Rate this post

Avec les différentes affaires concernant Orange ou la faille de sécurité Heartbleed, c’est clairement d’actualité : la sécurité de nos données sur internet est un enjeu majeur, compte tenu de nombreuses failles de sécurité permettant à des personnes malveillantes de récupérer des informations sensibles. S’il est difficile de se prémunir contre ce type d’attaque, il y a en revanche un domaine où les utilisateurs de services en ligne peuvent nettement s’améliorer : le choix de nos mots de passe.

Le « palmarès » des mots de passe les plus utilisés en 2013 – publiée par SplashData, une société proposant une solution de gestion des mots de passe (on y reviendra tout à l’heure) – est riche d’enseignements sur la sécurité de nos comptes personnels, que l’on pourrait aisément qualifier de relative :

 
ClassementMot de passe
N°1123456
N°2password (« mot de passe » en anglais)
N°312345678
N°4qwerty (azerty sur le clavier américain)
N°5abc123
N°6123456789
N°7111111
N°81234567
N°9iloveyou (« je t’aime » en anglais)
N°10adobe123
 

Je me suis arrêté aux 10 premiers, je pense que vous avez compris l’idée. Pas besoin d’être un hacker surdoué pour trouver le mot de passe d’une grande majorité des utilisateurs de la toile, que ce soit sur Facebook, votre boite mail ou votre accès bancaire… D’autant plus que beaucoup de personnes n’ont qu’un seul et unique mot de passe pour tous les services en ligne qu’ils utilisent !

Je rencontre encore régulièrement des personnes qui utilisent des mots de passe qu’ils pensent être sécurisés mais qui peuvent facilement être trouvés par une personne ayant peu de connaissances en informatique : même si vous n’utilisez pas une date de naissance ou un mot qu’un proche pourrait deviner, utiliser une suite de chiffres telle que 9843897413 ne sécurisera votre compte que contre un utilisateur humain (si celui-ci n’a pas une mémoire photographique). Un hacker amateur n’aura besoin que de quelques secondes pour trouver votre mot de passe, en récupérant un script trouvé sur le net, qui testera des milliers de combinaisons jusqu’à trouver la bonne.

Vous pensez que votre mot de passe est sécurisé ? Alors faites le test : How Secure Is My Password est un service en ligne permettant d’estimer le temps qu’il faudrait à un pirate pour trouver votre mot de passe. Essayez avec la suite de chiffres (impossible à retenir) que j’ai donné plus haut si vous préférez ne pas utiliser le votre. Ca fait peur, non ? Alors voyons voir comment faire en sorte que ce foutu pirate informatique fasse une dépression en cherchant sans succès à trouver votre mot de passe !

 

Règle n°1 : Ne JAMAIS utiliser de mot unique

J’ai bien dit JAMAIS ! L’une des méthodes de piratage de mot de passe les plus connues et justement baptisée « Attaque par dictionnaire » consiste à faire en sorte de tester toutes les combinaisons possible de mots existants dans le dictionnaire. Cela peut être un nom, une couleur, un objet… et évidemment, dans n’importe quelle langue.

 

Règle n°2 : Variez les plaisirs, utilisez les minuscules, majuscules, symboles et les chiffres

Pour un humain, utiliser une majuscule ou une minuscule est certes un détail, mais c’est un détail qui a son importance pour un ordinateur. En effet, il faut garder à l’esprit que le seul langage qu’un ordinateur comprend, c’est le binaire (vous avez sûrement déjà vu ces suites de 001101011110…) et chaque caractère correspond à un « code » différent, donc « T » est différent de « t » pour un ordinateur. Les symboles quant à eux sont des caractères spéciaux qui demandent d’utiliser un encodage spécifique, qui change selon les pays et les dialectes, utiliser des « éè£àù&€ » rendra la tâche du hacker beaucoup plus ardue.

 

Règle n°3 : Plus c’est long, plus c’est bon

Même si ça semble évident, la longueur du mot de passe compte énormément, la plupart des spécialistes recommandent d’utiliser un mot de passe contenant au moins 8 caractères.

 

Règle n°4 : Utilisez plusieurs mots de passe

Dans le cas de figure où l’un de vos mots de passe serait compromis, parce qu’une personne aura mis la main dessus en cherchant à vous pirater ou parce que le site où vous avez acheté un paire de baskets est un open-bar pour les hackers, vous risqueriez moins de vous retrouver avec un compte bancaire en négatif dans l’heure qui suit.

 

Sachant tout cela, une chose reste encore à régler : « Je veux bien créer plusieurs mots de passe bien compliqués pour que personne ne puisse me pirater, mais… j’aimerais bien trouver une méthode pour me permettre de m’en souvenir moi-même ! »

Plusieurs méthodes existent pour palier à ce « problème » :

 

Méthode n°1 : La phrase mnémotechnique

Un grand classique que l’on utilise depuis l’école. Grâce à Ornicar et tous ses copains, on est à même de créer un mot de passe qui nous ressemble, qui sera impossible à deviner et qui sera très difficile à pirater. Trois variantes existent pour cette méthode :

– La première consiste à garder la phrase dans son intégralité en tâchant de placer des majuscules, minuscules, symboles et chiffres.

Exemple : J’ai1mal2chienàretenirlecode!

– La seconde variante convient davantage à des phrases plus longues et consiste à les restituer phonétiquement (en langage SMS), toujours en utilisant majuscules, minuscules, symboles et chiffres.

Exemple : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%€7am

– Enfin, la dernière variante consiste à utiliser la première lettre de chaque mot d’une phrase en utilisant au maximum les caractères spéciaux et majuscules/minuscules.

Exemple : La citation « Un tiens vaut mieux que deux tu l’auras » deviendrait 1TvmQ2tl’@

 

Méthode n°2 : Le gestionnaire de mots de passe

Un gestionnaire de mot de passe est un logiciel à installer sur votre ordinateur qui vous permet d’enregistrer une seule et unique fois les mots de passe que vous utilisez sur internet. Cette méthode présente un avantage majeur, vous n’avez pas besoin de vous souvenir de vos mots de passe, vous pouvez donc en créer de manière totalement aléatoire, tant que les 4 règles énoncées ci-dessus sont respectées. De nombreux services vous proposent de gérer vos mots de passe et une simple recherche sur Google vous permettra facilement de trouver votre bonheur, selon le système d’exploitation que vous utilisez.

Un point important selon moi cependant si vous utilisez cette méthode, c’est la possibilité de sauvegarder votre « base de données » de mots de passe à un autre endroit que sur votre ordinateur, comme sur une clé USB par exemple (surtout pas en ligne). Pourquoi ? Pour la bonne et simple raison que si votre ordinateur vous lâche, vous n’aurez pas l’impression d’avoir perdu toute votre vie d’internaute dans le panache de fumée dégagé par votre disque dur à l’agonie.

 

Je pense qu’avec ces quelques explications et les deux méthodes énoncées, vous aurez déjà de quoi vous faire votre propre idée sur la sécurité que vous procure votre/vos mot(s) de passe actuel(s). Il existe probablement d’autres méthodes qui n’ont pas été évoquées ici et je serais ravi de compléter ce petit « guide » si vous voyez des choses à y ajouter.