Depuis des années on vous pourrit la vie avec des mots de passe, de plus en plus longs, de plus en plus complexes, « et vas-y qu’il faut un caractère spécial en plus de la majuscule », mais attention pas n’importe quel caractère spécial, parce que… heu… ben…
Avec la multiplication des comptes que nous utilisons au quotidien sur internet, on en vient à développer des systèmes compliqués pour faire des mots de passe suffisamment sécurisés, qui plaisent à tel ou tel site et qu’on essaye – en vain – de se souvenir d’une fois sur l’autre. On développe des petites tactiques qu’on croit futées pour ajouter des lettres du site à une base de mot de passe commune, mais je vais être direct : On a tout faux depuis le début, depuis des années, et pourtant vous êtes nombreuses et nombreux à continuer à essayer de vous souvenir si pour vous connecter à votre compte amazon c’est a13!87or9zEmazon ou A13!87or9zEmazon ?
Quel est concrètement le problème ?
La sécurité d’un mot de passe dépend en gros de 2 notions totalement indépendantes :
1/ sa difficulté par un ordinateur (ou un réseau d’ordinateurs) à le deviner.
Pour ça il n’y a pas 36 solutions, il faut un maximum de « possibilités différentes », c’est-à-dire en pratique, de caractères différents, avant de tomber sur votre mot de passe par hasard. Sauf que pour ça on a tendance à privilégier le fait de rajouter le plus de caractères possible pour chaque « lettre », en incluant les majuscules, des caractères spéciaux… pour conserver un nombre de « lettres » assez court.
Malheureusement, ça ne fait pas massivement de différence en pratique. Par exemple en rajoutant « 10 symboles possibles » en plus des chiffres et des lettres on va piocher dans un tas de 72 possibilités au lieu de 62 (26 minuscules + 26 majuscules + 10 chiffres). On appelle ça l’entropie. Et on ne va pas se mentir, en pratique, personne ne va sciemment choisir « µ » dans son mot de passe. Bref, le gain est assez marginal.
Le corollaire de ce système c’est justement que c’est vous qui choisissez votre mot de passe… et les humains sont très mauvais à ce jeu. Rassurez-vous c’est pour tout le monde pareil. Face à la page d’inscription sur laquelle on nous force à mettre un symbole, on a tous tendance à mettre un # à la fin pour « avoir la paix » et vite passer à autre chose 😛 !
Pour en rajouter une couche on vous impose parfois de changer régulièrement de mot de passe, ce qui en pratique n’a pas grand intérêt, sauf si en effet ce mot de passe a été compromis. Tout votre beau système basé sur « alors je mets la première lettre du site en majuscule, puis mon mot de passe fixe compliqué, puis la fin du nom du site » tombe en morceau… on rajoute un # à la fin pour satisfaire le système (qui répond que le # il aime pas), on met donc un ! à la place, et on s’empresse d’oublier ce qu’on a mis…
2/ sa non présence ailleurs, où que ça soit !
Aujourd’hui la majorité des problèmes de sécurité ne provient pas du fait que vous avez choisi un mot de passe trop court, trop « faible », mais que ce mot de passe a été déjà utilisé ailleurs. Soit parce que vous n’avez fait aucun effort (non « password123 » n’est pas un mot de passe sûr 🤔) et donc ce mot de passe est déjà dans un dictionnaire de mots de passes « simples » qui sert à tout apprenti hacker pour essayer de cracker des comptes, soit tout simplement parce qu’il a été stocké en clair dans une base de données quelque part à un certain moment (un site quelconque sur lequel vous avez créé un compte) et que ce site a été hacké. La base récupérée est venue enrichir un dictionnaire déjà très fourni de mots de passes « possibles » et c’est le genre d’outil qui sera ensuite utilisé pour tenter d’accéder à vos données sur d’autres sites.
Prenons un exemple concret : vous avez créé un compte sur le forum du site jaimelesorchidées.net avec lea@martin.com et votre mot de passe fétiche « L3Vi0l3tC’estk@@L ». 17 caractères, des chiffres, des minuscules, des majuscules et même 2 symboles différents, il faudra un réseau colossal de serveurs pour cracker votre mot de passe en moins de temps que l’âge de l’univers.
Sauf que malheureusement le petit site associatif des passionnés d’orchidées – codé par le fils de la présidente de l’asso lors de son stage de 3è – s’est fait hacker. Votre mot de passe super robuste est désormais dans la nature.
