securite-beauty.jpg

Si mes souvenirs sont bons, j’ai créé mon premier mot de passe pour un compte courriel en 1988. Je suis pas mal certain que la personne qui supervisait le processus a insisté sur la nécessité d’en choisir un qui serait difficile à deviner, au cas où un de mes collègues de classe déciderait d’essayer de s’introduire dans mon compte pour me jouer un mauvais tour. Parce que dans ce temps-là, c’était pas mal la pire conséquence que l’on pouvait imaginer: il n’y avait pas de virus sous UNIX, le spam n’avait pas été inventé, en fait il n’y avait à peu près personne sur Internet à part des universitaires, alors qui aurait bien pu être en mesure de causer du vrai trouble?

Les choses ont bien changé par la suite. Aujourd’hui, un collègue qui s’empare d’un compte Twitter pour publier une photo de soi en train de dormir au bureau, c’est le dernier de nos soucis. L’importance de bien protéger ses accès—et son identité—sur Internet est connue de tous; d’ailleurs, la première chronique télévisée dans laquelle j’expliquais comment éviter de se faire pirater ses comptes en choisissant des mots de passe résistants doit dater de 2005 ou à peu près.

Et pourtant, rien n’y fait: année après année, les internautes choisissent des mots de passe tellement faibles ou tellement faciles à deviner qu’ils seraient aussi bien de laisser leurs porte-feuilles sans surveillance devant les tourniquets de la plus proche station de métro. Les deux mots de passe les plus populaires de 2015, selon TeamsID, étaient « 123456 » et « password » (« mot de passe » en anglais). Les mêmes qu’en 2014… Et qu’à tous les ans depuis que la firme a commencé à compiler des données en 2011.

telephones3.jpgLa fausse sécurité

Bien sûr, vous ne faites pas ce genre d’erreur. Vous choisissez des séquences de caractères longues et complexes, comme « qazwsxedcrfv » et « cbscbsf », ou des mots bizarres que personne ne connaît, comme « scrogneugneu », ou des mots dont vous avez remplacé une ou deux lettres par un symbole, comme « v1ct01re ».

Mais vous n’êtes pas plus en sécurité.

Les pirates disposent de dictionnaires complets pour toutes les langues de la Terre, alors n’importe quel vrai mot—en français, en anglais ou en tagalog—est susceptible d’être deviné par une attaque à force brute.

Même chose pour une séquence qui semble aléatoire aux yeux d’un être humain mais qui suit une règle qu’un ordinateur peut aisément comprendre: « cbscbsf » est simpement le mot « barbare » dont toutes les lettres ont été décalées d’une position, tandis que « qazwsxedcrfv » s’écrit en parcourant les quatre premières colonnes à gauche de votre clavier. Aucun logiciel de piratage ne s’y trompera.

Et puisque les pirates ont depuis longtemps programmé toutes les substitutions usuelles dans leurs outils, remplacer les « i » par des « 1 » ou les « a » par des « @ » ne fera que retarder l’inévitable de quelques secondes.

1password.jpgLes gestionnaires de mots de passe

Pour être vraiment en sécurité, il n’y a pas beaucoup de choix: il faut créer des mots de passe qui sont impossibles à deviner. La meilleure manière, c’est encore d’en créer que vous ne connaissez même pas vous-mêmes et que vous ne pourrez donc pas dévoiler par mégarde.

Pour ce faire, il est indispensable d’utiliser une application de gestion de mots de passe comme 1Password ou LastPass. J’ai choisi 1Password, que j’utilise à la fois sur mon ordinateur personnel et sur mes appareils mobiles; la version mobile contient son propre navigateur web sécurisé et les bases de données de mots de passe se synchronisent automatiquement entre tous mes appareils.

Mieux: votre gestionnaire de mots de passe pourra non seulement mémoriser toutes les informations nécessaires pour accéder à vos comptes mais aussi créer des mots de passe aléatoires, longs et complexes sur mesure au besoin. La partie la plus embêtante du processus consistera à déterminer, pour chaque service, la longueur maximale et la composition des mots de passe permis. Puisque vous n’aurez pas à vous rappeler de quoi que ce soit, privilégiez les mots de passe aussi longs que possible (disons, 32 caractères) et contenant à la fois des lettres minuscules, des majuscules, des chiffres et des caractères spéciaux comme #, ? ou =. Bonne chance au pirate qui tentera de deviner un mot de passe aussi difficile; rien qu’avec 32 lettres minuscules ou majuscules sans chiffres et sans caractères spéciaux, le nombre de combinaisons possibles sera de 52 à la puissance 32 (ou 8,2 fois 10 à la puissance 54), ce qui dépasse allègrement le nombre d’atomes sur Terre.

