Mois : mai 2020

Publié le

Mot de passe, la galère !

Le problème

Aujourd’hui, notre civilisation est ultra connectée, chaque nouvelle application, nouveau journal en ligne… nécessite un compte et un mot de passe (mdp)…

Depuis les débuts de l’informatique, autour des années 70, c’est le moyen qui est le plus utilisé. Vous pouvez chercher sur Internet, c’est sûrement un des sujets les plus débattus aussi 🙂

De nouveaux équipements proposent maintenant d’autres possibilités, mais les empreintes, les veines de la main, l’iris… ne sont pas encore très courants sur nos ordinateurs.

Donc ce mdp reste encore un « sésame » pour de nombreux service en ligne !

Mais, je n’ai pas perdu mon mot de passe !

Très souvent, ce n’est pas vous, mais les services « Internet » que vous utilisez qui ont perdu votre mdp.
Ces sites Web sont la cible de toute sorte de personnes (gouvernements, hackers, …) qui essaient de voler des identifiants pour diverses raisons.
C’est pas forcément vous qui êtes visé, mais on peut utiliser vos informations pour faire des arnaques !

Comment mon mot de passe peut-il être dévoilé ?

  1. Quelqu’un a regardé au-dessus de votre épaule.
  2. Je l’ai partagé avec mon meilleur ami, mon collègue de bureau…
  3. J’ai répondu à un email de phishing.
  4. Le site que j’ai l’habitude de consulter a été piraté (voir ci-dessous quelques cas).
  5. J’ai utilisé le même mdp sur plusieurs sites Internet. Donc une « fuite » par un de ces fournisseurs a permis à des personnes malveillantes d’accéder à mes autres comptes.

Liste, vraiment pas exhaustive, de fuites :
LinkedIn se fait voler plus de 6.5 mio de comptes en 2012 : eng
Sony perd 77 mio de comptes en 2011 : eng
Liste de fuites, article de fond dans Le Temps : fra

Vérifiez ici, si votre compte+mdp a été compromis : https://haveibeenpwned.com/

Petits jeux

Pourquoi vous faut-il un mot de passe si compliqué ?

Je vous propose ce petit calcul (très simplifié) de statistique :

Si votre mdp contient 1 caractère :
1 si seul. minuscule = 26 possibilités
1 si seul. minuscule ou 1 majuscule = 52 possibilités
1 si seul. minuscule ou 1 majuscule ou 1 chiffre = 62 possibilités

Donc un mdp de 8 caractères = 62 x 62 x 62 x 62 x 62 x … = beaucoup de possibilités.

Très souvent, lors de piratage, les « pirates » volent une grande quantité de fichiers.
Dans ces fichiers, il y a les comptes et souvent les mdp sous forme cryptés. Ils ne peuvent rien en faire, mais ils ont tout le loisir de laisser tourner des serveurs pour essayer de trouver votre mdp. Plus il sera court, et plus il sera rapide à trouver par le serveur.

Pendant ce temps, normalement, les administrateurs du site Web (ex. LinkedIn) vous informent du problème, et vous demandent de changer votre mdp !

Allez voir ici https://xkcd.com/936/ (eng) l’explication de la différence entre un mdp à l’ancienne façon et la technique des « passphrase » qui permet d’avoir des longs mdp sûrs, mais pas difficile à retenir.
C’est une très bonne méthode 🙂

Gestionnaire de mot de passe

Est-ce vraiment nécessaire ?
Je pense que si vous avez moins de 10 comptes/mdp, vous pouvez vous contenter d’un petit cahier, que vous allez cacher à la cuisine 🙂
Et pas à côté de l’ordinateur !

Sinon, je recommande de choisir un outil pour votre ordinateur ou votre smartphone.

Personnellement j’utilise KeePass (KeePassX pour Mac) qui me donne entière satisfaction. Il est développé par un allemand (en Europe), mais ce n’est pas une solution en ligne.
La version 1.3… est très simple et peut fonctionner sur une simple clé USB.

D’autres solutions existent comme : https://www.lastpass.com/ – Dashlane – Passwordsafe – https://my.1password.eu/ – …
A vous de trouver celui qui vous convient le mieux !
Ils sont souvent gratuits pour un usage simple, à tester.

Pour les ordinateurs Mac, il est aussi possible d’utiliser le « Gestionnaire de Clés » ou Keychain (eng).
Il est très simple, mais peut aussi faire l’affaire.

Exemple avec KeePass :

La base de données avec tous vos mots de passe est conservée chiffrée/cryptée sur votre ordinateur. Vous avez besoin d’un mdp pour l’ouvrir !
Un simple double-clic (voir ci-desssus) sur les ******* copie le mot de passe dont vous avez besoin, et vous pouvez le coller où vous voulez.

Authentifié par des services tiers

Depuis quelques années déjà, vous avez peut-être constaté qu’il est possible de se connecter à des services Web, par exemple à un journal, mais en utilisant notre compte Google, Facebook ou autre…

Ex. ci-dessous : On peut se connecter au service Zoom avec son identifiant  Google ou Facebook.

Cela semble plus simple pour nous !
Mais je pense qu’il est « dangereux » d’utiliser un de ces géants du Web comme fournisseur d’identité…

Les problèmes que j’entrevois :

  1. Si vous avez un problème avec votre compte (gratuit) Facebook, vous ne pourrez plus utiliser ce nouveau service.
  2. Si quelqu’un vous vole votre compte Facebook (mot de passe trop facile, phishing…) il va essayer de l’utiliser sur les services en ligne qui sont populaires, ex. Facebook, Instagram, Linkedin…
  3. Les géants du Web (GAFAM) sont tentés d’être les « pourvoyeurs » identités pour le monde. A quand le moment ou un de ces géants pourra vous bannir du Web !

Bonnes pratiques

Voici quelques idées qui peuvent vous épargner bien des soucis…

  1. N’utilisez pas 2 fois le même mot de passe.
  2. Changer vos mots de passe régulièrement, comme une brosse à dents 🙂
    Ce n’est pas forcément nécessaire si vous avez une authentification à plusieurs facteurs.
  3. Utiliser un gestionnaire de mdp (voir ci-dessus).
  4. Ne pas laisser son mdp sur un Post-it sur l’écran.
  5. Quand c’est possible, enclencher l’authentification à plusieurs facteurs (MFA, 2FA). Ex. avec DropBox, LinkedIn, Google…

Personnellement j’utilise un mdp simple à retenir (cf. passphrase ci-dessus) pour ma messagerie ou mon password-manager, et pour le reste des comptes que  j’utilise peu, les mdp proposés par l’outil de mot de passe qui sont impossibles à retenir.

Glossaire

Identifiant (fra) : Les 2 informations pour vous connecter à un service, par ex. votre email et votre mdp.
MFA (eng) : Multifactor Authentication : Authentification avec plusieurs facteurs.
2FA (eng) : Two Factor Authentication : Authentification à 2 facteurs (ex. un mot de passe et un SMS).
Password Manager (eng) : Outil de gestion de mot de passe (mdp).
Passphrase (eng) : mdp sous la forme d’une petite phrase.
Phishing (eng) : Hameçonnage (fra) : Souvent un email qui vous demande de confirmer votre identifiant en entrant au clavier vos nom, prénom, email, mdp…

Pour aller plus loin

Les plus mauvais mdp de 2019 : https://www.journaldugeek.com/2019/12/20/top-pire-mots-de-passe-annee-2019/
iBarry site suisse de sensibilisation : https://ibarry.ch/fr/securite-mot-cle/