Tmots-de-passes_10cmous les jours des sites web se font compromettre et voler leur base de données clients. Dans les cas les moins graves, le pirate n’a obtenu que les noms d’utilisateur ainsi que leur mot de passe de connexion. Or, si ce même mot de passe récupéré par le pirate donne également accès à l’espace client de votre banque, jusqu’où pourrez-vous être victime de ce piratage ?

Que vos mots de passe vous servent pour Linkedin, Facebook, votre ordinateur personnel, celui du bureau, les mots de passe sont les nouvelles clefs de nos vies. Ce guide s’adresse à tout le monde, du débutant au professionnel. Il est simple et concret, les experts en sécurité n’y apprendront rien de nouveau, les autres sécuriseront mieux leurs accès.

Les risques d’un Mot De Passe faible

Le stockage non sécurisé

Les mots de passes sont très souvent interceptés sur un réseau ou récupérés depuis la base de données d’un site. Le problème de fond ici est la disparité du niveau de sécurité.

Certains sites et applications utilisent un système de chiffrage fort pour protéger vos mots de passe, alors que d’autre utilisent des algorithmes de stockage peu recommandables en termes de sécurité. Le même mot de passe protégé correctement à un endroit peut être très simplement mis en danger à un autre. Auriez-vous confié vos clefs à la gendarmerie et en même temps une copie à un parfait inconnu ?

Conseil n° 1 : avoir plusieurs mots de passe et les associer aux bons sites

Le décryptage d’un mot de passe chiffré

1090036_biometrie-et-mot-de-passe-pourquoi-comparer-lincomparable_Même chiffré, un mot de passe simple peut être découvert en quelques secondes par un pirate. Si un pirate met la main sur un mot de passe chiffré, pour le déchiffrer, il dispose de plusieurs approches. Il peut :

  • tester toutes les combinaisons de caractères possibles
  • utiliser des dictionnaires (classant les mots de passe les plus « classiques » ou « tendance »)
  • faire des recherches « Hybrides » composées de plusieurs mots de ces mêmes dictionnaires
  • etc.

(Pour plus d’information, retrouvez notre article sur les attaques par « Bruteforce ».)

Ici, qu’importe la méthode, le principe de fond reste le même : la puissance de calcul. Si vous avez un mot de passe « résistant » (bien construit) le temps de calcul nécessaire pour le trouver sera tellement long que le pirate a de fortes chances d’abandonner.

Conseil n° 2 : utiliser des mots de passe « résistant »

Construire son mot de passe

Une recette simple :

  • Prendre toujours au moins 9 caractères (la plupart des attaques se font sur des mots de passe de 8 caractères)
  • Inclure au moins un chiffre
  • Inclure au moins un ou deux caractères spéciaux
  • Inclure au moins une majuscule

Avec cette recette simple, vous devriez pouvoir :

  • Contenter tous les systèmes vous demandant un mot de passe complexes
  • Vous mettre à l’abri de toutes les attaques (qui sont en général calculées sur 8 caractères)

Conseil n° 3 : 9 caractères dont 1 chiffre, 1 majuscule, 1 caractère spécial

Quel alphabet utiliser pour mon mot de passe

Principes de base concernant les alphabets à utiliser

  1. Childrens-alphabetabcdefghiklmnopqrstuvwxyz est un alphabet très simple
  2. abcdefghiklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890 est un alphabet un peu plus étendu
  3. abcdefghiklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890&@,;:?/%*#.!- est un autre classique, plus élargi encore
  4. Si l’on ajoute au précédent èéùçôà`|\()[]° »‘~§µ£¤ on devient quasi exhaustif (vous pouvez aussi intégrer des caractères locaux à votre pays)

Appelons ces alphabets 1, 2, 3 et 4 (le 4 étant le plus complet).

  • Si votre mot de passe fait 7 caractères ou moins, il est cassable rapidement (quelques heures/jours) dans tous les alphabets.
  • Si votre mot de passe fait 8 caractères, il est cassable rapidement  dans les alphabets 1, 2 et 3.
  • Si votre mot de passe fait 9 caractères, il est cassable rapidement  dans les alphabets 1, 2.
  • Si votre mot de passe fait plus de 12 caractères, hors attaque hybride, il est cassable rapidement dans l’alphabet 1.
  • Si votre mot de passe fait plus de 15 caractères, hors attaque hybride, il est correctement sécurisé avec tous les types d’alphabets.

Nous estimons qu’entre l’alphabet 1 et l’alphabet 4, il y a près de 32 000 fois plus de possibilités… Si un ordinateur moderne peut (dans certaines conditions) traiter plusieurs centaines de milliers de mots de passe par seconde et casser un mot de passe simple en quelques heures, multiplier son temps de travail par 32 000 entre un alphabet 1 et un alphabet 4, c’est tout sauf anodin.

Composer son mot de passe

Il existe plusieurs approches pour construire un « bon » mot de passe, solide et difficile à casser. Nous allons en passer quelques-unes en revue.

La passphrase

Finalement, une phrase comme « le gruyère n’est pas le fromage préféré des Italiens », c’est incassable. Tout simplement incassable tout en étant quasi impossible à oublier.