Prévoyez d’investir une à deux heures la première fois que vous téléchargerez une telle application, puisque vous voudrez visiter tous vos comptes sur Facebook, Gmail, Twitter, votre fournisseur d’accès Internet, etc., et changer immédiatement vos vieux mots de passe qui traînent quelque part sur une feuille dans votre bureau (oui, oui, je suis au courant de ce petit secret; avec des dizaines de comptes par personne, impossible de faire autrement!)

mot-de-passe-papier.jpgLes phrases secrètes

Je ne saurais trop vous recommander d’utiliser un gestionnaire de mots de passe pour la plupart de vos services en ligne, mais si pour une raison ou pour une autre cette solution ne vous convient pas, il existe une autre méthode à peu près aussi sécuritaire mais qui requiert un peu plus d’effort: la phrase secrète.

Je vous ai déjà dit que les pirates disposent de dictionnaires et qu’ils peuvent donc tenter de pénétrer dans vos comptes en essayant tous les mots réels un par un. Vous pouvez cependant contrecarrer cette forme d’attaque en utilisant non pas un « mot » de passe, mais une « phrase » de passe formée de plusieurs mots qui n’ont pas de lien apparent entre eux.

Exemple: le nom de votre super-héros favori, suivi des quatre derniers chiffres du numéro de téléphone de la pizzeria de votre quartier, suivis de la ville de naissance de votre maman, suivie du nom de l’épice que vous placez toujours à la gauche dans votre armoire de cuisine. Si vous pouvez mélanger deux langues, par exemple en utilisant un nom d’épice en anglais, encore mieux.

Autre exemple: formez une séquence avec la première lettre de chacun des mots d’une phrase dont vous vous rappellerez facilement, comme par exemple « lbrDamscale » pour « le bon roi Dagobert a mis ses culottes à l’envers ». Insérez un chiffre et un caractère bizarre quelque part, et le tour est joué.

Idéalement, vous devriez créer une de ces phrases pour chaque service. En pratique, c’est impossible, mais vous devez tout de même éviter de réutiliser exactement le même mot de passe à plus d’un endroit pour des raisons de sécurité évidentes. Une idée intéressante: insérez un code d’identification pour chaque service quelque part au milieu de votre phrase de passe, par exemple « lbrDamscaFBle » pour Facebook. Ce sera déjà mieux que 99% des mots de passe en service!

Dernières recommandations

Ironiquement (pour ne pas dire bêtement), certains services particulièrement cruciaux, comme les institutions financières et les écoles, vous limiteront peut-être à des séquences courtes et simples. Si c’est votre cas, surveillez bien ce qui se passe sur votre compte et changez le mot de passe souvent; on n’est jamais trop prudent.

Et surtout, ne donnez vos mots de passe à personne, sinon la meilleure technologie ne pourra rien faire pour vous protéger!

Photo de couverture: Jannis Andrija Schnitzer

Photo de mot de passe sur papier: Thomas Au   

Magasinez les téléphones cellulaires en ligne chez Best Buy Canada.

PARTAGER SUR
Après une carrière de 15 ans en développement de jeux vidéo, FDL a succombé au côté obscur de la Force: celui des médias. Il compte à son actif 4 livres, 250 émissions de télévision et plusieurs milliers d'articles et de billets de blogues portant sur la technologie, les jeux, la science et le monde de l'insolite. Fier détenteur de deux maîtrises et demie, il espère compléter son doctorat en histoire d'ici la fin du 21e siècle.

3 COMMENTAIRES

  1. Bonjour,

     

    Bon article sur la sécurité

     

    Je n’ai pas étudié le fonctionnementde 1password et de lastpass. 

     

    Est-ce que vous pourriez expliquer comment ils envoient le mot de passe et le nom d’usager à une application. 

     

    Pour le moment, j’utilise keypass mais comme il envoyait plutôt mal les informations aux applications, j’ai développé le réflexe de faire un CTRL C et un CTRL V mais je viens de lire que certains spywares s’attaquent au buffer du copier coller et peuvent l’intercepter.  

     

    Je pense donc changer éventuellement de gestionnaire de mots de passe pour en utiliser qui ne se servirait pas du buffer CTRL C et V de Windows. 

  2. Merci

     

    Je vais continuer à fouiller la question, surtout que je n’aime pas particulièrement l’idée de faire appel à un software qui stocke nos mots de passe sur son réseau. Il me semble que plusieurs fonctionnent ainsi. 

LAISSER UNE RÉPONSE

Please enter your comment!
Please enter your name here