Comment faire pour avoir un mot de passe ultra-sécurisé (et ne pas l'oublier)

par Cédric INGRAND
Publié le 9 juillet 2018 à 16h49, mis à jour le 9 juillet 2018 à 18h32
Comment faire pour avoir un mot de passe ultra-sécurisé (et ne pas l'oublier)

FRAGILE - Protéger vos comptes importants avec un (trop) simple mot de passe vous fait courir des risques bien réels, à vous et à vos données. Peut-être même avez-vous déjà été piraté sans le savoir ? Pourtant, les solutions existent... en attendant que les géants du numérique ne rendent le mot de passe définitivement caduc.

Vous êtes un citoyen numérique modèle. Vous avez des comptes sur toutes sortes de sites, de services et d'applications, et pour chacun d'entre eux vous avez inventé un mot de passe différent, avec un savant mélange de minuscules, majuscules, signes, chiffres, le tout composé d'au moins neuf caractères. Vous les changez tous régulièrement, et pourtant, jamais vous n'oubliez aucun d'entre eux. Bref, vous êtes un personnage de fiction, un idéal inatteignable, une légende que personne n'observe dans la réalité et sur laquelle repose pourtant la sécurité des données et des réseaux, un paradoxe du mot de passe introuvable mais simple à retenir dont la responsabilité ne repose que sur vous.

Mais au fait, un bon mot de passe, c'est quoi ? Cela vaut d'être répété : si votre mot de passe est un mot du dictionnaire, un prénom, une marque, une suite de chiffres simples ou une combinaison de tout ça, il est à la merci d'un intrus un peu motivé. Un mot de passe fort est toujours complexe, et les plus longs sont les meilleurs. Si vous avez une mémoire d'éléphant, vous pouvez aligner les '#0Oir%60w-' mais ils sont souvent pénibles à taper, pire encore sur un mobile. Vous pouvez aussi opter pour la longueur plutôt que la complexité, en enchaînant des mots, avec ou sans espaces, comme dans 'hopital-tulipe-licorne'. 

Certains s'inventent des systèmes mnémotechniques : prenez une phrase, disons "Les sanglots longs des violons de l'automne", n'en gardez que les premières lettres, ajoutez une ponctuation, un tiret pourquoi pas, puis la première lettre du service ou du site pour lequel vous créez le mot de passe, son nombre de caractères, et sa dernière lettre. Pour LCI.fr, ça donnerait "Lsldvdl-l3i". Un système déclinable à l'infini, et des mots de passe forts, où deux sites n'auraient jamais ou presque le même.

Le mot de passe unique, une porte ouverte aux pirates

Car en fait, la pire chose que vous puissiez faire en matière de mot de passe, c'est de n'en avoir qu'un seul, le même, sur plusieurs sites ou applis à la fois. Certes, cela permet de ne jamais l'oublier, mais c'est bien là la seule qualité du "système", entre gros guillemets. Le danger, c'est que quiconque découvrira que votre mot de passe sur Twitter est 'toto123' pourra alors faire la tournée des sites de mail, des réseaux sociaux, des banques et du reste pour récolter tous vos autres comptes. Même pas besoin d'aller si loin : s'il arrive à accéder à votre compte mail, il pourra l'utiliser pour recevoir les liens qui lui permettront de modifier tous les autres mots de passe rattachés à cette adresse mails. Puis il pourra effacer votre compte et toutes ses données, pourquoi pas.

Le site haveibeenpwned.com sait vous dire si vos identifiants ont déjà été trouvés dans un fichier utilisateurs piraté sur Linkedin, Dropbox, Dailymotion, etc.
Le site haveibeenpwned.com sait vous dire si vos identifiants ont déjà été trouvés dans un fichier utilisateurs piraté sur Linkedin, Dropbox, Dailymotion, etc.

S'il manquait encore un argument pour vous convaincre, peut-être votre mot de passe est-il déjà dans les mains des pirates. Les fuites de données sont légion. De grands sites comme LinkedIn, Adobe, Badoo, Dailymotion, Dropbox, MySpace, Snapchat et bien d'autres ont tous un jour été piratés, voyant leur fichier d'utilisateurs devenir monnaie d'échange sur les forums de pirates. Dans chaque fichier sont présents vos identifiants et votre mot de passe, chiffré. Mais s'il est simple à découvrir, et que c'est le même partout, autant dire que vous êtes tout nu sur internet. Pour savoir si vos identifiants sont dans un des fichiers d'utilisateurs piratés, un site a compilé la liste de tous les e-mails concernés. Sur haveibeenpwned.com, il vous suffira d'entrer votre adresse mail pour voir si (et où) vos identifiants ont été égarés. Et modifier d'urgence tous les mots de passe concernés, sur tous les sites où vous les utilisiez.

Pour autant, changer de mot de passe tous les trois mois ou plus souvent encore n'est pas non plus la panacée. Des chercheurs de l'Université de Caroline du Nord ont fait l'expérience en étudiant les mots de passe d'utilisateurs forcés d'en changer régulièrement. Ils ont constaté que dans l'ensemble, leurs mots de passe étaient pour l'essentiel une variation des précédents, où un zéro remplace un "O", un tiret remplace un point, ou "password555" devient "password666", des stratégies de mise à jour assez simples à décoder pour quiconque aurait eu accès à un seul des mots de passe de leur historique. Conclusion : forcer les gens à se souvenir de mots de passe complexes, et qui changeraient régulièrement, est une protection un peu illusoire, qui les pousse plutôt à jouer la simplicité, au détriment de la sécurité... quand le mot de passe n'est pas juste noté sur un Post-It collé sur le bord de l'écran (les coupables se reconnaîtront).

Double authentification, et gestionnaire de mots de passe : pour une protection "ceinture et bretelles"

Le peu de fiabilité du mot de passe comme barrière unique contre les intrus a depuis longtemps déjà été reconnu, intégré par les grands sites, les sites d'entreprise et aussi les réseaux sociaux. Sur Gmail, sur Twitter, sur Facebook et ailleurs, il est possible de décréter une double authentification, le mot de passe plus autre chose, souvent un code, envoyé par SMS ou dans une notification de l'application mobile du service. Pour Google, pour certaines banques aussi, il faut dans l'appli mobile valider le fait que l'on essaye bien de se connecter à partir d'un nouvel ordinateur. On peut même en passer par une clé physique, un sésame USB à connecter à l'ordinateur pour valider votre identité. Dans tous les cas, le but est bien de prouver que c'est vous qui avez demandé à vous connecter, et pas juste quelqu'un qui aurait trouvé votre mot de passe. En cas de doute, vous recevrez aussi un mail vous avertissant de cette nouvelle connexion. Une authentification à deux facteurs évidemment gratuite, à activer dans les paramètres de sécurité du compte.

Sur un PC, sur un mobile, Dashlane est un gestionnaire de mots de passe qui n'en oubliera jamais aucun.
Sur un PC, sur un mobile, Dashlane est un gestionnaire de mots de passe qui n'en oubliera jamais aucun.

La vraie solution à la quadrature du mot de passe, c'est en fait de laisser un logiciel les gérer à votre place. Des gestionnaires de mot de passe, il en existe plusieurs, ceux intégrés au navigateur Chrome, basique, et d'autres plus complets, comme 1Password ou le français Dashlane. Eux prennent en main le problème de bout en bout : ils génèrent un mot de passe fort à chaque création d'un nouveau compte, des identifiants qui seront stockés et protégés par un chiffrement tel qu'ils seraient irrécupérables si par hasard vous oubliiez le mot de passe maître de l'application, le seul dont vous aurez désormais besoin. À chaque connexion à un site connu, le logiciel entrera à votre place les identifiants qu'il a sauvegardé, vous avertira en cas de doublons ou d'alertes de sécurité sur un des sites que vous utilisez. Si les fonctions des gestionnaires de mot de passe se ressemblent pour l'essentiel, avantage à Dashlane, qui propose un service de base gratuit, sur un seul appareil.

Google et les autres préparent la fin du mot de passe

Bref, pour gérer correctement la sécurité de votre vie numérique, les solutions existent... en attendant que l'on puisse se passer des mots de passe. C'est ce que préparent Google, Microsoft, et d'autres, puisqu'ils travaillent sur WebAuthn, nom barbare d'un standard qui remplacerait l'authentification par mot de passe par d'autres moyens, à la fois plus fiables et plus simples pour l'utilisateur. On pense forcément à la biométrie, avec l'empreinte digitale ou celle de la rétine, comme cela existe déjà sur mobiles. Mais d'autres moyens d'identification seront admissibles, dans une norme qui sera accessible à tous les services.

À côté de WebAuthn, Google a dévoilé Trust API, une série de fonctions de sécurité qui vous identifieraient au fil de l'eau, par des "signaux faibles" : la forme de votre visage, l'empreinte de votre voix, votre rapidité à la frappe au clavier, la façon dont vous utilisez une interface tactile. Autant de choses qui permettraient de calculer un score de sécurité vérifiant de manière constante que c'est bien vous qui utilisez votre propre compte. TrustAPI devrait être inauguré par des banques en ligne aux États-Unis d'ici à la fin de l'année. Quant à WebAuthn, il devrait arriver dans les navigateurs Google Chrome et Microsoft Edge dans les mois à venir.


Cédric INGRAND

Tout
TF1 Info