« L’hiver j’aime aller au ski avec mes enfants » est aussi un mot de passe simplissime à retenir et horriblement complexe à casser.

Le mot de passe composé

Un mot de passe comme « _Jules # Julie_ » est également très simple et atrocement complexe à casser. Prenez tout simplement deux mots, mettez un caractère spécial ou deux et vous voilà équipé d’un bon mot de passe.

La substitution

Il suffit simplement de remplacer un caractère par un autre. Par exemple « a » par « » ou « E » par « », etc.

Attention cependant, cette méthode commence à être très connue et intégrée dans certains dictionnaires. Inclure de la substitution est une bonne idée, mais il ne faut pas se reposer uniquement sur elle.

Le mot de passe « dessiné » ou ASCII Art

small-ascii-art« /||_P|-|/| » se lit ALPHA.

  • /| = A
  • |_ = L
  • |-| = H

C’est simple, vous ne l’oublierez pas et « alpha », écrit de cette manière, fait 10 caractères, dont 9 spéciaux et est quasi incassable. (Évidemment, ne prenez jamais les exemples donnés dans cet article comme mot de passe car ils seront intégrés dans les dictionnaires des pirates).

Le mot de passe aléatoire, mais « mémorisable »

De très bons mots de passe, par principe, sont aussi ceux qui sont aléatoires. Mais comment retenir un mot de passe aléatoire ? Avec une consonance, une musique, un rythme.

Par exemple « gunzeHaineRotziz » comme « Guns N’ Roses » qui est un groupe de rock des années 80’ ; ou encore « laieso6sonk8! » comme « les saucisses sont cuites »

Des générateurs de mots de passe « agréables » existent comme APG sous Unix, voici ce qu’il peut sortir :

  • $ apg -a 0 -t
  • ceekKaff (ceek-Kaff)
  • hejDythiel (hej-Dy-thiel)
  • rimlurwad3 (rim-lur-wad-THREE)
  • NobBivin1 (Nob-Biv-in-ONE)
  • CawvOrv0 (Cawv-Orv-ZERO)
  • WuDruvkaf (Wu-Druv-kaf)

En ajoutant un caractère spécial, c’est bon !

Détenir plusieurs mots de passe

 Pourquoi avoir plusieurs mots de passe ?

SecureLe principe de référence dans le milieu de la sécurité c’est qu’un site peut être viable et protégé un jour et être vulnérable le lendemain. Ainsi, quand vous vous inscrivez sur un site web, un forum, rien ne vous dit que le site fiable et que votre mot de passe sera stocké dans de bonnes conditions.  Nous vous conseillons donc d’avoir au moins 4 mots de passe. Quatre mots de passe, ce n’est ni trop peu (ce qui vous mettrait en danger), ni trop (ce qui vous ferait les oublier et deviendrait ingérable au quotidien). Nous vous proposons de répertorier les sites sur lesquels vous êtes susceptible de créer un mot de passe selon 4 catégories.  Une fois les catégories bien en place dans votre tête, soyez systématiques. Vous ne perdrez jamais vos mots de passes, vous serez mieux protégé et cela ne sera pas compliqué dans le temps.

Séparer les usages permet de ne pas utiliser le même mot de passe partout et d’avoir une règle simple pour se souvenir quel mot de passe peut correspondre à quel site. Il vous faut :

  • Qualité 1 : Un mot de passe « peu important »

Pour les forums, les blogs, les sites informels & les newsletters, etc.

Exemple : Pierre_Loup

  • Qualité 2 : Un mot de passe pour les choses « moyennement importantes »

Pour les sites pouvant contenir des données personnelles, leurrer vos amis ou encore mener à un vol d’identité : Twitter, Facebook, LinkedIn, etc.

Exemple : Pierre_&_Loup

  •  Qualité 3 : Un mot de passe pour les accès « important »

Pour vos accès à votre ordinateur, vos comptes clefs, vos accès professionnels, les sites transactionnels (comme Amazon, Ebay, site ecommerce, etc.). Par ailleurs, nous vous conseillons de dissocier les sites à caractères personnels et professionnels. Vous pouvez les dissocier en ajoutant une petite différence comme un chiffre ou une lettre. Par exemple : un P pour « Pro ».

Exemple « version Perso » : P|erre_&_le_Loup

Exemple « version Bureau » : P|erre_&_le_LoupP

  • Qualité 4 : Un mot de passe pour les accès « vitaux »

Celui qui ouvre tout, le mot clef de tous vos secrets, votre vie. Ce mot de passe ne doit pas être utilisé pour Internet et personne d’autre que vous ne le connait ! En général, ce mot est une passphrase (une phrase qui sert de mot de passe) et pas un simple mot de passe et vous ne l’utilisez que sur un logiciel connu, sécurisé et reconnu sans risque (comme GnuPG).

