Infos/bons plans :
Accueil » Dossiers » Tutoriels » Créer des mots de passe sécurisés
Apprendre à choisir ses mots de passe

Créer des mots de passe sécurisés

Créer et gérer ses mots de passe : Introduction

Choisir un mot de passe sécurisé, c'est quelque chose qui devrait normalement couler de source. On nous le rabâche sans cesse, les sites nous forcent parfois la main (nombre de caractères requis, utilisation de chiffres et caractères spéciaux), et il arrive parfois même que les médias en parlent... Mais les fuites de données sont encore très nombreuses. Est-ce vraiment une surprise quand on sait qu'il y a encore trop de gens qui utilisent des mots de passe (si on peut appeler ça comme ça) tels que 12345612345, qwerty111111, password, leur date de naissance, leur équipe préférée, ou un prénom ?

Et inversement, quand un mot de passe est trop sécurisé et complexe, c'est s'en souvenir et son usage au quotidien qui peut devenir un calvaire. Une grosse mise au point s'impose pour trouver le juste milieu entre un mot de passe suffisamment sécurisé, mais aussi facile à retenir et à utiliser au quotidien. Pour cela, il faudra changer de méthode et revoir la logique habituelle de création d'un mot de passe. Un mot de passe sécurisé n'est pas forcément ce que l'on croit.

Vulnérabilité des mots de passe

Il existe plusieurs moyens de compromettre ou de se faire voler son nom de passe, et dans la plupart des cas, la victime est fautive d'une façon ou d'une autre. Soit la victime a elle même compromis son mot de passe en le divulguant, soit ce dernier n'était pas assez sécurisé. Un mot de passe peut vous paraitre sécurisé car assez complexe, mais l'est-il aussi pour un ordinateur ?

  • La divulgation :

Le moyen le plus simple de connaitre un mot de passe, c'est de se le faire divulguer. Et ça arrive bien plus souvent qu'on ne le pense, surtout quand la victime croit que la personne d'en face est digne de confiance. Et même si effectivement la personne à qui à l'on confie son mot de passe peut être digne de confiance, ne dit-on pas que les murs ont des oreilles ? C'est d'autant plus vrai dans le monde de l'informatique. Historiques, keyloggers, mais aussi regards par dessus votre épaule ou oreilles indiscrètes, il y a de quoi être parano. La solution est simple : Ne jamais divulguer son mot de passe.

  • En le devinant :

Dates de naissance, prénoms, lieux, équipes de football, personnages célèbres... Il est peut être facile de s'en souvenir, mais c'est tout aussi facile à deviner. Il suffit que le pirate vous connaisse ou se renseigne un petit peu sur vous, ce qui n'est pas très difficile si vous êtes adepte des réseaux sociaux.

  • Attaques par bruteforce :

Dans ce cas, il s'agit d'essayer toutes les combinaisons et logiques possibles jusqu'à tomber sur la bonne. Bien entendu, un hacker ne va pas s'amuser à taper des millions de possibilités, il va créer un script ou un programme qui va tester toutes les possibilités automatiquement, la vitesse (pouvant aller de plusieurs centaines à millions de tentatives par seconde) dépendra de la destination de l'attaque mais aussi de la machine utilisée. Ce qui peut prendre quelques minutes pour les mots de passe les plus simples, mais jusqu'à plusieurs millions d'années pour les plus complexes (oui, il aura laissé tomber bien avant). Aux attaques par bruteforce peuvent s'additionner d'autres méthodes comme l'attaque par dictionnaire, pour faire tomber rapidement les mots de passe utilisant des noms communs.

Choisir un mot de passe sécurisé

Utiliser un maximum de caractères, éviter les noms communs, les dates de naissances et tout ce qui pourrait être deviné par quelqu'un vous connaissant, mélanger les caractères spéciaux, les chiffres et les majuscules... 465freZg45eq((-è"'rt7hgh685. A vos souhaits. Voici peut-être un mot de passe sécurisé pouvant résister des milliards de milliards d'années à une attaque de type bruteforce, mais on ne peut pas dire qu'il soit pratique à utiliser au quotidien à moins d'utiliser le remplissage automatique.