Là où c’est moins drôle c’est que ce même mot de passe vous sert justement pour accéder à votre boîte mail lea@martin.com. A partir de là l’escalade est TRRREEEESSS rapide. Une personne mal intentionnée teste à tout hasard l’accès à votre boîte mail avec ce même couple d’informations (email/mot de passe), et a certes l’accès à vos emails, mais surtout peut maintenant aller également sur votre compte amazon. Elle s’était cassée les dents en essayant « L3Vi0l3tC’estk@@L » parce que cette fois vous aviez mis « A13!87or9zEmazon » comme mot de passe (vous vous souvenez ?)… mais avec l’accès à votre boîte mail il lui suffit de faire « mot de passe oublié » et hop elle reçoit un lien de réinitialisation dans votre boîte. 1 clic plus tard et elle définit un nouveau mot de passe (vous éjectant au passage de votre propre compte Amazon) et peut commencer son shopping. Et elle peut faire la même chose avec absolument tous les sites sur lesquels vous avez des compte. Elle peut regarder l’historique de vos emails ou tester un peu au pif selon son humeur ! Et pour avoir plus de temps elle ira également changer le mot de passe de cette boîte mail pour vous en bloquer l’accès… A ce stade, ça devient vraiment une grosse grosse galère.
On peut se prémunir de certains de ces problèmes en activant l’authentification à double facteurs (2FA) dès que possible mais on en parlera dans un autre article plus tard…
OK, donc on fait quoi ?
Pour faire simple et bien, il faut avoir compris que :
- un mot de passe ne doit servir que pour un seul site
- en fait vous n’avez pas besoin de retenir tous les mots de passe
- et donc vous n’avez pas besoin de les choisir vous-même ! A la question « comment choisir un bon mot de passe », la meilleure réponse est donc « n’en choisissez pas, laissez un ordinateur en générer un pour vous ! »
- Il y a d’excellents systèmes pour se souvenir des mots de passe pour vous + sur tous les sites des moyens de les réinitialiser, donc même si vous les perdez, il n’y a pas de gros problème tant que vous conservez l’accès à votre boîte mail.
Bref, le meilleur mot de passe sera un mot de passe généré par un ordinateur, de manière sécurisée, avec un vrai système aléatoire. Il peut s’agir de ce fameux mélange de chiffres, lettres, symboles… ou mon préféré un système qui au lieu d’utiliser des lettres va piocher des mots dans un dictionnaire. Vous vous souvenez du fait de piocher dans une liste de 72 caractères possibles. quand on utilise un système de mots et donc une « phrase de passe » on pioche des mots dans une liste (généralement publique, ça montre que ça n’a pas grande importance) de plus de 7700 mots. Bref remplacer un « # » qui nous pourrit la vie par un mot comme « bulle » ou « manger » est 100 fois plus efficace !
5 mots choisis aléatoirement (c’est important) feront une phrase de passe plus robuste qu’un mot de passe hyper compliqué de 10 caractères parmi les 72 évoqués plus haut !
Comment on les stocke ?
Il faut comprendre que les plus importants sont ceux qui vous permettent d’accéder aux autres.
Vous pouvez utiliser les fonctions de mémorisation de mot de passe intégrées aux navigateurs ou même aux systèmes d’exploitation (Trousseau sur Mac par exemple), par contre il vous faut faire en sorte que l’accès à ces derniers soit protégé et que vous en maitrisiez bien la sécurité.
Donc pour déverrouiller votre ordinateur par exemple, il vous faut un mot de passe unique (qui ne sert qu’à ça), et que vous puissiez mémoriser sans souci. 5 mots aléatoires c’est un bon début. 10 caractères compliqués aussi. Et on ne laisse jamais un ordinateur déverrouillé sans surveillance.
Même chose pour les smartphones : un mot de passe unique, qui ne sert qu’à ça. Choisi par un ordinateur au hasard et non pas vous (non les jours de naissance de vos 2 enfants ne font pas un bon code à 4 chiffres, pas plus que le jour/mois de votre mariage).
Et si votre périphérique dispose d’un système qui permet de rajouter le déverrouillage par empreinte digitale, reconnaissance faciale ou équivalent, oui, il est tout à fait possible de les utiliser. Nos modèles de menace principaux (à savoir le risque de voir un compte qui nous appartient se faire usurper) n’interfèrent pas spécialement avec ça.
L’autre élément clé c’est votre ou vos boîtes mail. Comme expliqué plus haut, l’escalade à partir d’une boîte mail hackée est absolument terrible. De même il s’agit d’éléments clés qui vous permettent à vous-même de dépêtrer dans tout un tas de situations potentiellement galères. Si vous avez besoin d’accéder à votre boîte mail depuis n’importe où dans le monde, sur n’importe quel ordinateur ou smartphone, vous devez connaître ce ou ces mots de passe. Donc là, même principe : phrase ou mot de passe unique que vous retiendrez.