Exemple : « Pierre & Le Loup est un conte musical pour enfants »

En fait, votre cerveau ne va devoir retenir que 2 mots de passe et 4 variantes, ce qui est beaucoup plus facile à faire. Vous êtes sur un forum ? C’est Pierre et le loup, version Pierre_Loup. Vous êtes sur Facebook ? Pierre_&_Loup. Vous êtes sur Amazon ? P|erre_&_le_Loup etc.

Dans le doute, si ce n’est pas l’un qui passe, ce sera l’autre, mais si vous vous astreignez juste à une petite discipline, vous aurez toujours le bon mot de passe au bon moment, au bon endroit. Par cette méthode, si un mot de passe est compromis, vous savez où changer les accès, ce qui est potentiellement en jeu et comment agir vite, tout en n’ayant pas à passer sur 100 sites différents.

Les thèmes

Pour obtenir ces 4 variantes de votre mot de passe, vous pouvez agrémenter un mot de passe construit sur la même base, comme les exemples ci-dessus ; vous pouvez également choisir un thème et créer des mots de passe différents à partir d’un même sujet.

Prenons l’exemple des instruments de musique. Le principe peut consister à choisir un instrument pas réellement apprécié comme le mot de passe de qualité 1, puis un autre davantage aimé pour le niveau 2 et enfin un instrument adoré pour la qualité 3. Cela pourrait donner cela :

  • Qualité 1 : Tr!angl3 -> triangle
  • Qualité 2 : Contre_b@sse -> contrebasse
  • Qualité 3 : 8atteri!e_a&oustique -> batterie acoustique
  • Qualité 4 : le rythme de la b4tter!e me transporte<3

Le jour où il faut changer un ou des mots de passe, il suffit de changer de thème. En cas de doute face à un site de qualité 1, vous repassez sur les mots de passe de qualité 1 avec les thèmes 1, 2, 3 et en quelques tentatives vous vous y retrouvez.

Des mots de passe pour les systèmes limités

Parfois, un système va (stupidement) vous limiter à certains caractères et à une certaine taille, tout en vous demandant des majuscules et des minuscules ainsi que des caractères spéciaux, typiquement les systèmes 3Dsecure de paiement en ligne de votre banque. C’est, en général, un mot de passe de qualité 2 ou 3, que vous n’avez pas envie de perdre, mais vous n’avez pas forcément non plus envie d’en faire un autre.

Dans ce cas, mettez un mot de passe de niveau 2, mais correctement sécurisé ou faites une exception avec un dérivé d’un mot de passe plus résistant.

Par exemple, admettons que votre mot de passe soit : « Jules&!César », un très bon mot de passe.
Maintenant, admettons qu’un système idiot vous limite à 8 caractères et que des Alpha-Numérique. Pour éviter d’avoir à en retenir un de plus, vous pouvez faire une variante de celui-ci, comme « JulesC3S ».

Renouvellement de mots de passe

Parfois, on vous demande de renouveler un mot de passe automatiquement tous les « n » mois. Par exemple dans le cadre de votre travail, votre machine est reliée à un contrôleur de domaine Windows qui force ce principe. Dans ce cas, ne diminuez pas la « force » de vos mots de passe par lassitude. Ajoutez simplement une variante avant ou après une racine commune.

Si votre mot de passe est : L|_|ke Skywalk3r faites un L|_|ke Skywalk3r#1 puis un 2#L|_|ke Skywalk3r puis un L|_|ke Skywalk3r#3 etc. En alternant le numéro avant et après, cela devient facile.

Les gestionnaires de mots de passes

En confiant tous vos mots de passes à un même logiciel, vous faites confiance à un tiers dont vous ne maîtrisez pas le niveau de sécurité. Ce n’est pas recommandé, sous aucune forme. Les méthodes proposées pour stocker vos mots de passes ci-dessus sont faites pour que vous puissiez les retenir sans l’aide d’un logiciel à la fiabilité douteuse.

Toutefois, si vous voulez stocker des informations sensibles, numéro de CB, clef wifi, codes d’accès, etc. vous pouvez le faire de manière correctement sécurisé avec GPG (Gnupg). Le logiciel s’installe rapidement, est simple d’usage (même si c’est de la ligne de commande) et vous permettra de stocker un fichier texte de manière chiffrée, avec des risques très limités (en dehors de l’écoute de clavier physique (dongle) ou logiciel (sniffer)).

Récapitulatif d’une bonne stratégie de mots de passe

  1. Classer par importance les sites ou applications où vous avez besoin d’un mot de passe selon 4 catégories
  2. Définir une structure de mot de passe et 4 variantes de celui-ci
  3. Composer un mot de passe avec 9 caractères dont au moins 1 chiffre, 1 majuscule, 1 caractère spécial
  4. Changer ces mots de passe régulièrement (1 fois par an)
  5. Suivre l’actualité et changer votre mot de passe dès le moindre doute de compromission d’un site que vous utilisez

Par Philippe Humeau & Myriam Fiévé

Myriam Fiévé
Myriam Fiévé
Myriam est Responsable Marketing depuis 2013. Passionnée par le e-commerce et l’ensemble des technologies Web qui entourent ce secteur, elle participe à la réalisation et à la diffusion de plusieurs Livres Blancs.