12 Oct, 2020

L’épineux choix du mot de passe

Parmi les priorités des internautes, la sécurité est un point qui ressort à chaque fois. Quoi de plus normal ? On entend régulièrement parler de « ransomware », de « fishing » ou de cheval de troie. De leurs victimes également, tantôt des entreprises, des particuliers mais aussi des collectivités publiques, des associations. Bref, il y a eu une prise de conscience et c’est tant mieux. C’est un enjeu qui concerne tout le monde, car personne n’est à l’abri d’une tentative de piratage. Mais une fois que l’on sait cela, que fait-on ? Eh bien d’abord, on ne panique pas. ON-NE-PANIQUE-PAS et prenons conscience que la première source de faille est située entre l’ordinateur et le fauteuil : nous.

Le concept du mot de passe maitre

La navigation sur le web nous entraine parfois dans des eaux dangereuses sur lesquelles s’aventurer à visage découvert peut être risqué. Pourtant, il peut nous arriver de nous inscrire sur des plateformes à la sécurité douteuse. ALERTE ! Dans une telle situation, renseignez-vous sur le site et sa fiabilité. Un petit tour sur le moteur de recherche de votre choix devrait suffire. Dans le doute, utilisez une adresse mail secondaire et surtout, n’utilisez pas le même mot de passe de votre adresse mail, car c’est cela, le concept du mot de passe maitre. C’est votre adresse mail qui vous permet de vous connecter à vos sites favoris. C’est également elle qui vous permet de modifier votre mot de passe (on vous voit les fans de la procédure « mot de passe oublié » 😉 ). Aussi, il lui faut un mot de passe unique, maitre de tous les autres. Par conséquent plus vous utiliserez cette adresse mail, plus le mot de passe associé sera important. Il convient donc de le définir avec sagesse.

Comment se bâtir un mot de passe solide ET mémorisable ?

En général, les sites sérieux vous imposent un nombre minimum de caractères, en général 8, voire 12. Vous êtes régulièrement obligés d’y intégrer un caractère spécial, d’autres alphanumériques en jouant sur les majuscules et minuscules. Certains sites vont même plus loin en interdisant les suites de chiffres et les sites de gouvernement vous empêchent généralement de réutiliser vos données personnelles comme votre date de naissance pour construire votre mot de passe. Tout cela est LOGIQUE, c’est pour votre SE-CU-RI-TE ! Mais force est de constater que cela peut vite devenir un casse-tête. Deux méthodes sont donc à retenir : celle dite phonétique et celle dite des initiales (en incluant la ponctuation). Dans les deux cas, elle s’appuie sur un moyen mémotechnique : une phrase à retenir.

Exemples : 

« J’ai acheté 2 cadeaux pour Noël. » deviendra Ght2kdo24/12.

 ou

« Une souris verte, qui courait dans l’herbe » deviendra 1Sv,qcdl’h

La CNIL vous propose un outil qui vous permet de générer un mot de passe en s’appuyant sur cette méthode.

 

Bien choisir son mot de passe

L’outil de la CNIL vous impose un certain nombre de critères pour créer un mot de passe sécurisé.

Gestionnaire de mots de passe, bonne ou mauvaise idée ?

Malgré ces méthodes, nous avons nos limites. Comment retenir, 20, 30, 50 mots de passe ? Ici, à l’agence, certains d’entre nous sont inscrits avec différentes adresses mails et des mots de passe sur plusieurs centaines de sites. Alors comment faire ? Si le calepin ou le fichier .txt enregistré sur l’ordinateur semblent des idées particulièrement mauvaises, il reste la possibilité du gestionnaire de mot de passe.  Alors tout d’abord, nous sommes d’accord, c’est un outil anxiogène. Que se passera-t-il si la société en question dépose le bilan ? Bien sûr, le risque zéro, ici comme ailleurs, n’existe pas. Mais le rapport risque/bénéfice nous semble intéressant. Concernant les risques, les informations sont chiffrées côté utilisateur, et seul le détenteur du mot de passe du gestionnaire peut accéder à son contenu. La sécurité de Keepass a par exemple été approuvée par l’ANSSI.

Par ailleurs, vos navigateurs internet, Chrome en tête, vous proposent également de retenir vos mots de passe. L’ANSSI recommande de ne pas en faire usage. Néanmoins, ces outils proposent des fonctionnalités intéressantes, comme le « check-up de vos mots de passe » et il faut reconnaitre qu’à l’usage, il est confortable de ne pas avoir à se souvenir des mots de passe choisis pour tel ou tel site. D’ailleurs, pour en finir avec Chrome, dispose de deux fonctionnalités particulièrement intéressantes : la suggestion de mots de passe complexes lors d’une inscription sur un site web et l’accès à tous vos mots de passe depuis l’url password.google.com. Précisons que son accès est sécurisé par une double authentification.

Check-up mots de passes

Notre collègue va avoir du boulot !

Mon adresse mail a-t-elle été compromise ?

Si vous n’utilisez pas un gestionnaire de mot de passe tel que celui de Google, il peut être difficile de faire le point sur le niveau de sécurité de son adresse mail. Depuis 2013, haveibeenpwnd recense les données personnelles concernées par des brèches exploitées par des hackers. Ce service gratuit vous permet, en y indiquant votre adresse mail, de savoir si celle-ci est compromise. Le site web vous indique également si d’autres informations ont fuité, comme votre pseudo, ou votre mot de passe… Pensez à remercier Troy Hunt, créateur du site et expert en sécurité informatique !

Vérifier si mon email a été piraté

Haveibeenpwnd.com précise les sites à l’origine de la compromission et le type de données concernées.

Pour aller plus loin

Les recommandations de l’ANSSI sont à consulter ici , celles de la CNIL .

Enfin, voici la liste des mots de passe les plus utilisés en 2019.