Hormis ces quelques éléments, et peut-être 2 ou 3 autres (alarme, banque…) – pour l’internaute standard – pour tout ce qui est site internet, il n’y a aucun intérêt à choisir un mot de passe spécifique et à chercher à le retenir. Utilisez les outils fournis par votre navigateur ou encore mieux un gestionnaire de mots de passe (j’en reparlerai) et faites juste en sorte qu’on ne puisse pas facilement accéder à cet ordinateur/smartphone.
Oui mais si on me vole tout ?
C’est en effet une excellente approche que de réfléchir à ce qui risque de se passer si vous êtes braqué(e) un soir à la sortie du métro et qu’on vous pique votre smartphone et votre ordinateur portable qui détient toutes ces précieuses informations. C’est aussi valable lors de l’incendie ou inondation de la maison, la casse (on connait quelqu’un qui a roulé avec sa voiture sur sa sacoche avec son ordi portable, oups !)…
Comme évoqué plus haut, sans mot de passe, on n’accédera pas au contenu, vos données sont en sécurité, parce que vous êtes sérieux(se), vous avez bien activé le chiffrement partout (sur votre smartphone, votre ordi : filevault sur Mac, Bitlocker sur Windows). Par contre vous, vous n’avez plus rien.
Pas de panique, sur le nouveau matériel de remplacement vous allez configurer votre boîte mail car vous vous souvenez de CE mot de passe là, et dans le pire des cas vous aurez simplement à faire « mot de passe oublié » sur les sites auxquels vous avez besoin d’accéder. C’est un faible prix à payer par rapport au gain de sécurité (et à la myriade de problèmes évités).
Dans le meilleur des cas si vous avez confiance dans les Apple, Google & co, et leur avez confié la gestion de vos mots de passe, le simple fait de vous reconnecter avec votre compte restaurera au passage vos mots de passe enregistrés. Bref là encore on ne voit pas bien l’intérêt de connaître tel ou tel mot de passe pour tel ou tel site.
Si jamais on vous a forcé à révéler votre mot de passe, typiquement en cas de vol de smartphone on peut vous menacer pour l’obtenir, connectez-vous ensuite le plus rapidement possible au compte associé à ce téléphone (Apple, Google, …) car vous vous souvenez du mot de passe (!) donc pouvez le faire depuis n’importe où, même sur le smartphone de votre copine ou l’ordi du boulot et désactivez le téléphone à distance. Il serait également très sage de changer le mot de passe de ce compte. Avoir choisi des mot de passes spécifiques pour vos sites préférés et les avoir mémorisés n’aurait rien changé à la problématique si vous enregistrez systématiquement les mots de passe dans votre navigateur.
Et pour RVDiet on fait quoi ?
Nous vous conseillons la chose suivante :
- Utilisez un générateur de phrase de passe, par exemple le nôtre (5 mots français parmi plus de 7700, actualisez la page pour en afficher d’autres), pour définir un mot de passe. Si vous préférez un mélange de chiffres/lettres, on vous a fait un autre générateur ici plutôt sympa tout en étant suffisamment sécurisé. Ces mots de passe ne sont pas stockés sur nos serveurs, ils ne risquent donc pas d’être volés/hackés. Vous pouvez vous en servir pour RVDiet ou n’importe quel autre site.
- N’accédez à RVDiet que depuis un périphérique dans lequel vous avez confiance (votre propre ordinateur, tablette, smartphone).
- Ne tapez donc pas votre mot de passe sur un ordinateur qui n’est pas le votre. Et si jamais cela devait être fait en cas d’urgence, alors changez-le depuis votre ordinateur au prochain usage.
- Ayez une protection efficace d’accès au contenu de votre ordinateur, tablette, smartphone (mot de passe unique, fort et que vous pouvez mémoriser sur chacun, on oublie le schéma sur Android, surtout si c’est vous qui l’avez défini et que vous avez les doigts gras, même votre fils de 7 ans arrivera à le craquer en quelques essais, allez avouez qu’il ressemble à une maison ou un Z 🤫).
- Stockez le mot de passe RVDiet dans votre ordinateur (trousseau, navigateur…). Assurez-vous que le chiffrement intégral du disque de démarrage soit bien activé. Sur Mac c’est par ici que ça se passe, sur PC c’est par là. Ainsi même si quelqu’un créé un autre compte sur votre ordinateur, ou sort le disque de votre machine pour essayer d’accéder aux données depuis un autre ordinateur, il ne pourra rien faire.
- Pour les usages professionnels, essayez d’avoir une très bonne hygiène informatique : on n’installe rien de personnel sur l’ordinateur dédié au travail, on clique pas sur n’importe quel email bizarre, on ne télécharge pas de chose louche pour avoir un film gratuit en échange… Si vous avez 2 téléphones, même chose : sur le « pro » on met le moins de choses possibles, le strict nécessaire à votre travail.
- Après, si vous voulez éviter cette problématique de réinitialisation des mots de passe en cas de perte/vol/casse, vous pouvez utiliser un gestionnaire de mots de passe séparé. Sur PC/Mac/Linux notre préféré c’est keepass, KeepassXC pour être précis. Parce qu’il propose une extension pour les navigateurs internet pour favoriser l’enregistrement automatique des nouveaux mots de passe dans sa base et les retrouver tout seul (il se substitue au système intégré au navigateur ou vient le compléter). Il y a aussi des déclinaisons de keepass pour Android, iOS… Si le sujet vous intéresse on fera peut-être un article dédié aux gestionnaires de mot de passe, dites-le nous en commentaires.
- Nous sommes de grands fans de gestionnaires de mots de passe parce qu’ils permettent au moins de mettre à l’abri à un seul endroit les mots de passe qui ne rentrent pas dans le spectre des « sites web » normaux (alarme, codes des sites de banque, code de carte bancaire, code PIN de carte SIM…) + d’y stocker une « sauvegarde » de ces mots ou phrases de passe qu’autrement vous seul connaissez (boîte mail, déverrouillage du smartphone…). Pour protéger l’accès à ce « coffre fort virtuel » là encore il vous faudra un mot de passe costaud et dont vous vous souviendrez. Idéalement faites une sauvegarde de cette base sur une clé USB stockée en sécurité chez vous, écrivez le mot de passe sur un papier dans une enveloppe scellée et donnez cette enveloppe (sans la clé USB hein) à votre personne de confiance en lui indiquant ou trouver la clé USB. Si vous venez à faire une bête chute fatale dans votre escalier, ça peut être pratique que votre famille puisse déverrouiller votre ordinateur pour récupérer les photos ou votre smartphone pour trouver le numéro de vos ami(e)s qu’il faut prévenir pour votre enterrement. C’est peut-être morbide, mais une réalité aussi. 5 minutes à prendre pour une énorme tranquillité d’esprit derrière.
- En alternative, honnêtement, ça va peut-être vous sembler fou, mais des experts en sécurité valident, noter des mots de passe sur du papier ça n’est pas franchement un problème… tant que vous conservez une certaine sécurité à l’accès à ce papier. Bref, faire un « carnet de mots de passe » que vous avez dans le tiroir fermé à clé de votre bureau (ou dans une pièce dont vous contrôlez scrupuleusement l’accès) n’est pas stupide. Le post-it collé à l’écran l’est 😕. Et même pour le mot de passe d’accès à l’ordinateur ou à votre gestionnaire de mots de passe, imaginez une feuille A4, dans votre dossier de paperasse, avec juste 5 mots écrits, sans lien, sans préciser de quoi il s’agit. Vous seul savez ce que c’est. Un cambrioleur à autre chose à faire que de jouer au détective.
C’est donc une excellente nouvelle !
Pour conclure sur une note joyeuse, la bonne nouvelle donc c’est que :
1/ vous pouvez arrêter de vous prendre la tête pour inventer des mots de passe, les ordinateurs le font mieux que vous !
2/ vous pouvez arrêter de vous prendre la tête pour chercher à vous en souvenir. Les ordinateurs le font… vous avez compris 😜.
3/ Concentrez-vous uniquement sur les quelques mots de passe ultra critiques, ne les négligez pas (changez-les dès maintenant si vous savez qu’ils sont faibles), notez-les et mémorisez-les.
Ah, finalement c’est assez simple !
Ouah quel article !
Au début ça m’a semblé compliqué, mais en fait c’est extrêmement clair et logique.
J’avais mis en place des stratégies finalement stupides avec une base de mot de passe compliqué + des lettres par rapport aux sites sur lesquels je créais des comptes + des caractères spéciaux quand on m’en demandait, mais c’est parti en cacahuète très vite. Et je passe mon temps à faire 5 essais par site quand je veux retrouver un mot de passe.
C’est vrai qu’on se prend la tête pour rien. Vive le mot de passe aléatoire. Quitte à ne pas s’en souvenir, autant savoir pourquoi 😀
Ca serait super un article sur les gestionnaires de mot de passe, j’en ai testé un, mais ça m’a l’air d’être une usine à gaz par rapport au trousseau de mon Mac. Par contre ça peut être pratique pour avoir mes mots de passe aussi sur mon téléphone Android (je n’ai pas d’iphone).
[…] recoupe un peu ce que nous vous avions écrit il y a quelques mois, sur les mots de passe, mais va également beaucoup plus loin sur les sujets « autour » : sauvegardes, protection de […]