On le sait, les mots de passe utilisés sur le web sont la cible privilégiée des pirates. Trop faibles ou utilisés sur des sites trompeurs ou à la sécurité insuffisante et voilà vos identifiants dans la nature. Que faire pour prévenir ou guérir la catastrophe ?
Les faiblesses des mots de passe
Le niveau de complexité : 1234 ou azerty sont encore largement utilisés par beaucoup de personnes et testés systématiquement par les bots de piratage lors d’une tentative d’attaque par force brute qui vise à essayer de deviner le mot de passe.
L’usage répété : Vous avez le meilleur mot de passe du monde, si difficile à retenir que vous l’employez partout ? Il suffit que vous le divulguiez involontairement (mail de phishing par exemple, piratage des données d’un site tiers qui l’aurait stocké en clair…) et c’est la catastrophe.
Les bonnes pratiques pour gérer ses mots de passe
L’objectif est simple. Utiliser des mots de passe différents pour chaque compte en ligne tout en n’ayant à se souvenir que d’un seul. Impossible ? Non.
Construire son mot de passe maître
La première étape est de construire un mot de passe sécurisé mais pouvant être facilement retrouvé si nécessaire. Il y a plein de techniques différentes. Personnellement, la phrase clé me semble la plus simple :
- On choisit un texte court (15-20 mots) avec plusieurs phrases. Par exemple “Une souris verte qui courait dans l’herbe. Je l’attrape par la queue et la montre à ces messieurs.“. Ce texte est la seule chose dont vous avez à vous souvenir.
- On ne garde que les première lettres, la ponctuation et les diacritiques. La phrase devient : Usvqcdl'h.Jl'aplqelmàcm
- On peut évidemment en rester là mais cela peut encore être amélioré. On ajoute sa date de naissance, par exemple 15/08/1969, en alternant au début et à la fin du “mot” précédent. Le mot de passe final sera 1/816Usvqcdl'h.Jl'aplqelmàcm.50/99
Et voilà ! Niveau de sécurité maximale garantie.
Utiliser son mot de passe maître pour sécuriser le stockage de tous les autres mots de passe
Maintenant que vous avez un mot de passe archi-sécurisé, il ne faut l’utiliser qu’une seule fois. Plusieurs options s’offrent à vous pour retenir les mots de passe correspondant à tous vos autres comptes en ligne :
- Stockage local sur votre ordinateur (navigateur, fichier excel avec mot de passe, logiciel spécialisé cryptant les données, …) : Je vous le déconseille. Les mots de passe ne peuvent être retrouvés que sur cette machine et si elle est perdue, tous les mots de passe le sont également !
- Utilisation d’un service spécialisé dans le cloud : c’est une très bonne solution car elle ne va pas dépendre du navigateur que vous utilisez. En revanche, le service sera payant.
- Utilisation d’un compte Mozilla (avec Firefox), Google (avec Chrome), Microsoft (avec Edge) : Si vous avez vos habitudes en terme de navigateur, c’est une solution très intéressante. Elle est gratuite et, sur les versions récentes, vraiment simple. C’est donc cette solution que nous allons détailler.
Utiliser un compte Mozilla/Google/Microsoft et son navigateur pour gérer des mots de passe uniques
Si vous avez déjà un compte, il vous suffit de changer le mot de passe pour utiliser votre mot de passe maître. Sinon, vous en créez un avec ce mot de passe.
- Créer un compte Mozilla (avec Firefox)
- Créer un compte Google (avec Chrome)
- Créer un compte Microsoft (avec Edge)
Idéalement, il est intéressant d’activer la double authentification afin de sécuriser au maximum l’accès à ce compte.
Ensuite, on connecte ce compte dans le navigateur correspondant :
Vous êtes maintenant prêt à stocker vos mots de passe. Vous pouvez évidemment aller sur vos comptes existants pour changer les mots de passe et les rendre unique.
Dans leurs dernières mises à jour, les navigateurs proposent même des mots de passe aléatoires et sécurisés. Toutefois, il est nécessaire que le concepteur du formulaire l’ait bien paramétré pour que le navigateur comprenne qu’il s’agit d’un champ de mot de passe.
S’il n’y a aucune suggestion ou si les contraintes sur le mot de passe (longueur, caractères autorisés…) sont bloquantes, on peut également utiliser un générateur de mot de passe :
L’important est d’avoir un mot de passe suffisamment robuste pour résister aux attaques par force brute et surtout de ne l’utiliser qu’une seule fois. S’il est compromis, il n’y aura qu’un seul service d’affecté.
De plus, les navigateurs généralisent maintenant l’analyse et le signalement des paires identifiants/mots de passe vulnérables. Vous serez ainsi rapidement notifié en cas de problème de sécurité.
Utiliser la double authentification pour les comptes sensibles
A part le service servant au stockage de tous les mots de passe, les comptes sensibles sont ceux qui recèlent des informations personnelles ne devant en aucun cas fuiter, c’est notamment le cas pour les comptes qui sont liés à un moyen de paiement (paypal, amazon…) ou des données médicales (doctolib…).
Selon le service utilisé, la double authentification consiste à utiliser un mot de passe et un autre moyen d’identification : SMS, mail ou une application dédiée, comme Authy.
Pour ces dernières, vous pouvez également utiliser votre mot de passe maître pour sécuriser le stockage des données. C’est la seule exception à la règle de l’usage unique.
Comment est-ce que je peux savoir si mes identifiants sont vulnérables ou compromis ?
En plus d’utiliser les fonctionnalités proposées par le navigateur ou votre service de gestion de mots de passe, une simple vérification sur le site ‘;–have i been pwned? permet déjà de savoir si son mail apparaît dans des brèches de sécurité déjà détectées.
Si c’est le cas, il vaut mieux prendre le temps de modifier tous les mots de passe liés à cet identifiant.
Si vous commencez à recevoir des mails étranges ou perdez l’accès à certains services (mail, facebook…), c’est que vous êtes probablement victime d’une attaque. Pas de panique. Commencez par retrouver l’accès à votre mail pour changer le mot de passe et modifier ensuite tous vos comptes où il était utilisé en suivant nos conseils précédents. C’est laborieux mais indispensable pour retrouver de la sérénité.
Malheureusement, pour les comptes de messagerie, les pirates ne modifient par forcément le mot de passe. Vous continuez à recevoir vos mails normalement mais votre compte est également utilisé pour envoyer des messages frauduleux à vos contacts et même à des tiers totalement inconnus.