Faut-il vraiment écraser ses poings et sa tête contre son clavier pour générer un mot de passe sécurisé au point qu'il devienne totalement impossible de s'en souvenir ? Pas vraiment. Bien qu'un tel mot de passe soit effectivement intéressant d'un point de vue sécurité (surtout si vous utilisez un gestionnaire de mots de passe, ce que nous verrons dans le chapitre suivant), il faut se demander jusqu'à quel point notre mot de passe doit être complexe. Le commun des mortels a t-il besoin d'un mot de passe pouvant résister des centaines d'années avant d'être découvert ? Les entreprises doivent-elles avoir des mots de passe pouvant résister aux attaques bruteforce jusqu'à l'extinction de notre espèce ? Pas sûr.

Une question de méthode

Il existe deux écoles. La première nous apprend la logique classique : Un mot de passe doit être le plus complexe possible afin de pouvoir être considéré comme sécurisé. Utilisation de symboles, de majuscules, de chiffres, d'un maximum de caractères etc... La seconde école nous apprend à adapter notre mot passe à nos besoins afin de créer un mot de passe suffisamment sécurisé, mais aussi facile à utiliser au quotidien. La méthode : Une utilisation de plusieurs mots espacés pour composer son mot de passe.

Nous allons commencer par analyser quelques mots de passe classiques à l'aide des sites How Secure Is My Password, GRCYet Another Password Meter et Passfault. Les résultats sont à prendre avec des pincettes mais c'est une bonne base pour se faire une idée d'un mot de passe sécurisé. Nous en ferons ensuite de même avec des mots de passe crées avec la seconde méthode.

La logique habituelle :

Tout d'abord, partons du principe que je suis un peu simplet et que mon mot de passe est : pixel
Dans le meilleur des cas (attaque en ligne de type bruteforce), il faudrait moins de 4 heures au pirate pour le trouver. Dans le cas d'une attaque plus massive ou de l'utilisation d'un dictionnaire, même pas une seconde. pixel est clairement un mauvais mot de passe et obtient un score de 0%, il faut y remédier.

Après un peu de réflexion, je décide de complexifier mon mot de passe : Pix3l000
J'ajoute une majuscule, des chiffres, mais je garde la base du mot pixel pour le retenir plus facilement et je me la joue 1337 en pensant bien faire. Le mot de passe obtient maintenant un score de 40%, ce qui est effectivement beaucoup mieux, mais il peut toujours être découvert en moins d'un jour.

Le mot de passe est encore trop faible et prévisible pour une machine, alors continuons : _Pi$3-l000
Cette fois, notre score est de 69%. Même si dans le cas d'une attaque en ligne on peut commencer à se sentir dans la zone sûre, dans le pire des scénarios, notre mot de passe ne résisterait qu'entre un jour et une semaine. Pour le commun des mortels on commence à approcher de quelque chose de satisfaisant. Un pirate ne s'acharnera pas une semaine pour vous voler vos photos de vacances, mais ne sait-on jamais. Remarquez que le mot de passe commence à devenir assez embêtant à retenir et à taper.

Ajoutons plus de complexité et tentons d'obtenir un mot de passe inviolable : _Pi$3-L04cKo9Ol0O-
Enfin, nous obtenons un score de 100% et un mot de passe sécurisé qui pourrait théoriquement résister pendant des millions d'années aux pires attaques ! Même avec les critères très sévères de Passfault, vous en avez pour 2 millions d'années de tranquillité. Par contre, pour l'utiliser au quotidien c'est autre chose et il faudra absolument utiliser un gestionnaire ou le noter quelque part.

Bien sûr, on pourrait tenter de le rendre un peu moins complexe (avez-vous besoin d'un mot de passe pouvant théoriquement résister jusqu'à la collision entre la Voie Lactée et Andromède ?), et de prendre le risque d'ajouter une date ou quelque chose qui nous parle pour faciliter la mémorisation : _Pi$3-L1970-
Malgré un score de 67%, le mot de passe pourrait quand même résister pendant au moins un bon siècle, même si ça baisse à une semaine dans le pire des cas possibles selon Passfault. A moins de diriger une grande entreprise, ce mot de passe pourrait faire l'affaire. Mais on peut faire bien mieux...

