ce que l’authentification a deux facteurs et en ai-je besoin?
L’authentification à deux facteurs (2FA) ou l’authentification multi-facteur signifie que vous avez besoin non seulement d’un mot de passe, mais aussi d’une confirmation supplémentaire. Cela peut être un code SMS, une notification sur votre téléphone ou un code généré spécialement sur un appareil séparé. Vous évitez ainsi que quelqu’un qui découvre ou devine votre mot de passe, puisse se connecter.
2FA génère évidement du travail en plus, mais il nous faut apporter ici la nuance, selon laquelle on l’utilise surtout, lorsqu’on se connecte pour la première fois quelque part. Si vous achetez un nouveau smartphone ou si vous utilisez un nouveau PC ou navigateur, il vous en coûtera du travail supplémentaire la première fois. Mais cela évitera que quelqu’un du Panama puisse aboutir dans votre boîte mail.
2FA est utile pour chaque compte, mais est conseillée surtout pour vos principales plates-formes (votre boîte mail personnelle, les médias sociaux,…). Vous n’avez pas envie d’être confronté à un embrouillamini de SMS, notifications, mails et autres signaux? Un service tel Authy vous permettra alors de combiner 2FA pour plusieurs services en une seule et même appli.
Mon compte ou mot de passe est-il encore sûr?
Chaque service en ligne peut pâtir d’une fuite de données. Parfois à cause d’une erreur humaine, parfois parce que des pirates ont très bien fait leur travail. Mais il est faux de croire que des services connus ou en vue sont moins vulnérables. LinkedIn, Dropbox, Adobe,… tous ont ces dernières années déjà connu au moins ‘un incident’.
Pour savoir si vos données de compte pourraient circuler en ligne, vous pouvez faire appel à Haveibeenpwned.com, un site qui recherche des données de services piratés. Entrez votre adresse e-mail sur Haveibeenpwned, et vous saurez si vous avez été touché et où. Il est évidemment recommandé de modifier dès que possible ce mot de passe et de ne plus jamais l’utiliser.
A quelle fréquence changer un mot de passe?
Il n’y a malheureusement pas de réponse unique à pareille question. Si vous êtes un diplomate appelé à jouer les médiateurs entre les Etats-Unis et la Chine, un changement hebdomadaire est conseillé. Mais un utilisateur ordinaire doit-il faire pareil? Probablement pas.
Dans certaines entreprises, le mot de passe doit être modifié tous les trois à six mois, mais même cette méthode peut provoquer une certaine fatigue aux mots de passe, ce qui fait que des personnes deviennent maladroites et balancent en continu entre deux mots de passe ou le notent quelque part sur un bout de papier.
Si vous n’avez pas activé 2FA, 1 à 2 ans ne nous semble pas une mauvaise habitude. Mais n’attendez pas en cas de doute. Vous observez des choses bizarres sur votre compte? Le service utilisé a-t-il été piraté? Changez dans ce cas immédiatement votre mot de passe.
De même, si vous partagez un mot de passe avec quelqu’un, changez-le dès que le partage n’est plus nécessaire. Il en va de même si vous vous connectez à un ordinateur inconnu. On ne sait en effet jamais si les frappes de touches ou les remplissages d’écrans ne sont pas enregistrés.
Plus extrême encore: une clé de sécurité matérielle
Voulez-vous être vraiment certain que personne ne puisse accéder à votre compte? La clé numérique physique est alors la solution. Généralement, elle prend la forme d’une clé USB (USB classique, micro-USB ou USB-C) avec connexion NFC ou Bluetooth pour pouvoir se connecter sans notification ou code supplémentaire. Il ne faut évidemment pas égarer cette clé, sous peine de ne plus pouvoir se connecter.
Les deux producteurs les plus connus de clés de sécurité sont Yubico et Google (Titan). Mais The Verge a publié il y a un an un aperçu pratique de quelques clés du genre.
Réflexion: que pourrait-il se passer si?
Une réflexion intéressante consiste à se demander ce qui se pourrait se passer si quelqu’un prenait le contrôle d’un compte. Si cela se manifeste au niveau d’un magasin web, il se pourrait que les données de votre carte de crédit soient accessibles, ce qui fait que quelqu’un pourrait passer commande à vos frais. Connectez-vous aussi avec votre compte de Facebook à d’autres services pour savoir combien d’informations sensibles ils contiennent.
Mais faites également attention si vous indiquez un mot de passe dans une conversation sur Whatsapp ou Slack. Vous ne savez en effet jamais qui peut regarder par-dessus votre épaule. Loin de nous l’idée de provoquer une paranoïa générale, mais dans le cas de la sécurisation des mots de passe, il existe toute une série d’étapes qu’il est préférable de franchir à l’avance pour se sortir de la pire situation possible. Soit pour éviter des problèmes, soit pour pouvoir restaurer tout dans les plus brefs délais si tel est le cas.
Suis-je à présent en sécurité?
Non. Mais vous l’êtes nettement davantage. Il en résulte que les pirates, lorsqu’ils tenteront leur chance sur des milliers de comptes, entreront moins rapidement, voire pas du tout par infraction chez vous. Cela vous évitera de devoir consacrer des heures, voire des jours à accéder de nouveau à votre compte où à démontrer votre identité. Mais aussi que des membres de votre famille, des amis ou des collègues se fassent escroquer.
On pourrait quelque peu comparer cela aux masques, au lavage des mains et à la distanciation sociale. Allez-vous vaincre ainsi par vous-même le dangereux coronavirus? Non. Mais il y a des chances qu’en respectant ces mesures, vous et vos proches seront beaucoup plus difficilement sujets à la contamination, ce qui ne peut qu’être positif pour tout le monde.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici