UFC-Que Choisir · Expert Militant Indépendant · 1re Association de consommateurs de France

UFC-Que Choisir

MENU

Sécurisons nos outils numériques : 2. Créons des mots de passe solides

Vous disposez certainement de nombreux comptes accessibles via Internet, que ce soit celui de votre fournisseur Internet (Orange, SFR, Bouygues, Free…), de votre adresse Gmail (ou Hotmail ou Yahoo ou…), de votre banque ou ceux dans les boutiques en ligne où vous passez habituellement vos commandes. Mais êtes-vous sûr de faire de votre mieux pour limiter les risques d’être piraté ? [ Résumé ] Vous devriez avoir un mot de passe différent pour chacun des comptes en ligne que vous utilisez. Ces mots de passe doivent être complexes – mais faciles à retenir pour vous (si, c’est possible !) – afin d’éviter les piratages. Il existe des outils pour ne pas avoir à les mémoriser. Autant de mots de passe que de comptes ! Avant d’arrêter là la lecture à l’idée de la contrainte que cette affirmation semble imposer, lisez la suite ! Normalement, effectivement, pour chacun de ces sites vous devriez avoir des mots de passe différents et difficiles à imaginer pour un pirate ou, plus encore, difficiles à décrypter ou cracker par un automate. Pourquoi un par site, avec la lourdeur de mémorisation que cela représente ? Eh bien tout simplement parce que si un pirate a réussi à s’emparer de la base de données des comptes d’un site où vous êtes inscrit, il tentera de réutiliser votre mot de passe sur d’autres de vos sites habituels. Pour contrôler si vos mots de passe ne se baladent pas déjà dans la nature, vous pouvez d’ailleurs les tester via le site « have I been pwned » (est-ce que je me suis fait avoir ?) où, en tapant chacune des différentes adresses email que vous utilisez pour vos comptes, vous saurez de suite si au moins un des sites où vous l’utilisez a été piraté (donc probablement en incluant votre mot de passe). Et, en cas de confirmation, il serait judicieux de changer le mot de passe des comptes où vous utilisez cette adresse mail piratée. Les mots de passe sont de plus en plus faciles à cracker ! Les ordinateurs sont de plus en plus puissants et sont donc de plus en plus capables de découvrir aisément un mot de passe simple. Dans l’état actuel des choses, en attendant l’avènement des ordinateur quantiques, Un mot de passe de 12 chiffres peut être cracké en 2 secondes ; Un mot de passe complexe de 10 caractères peut être cracké en 5 mois ; Pour un mot de passe complexe de 18 caractères, vous pouvez dormir tranquille, il faudrait 438 mille milliards d’années à l’algorithme pour le retrouver (de quoi avoir le temps de faire un très gros somme). Le tableau ci-dessous (en anglais, désolé) indique les temps de crackage des mots de passe en fonction de leur complexité. La première colonne indique le nombre de caractère du mot de passe ; La seconde indique le temps de décodage d’un mot de passe composé de chiffres uniquement ; La troisième est pour des mots de passe ne comportant que des minuscules (ou que des majuscules) ; La quatrième est pour des mots de passe comportant à la fois des minuscules et des majuscules ; La cinquième est pour des mots de passe comportant en plus des chiffres ; La sixième est pour des mots de passe complexe comportant en plus des caractères spéciaux. Quels mots de passe pour moi ? Le tableau est clair ! Si vous voulez être le plus tranquille face au risque de crackage de votre mot de passe, le mieux est d’avoir un mot de passe qui répond aux critères de la sixième colonne et d’au moins 10 caractères ? Et là, je vous entends déjà hurler : mais comment puis-je retenir des mots de passe aussi complexes, surtout si je dois en avoir des différents pour chacun de mes comptes ? La réponse est double : Créez des mots de passe complexes mais faciles à retenir (oxymore ?) ; Utilisez un gestionnaire de mots de passe. Existe-t-il vraiment des mots de passe complexes faciles à retenir ? La réponse est oui ! Le mot de passe sera complexe au sens où il respectera les contraintes de la septième colonne, mais VOUS ne devriez pas avoir de difficultés à le retenir. En voici trois exemples : #Je9Suis8Lesclave7De6Mon5Chat$ %Jaime0Pas1Les2Rhododendrons& *ÇaVaDeMalEnPis@3,14@ Vous avez là des mots de passe de plus de 18 caractères, dont chacun est une phrase composée de mots, dont la première lettre est une majuscule, éventuellement séparés par des chiffres, et encadrée de caractères spéciaux. Vous êtes bien entendu libres d’imaginer toute autre combinaison que vous trouveriez plus simple à retenir et correspondant à vos préoccupations ou intérêts personnels, le but étant ici d’indiquer un des nombreux principes possibles de « complexification mémorisable » des mots de passe. Pourquoi un gestionnaire de mots de passe ? S’il n’y a que quatre ou cinq sites que vous fréquentez habituellement et sur lesquels vous devez vous identifier avec un mot de passe, il ne devrait pas vous être difficile de les retenir s’ils sont construits comme indiqué précédemment. Mais, à moins que vous ayez une mémoire d’éléphant, ça va se compliquer si vous utilisez dix voire cinquante sites différents. Votre navigateur Internet (Chrome, Firefox, Opera, Safari…) dispose en général d’un tel outil qui vous propose, après chaque première identification sur un site, de mémoriser le mot de passe. Reste que cette solution, si elle est pratique, est généralement moins sécurisée que l’utilisation d’un gestionnaire de mot de passe externe. Personnellement, je refuse systématiquement que le navigateur enregistre mon mot de passe sur un site. Un tel outil se présente en général sous la forme d’une extension pour votre navigateur Internet. Son contenu et son accès sont protégés par un mot de passe dit « maître » qui est le seul que vous aurez à retenir. Il devra impérativement être complexe. Une fois l’extension installée, à chaque fois que vous vous identifierez pour la première fois (de son point de vue) sur un site, il vous demandera s’il doit enregistrer vos informations d’identification. Si vous acceptez, à votre retour sur ce site, il vous suffira de le sélectionner dans la liste déroulante des sites enregistrés dans l’extension pour que les champs de saisie identifiant et mot de passe soient automatiquement remplis Bitwarden est un très bon outil dans ce domaine et il est gratuit (le site de présentation est en anglais, mais l’outil existe en français). Il en existe plusieurs autres, généralement payants comme LastPass, 1Password ou encore Dashlane. Avantage non négligeable, il existe une version Android et une version iOS de Bitwarden, dont le contenu sera automatiquement identique à celui de votre ordinateur. Que ce soit dans le navigateur de votre ordinateur ou sur votre smartphone, l’outil est disponible soit via le magasin d’extensions du navigateur, soit via la boutique d’applications de votre smartphone. Conclusion Oubliez définitivement les mots de passe tels 123456, azertyuiop ou motdepasse, par exemple, ainsi que votre date de naissance ou celle de vos enfants, si vous ne souhaitez pas prendre le risque qu’un intrus découvre aisément le vôtre. Utilisez des mots de passe à la fois complexes et faciles à retenir. Au besoin, utilisez un gestionnaire de mots de passe. Et, enfin, n’indiquez pas votre mot de passe de connexion à votre ordinateur sur un post-it collé juste à côté. Ce serait comme « dissimuler » votre clé sous votre paillasson.