La méthode simple et sécurisée :

Je vais choisir un mot de passe tout bête selon l'autre logique : j'aime les pixels
Malgré un score de 54%, je suis déjà tranquille pour quelques centaines de milliards d'années contre les attaques de type bruteforce. Seul le sévère Passfault nous indique 1 jour, car ce mot de passe reste vulnérable aux attaques par dictionnaire. Malgré l'extrême simplicité qu'il évoque et la facilité qu'on a à le retenir, c'est un mot de passe long de 17 caractères contenant 3 caractères spéciaux.

Ajoutons un peu de complexité pour plaire à Passfault et un quatrième mot : J'aime 2 pixels jaunes.
Cette fois, le score est de 100%. En plus d'être encore plus sécurisé pour les autres sites, les critères sévères de Passfault indiquent plusieurs millions d'années avant qu'il ne soit découvert. On pourrait très bien simplifier par : J'aime 9009 pixels. Ce qui nous donnerait un peu plus de 50 ans de répit selon Passfault, ce qui est déjà largement assez pour décourager un pirate (tout dépendra de ce que vous cachez derrière votre mot de passe), mais l'idéal étant de choisir au moins 4 mots/éléments pour contrer les attaques par dictionnaire. Mais même simplifié, c'est déjà bien plus sécurisé que notre dernier test de mot de passe suivant la logique habituelle, et qui n'était pas forcément facile à retenir.

Certains sites ne vous permettront malheureusement pas de créer des mots de passe avec des espaces, mais dans ces cas, remplacez les simplement par un symbole, un tiret, un point...

password strength
Planche de BD venant de Xkcd.com

Comme le dit la légende de la BD ci-dessus, nous avons habitué tout le monde à utiliser des mots de passe difficiles à retenir pour les humains, mais faciles à deviner par des ordinateurs.

Cette méthode est simple et efficace et devrait sans aucun doute vous faire gagner un peu de temps. En plus de créer des mots de passe très sécurisés, vous pourrez créer des mots de passe particulièrement simples à retenir. Combinez autant de mots qui vous parlent que vous le souhaitez, utilisez une base commune et faites varier un mot à chaque site pour plus de sécurité.

Gérer ses mots de passe

Vous commencez à accumuler un bon nombre de mots de passe différents et sécurisés pour de nombreux sites, et il est normal que la mémoire commence à montrer ses limites. Voilà pourquoi utiliser un gestionnaire de mots de passe pourrait être une bonne option pour gagner du temps et vous éloigner de la tentation de réutiliser les mêmes mots de passe sur différents sites.

La philosophie derrière les gestionnaires de mots de passe, ce n'est pas seulement de conserver vos différents mots de passe pour ne pas les oublier... Il s'agit surtout de ne plus utiliser qu'un seul mot de passe, celui du gestionnaire, et de générer pour le reste des mots de passe aléatoires très complexes que vous ne pourrez pas retenir. Si le mot de passe est trop complexe et sécurisé pour que même vous ne puissiez l'utiliser facilement ou vous en souvenir, il n'en sera que plus difficile à voler.

Honnêtement, je ne suis pas un grand fan du principe. Mais certains ne jurant que par les gestionnaires, je me dois bien d'en parler objectivement comme d'une solution valable. Mais avant, petit avertissement.

Pourquoi le principe peut-il être dangereux ?

  • Tous vos œufs sont dans le même panier

C'est le principe même d'un tel logiciel. Tous vos mots de passe sont rassemblés dans un seul endroit protégé par un mot de passe maître. Volez le mot de passe maître et vous aurez un accès libre aux autres. Toutes vos données dépendent donc entièrement d'un seul mot de passe. Autre risque, l'oubli. Les solutions avec synchronisation en ligne permettent généralement de pallier à ce problème, mais pour les solutions locales, si vous perdez le mot de passe maître, le coffre fort risque d'être fermé à jamais.

  • Des mots de passe dans le cloud

Tous les gestionnaires ne le proposent pas, mais c'est à savoir. Pratique pour récupérer vos mots de passe où que vous soyez, mais je suis personnellement assez frileux à l'idée de ne pas avoir un contrôle direct sur mes mots de passe et de savoir qu'ils sont stockés ailleurs que sur ma machine. Notez que les gestionnaires proposant cette option (comme LastPass) sont régulièrement la cible d'attaques informatiques, et qu'elles font parfois mouche. Il y a au moins un avantage au cloud, c'est que vos mots ne passe ne seront jamais totalement perdus en cas de problème technique ou d'oubli.

  • Des mots de passe que vous ne connaissez pas

Il suffit d'avoir un problème avec sa machine ou le logiciel et de ne pas avoir exporté sa base de mots de passe pour être dans la mouise. Avec les solutions en ligne cela peut se limiter à un contretemps, mais si vous utilisez une solution locale, les conséquences peuvent être bien plus graves. Si vous vous reposez entièrement sur ce type de logiciels et plus sur votre mémoire, vous êtes dépendant de leur bon fonctionnement. En cas de problème technique, tous vos mots de passe seront pris en otage.

Il y a donc des risques, mais il faut bien avouer qu'un gestionnaire peut être très pratique, surtout si vous avez une foule de comptes sur des sites différents et avec des mots de passe différents, ou que vous avez absolument besoin de mots de passe très complexes. Pour limiter la casse en cas de pépin (et accessoirement, faire travailler sa matière grise), l'idéal serait d'appliquer la méthode expliquée dans le chapitre précédant (surtout pour le mot de passe maître) tout en essayant d'en garder un maximum en tête, et de se servir du gestionnaire en appoint pour la complétion automatique ou en cas d'oubli.

Sélection de gestionnaires

Pour faciliter votre choix, voici une petite sélection de gestionnaires de mots de passe ayant déjà fait leurs preuves, suffisamment sécurisés pour un usage quotidien. Si vous n'arrivez pas à trouver votre bonheur, jetez un œil à la sélection de gestionnaires de mots de passe de PC Mag en cliquant ici.

  • LastPass : Il s'agit probablement du nom qui revient le plus souvent quand on recherche un gestionnaire de mots de passe. Gratuit (mais proposant une version à abonnement annuel ajoutant la gestion des appareils mobiles et un niveau de sécurité supplémentaire), proposant la complétion automatique, la synchronisation dans le cloud et la génération de mots de passe sécurisés.
  • KeePass : Entièrement gratuit et open source, KeePass a aussi l'avantage d'être portable et entièrement local. Vos mots de passe sont donc stockés dans une base de données encryptée se trouvant sur votre machine, aucune donnée n'est transférée vers des serveurs tiers. Votre sécurité ne dépend donc que de vous. Il propose la génération de mots de passe sécurisés, la complétion automatique vers des sites, logiciels et fenêtres dans lesquels les autres gestionnaires ne fonctionnent pas, mais aussi une foule d'extensions pour le doter de nouvelles fonctions (backup automatique par exemple).
  • Dashlane : Un autre grand nom. Ses points forts sont une interface agréable et une grande facilité d'utilisation et de gestion de vos mots de passe. La base de données est stockée localement dans la version gratuite, mais peut aussi être stockée dans le cloud et synchronisée entre vos appareils en version Premium. Il propose de générer des mots de passe sécurisés, la complétion et la connexion automatique, et peut également servir à conserver vos informations de paiements et comptes bancaires de façon sécurisée. Il vous avertit aussi quand un site sur lequel vous avez un compte a été piraté, et vous permet de changer automatiquement vos mots de passe.
Conclusion

J'espère que ce guide vous aura été utile et qu'il vous aura aidé à prendre de bonnes habitudes.

Comme vous avez pu le constater, avoir un mot de passe sécurisé n'est pas forcément contraignant, et peut même être plus facile à restituer que votre mot de passe habituel. L'utilisation de mots de passe différents devient également moins contraignante en utilisant un gestionnaire. Vous n'avez plus d'excuses possibles justifiant l'utilisation de mots de passe trop faibles.

Dans la même catégorie...

Dépoussiérer son ordinateur de bureau

Dépoussiérer son ordinateur de bureau

Guide de nettoyage d'un ordinateur de bureau. Une opération indispensable pour veiller au bon fonctionnement de sa machine.

Monitoring en jeu

Afficher des données (températures, fréquences etc) en jeu

Dans ce tutoriel, vous apprendrez à afficher les températures (et toutes les données que vous voulez) directement en sur-impression dans vos jeux.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils